‘Governance is juist risico nemen’

IT-governance draait op dit moment veel te veel om het elimineren van risico’s. Deze defensieve aanpak doet meer kwaad dan goed. Om IT veel dichter tegen de bedrijfsstrategie aan te laten schurken heb je een manager met lef nodig.

“IT-governance moet eigenlijk gaan over het experimenteren met beheersbare risico’s en niet over het elimineren van zoveel mogelijk risico’s wat je nu vaak ziet.” Aan het woord is Tina Nunno, vice-president CIO Research bij Gartner, die in juni een bezoek bracht aan Amsterdam om Nederlandse overheids cio’s inspiratie te geven voor een nieuwe koers in hun it-beleid. “Bij het inschatten van deze risico’s moeten it-managers veel meer dan nu nagaan hoe hun systemen gebruikt worden door bestaande afnemers in en rondom hun organisatie. Kijk naar het gebruik en belang van systemen en breng de beheerkosten ervan in kaart. Werk met een it-services portfolio aanpak, waardoor je inzicht krijgt welke diensten en it-voorzieningen gestandaardiseerd kunnen worden. Met een goede sourcing strategie bepaal je vervolgens welke activiteiten je aanbesteed bij de beste bieder en wat je bij jezelf houdt omdat het de organisatie onderscheidt van de concurrentie. Op die manier draai je in it-governance de medaille om: je elimineert het risico niet maar je creëert met beheersbare risico’s nieuwe kansen.”

“Om die ruimte als cio te krijgen moet je een ijzersterke reputatie hebben”, stelt Nunno. “Je geloofwaardigheid als cio binnen de directie is rechtstreeks gekoppeld aan de resultaten die de it-afdeling behaalt. Projecten moeten op tijd klaar zijn en budgettair niet uit de rails lopen. De beste tip die ik verder kan geven is: verruim je blik. Als cio moet je niet teveel op de technologie gericht zijn, maar vooral goed om je heen kijken en doorgronden hoe concurrerende organisaties IT inzetten om hun bedrijfsdoeleinden te halen. Zorg dat je in je communicatie het uitdrukkelijk niet meer hebt over technologie, maar dat je praat en denkt als een echte executive. It-managers weiden met veel liefde uit over een nieuwe erp-implementatie. Leer dat af. De raad van bestuur staat niet open voor dit soort technische details. Er wordt gediscussieerd over een nieuwe manier om een klantengroep aan te boren. Lever een bijdrage aan deze discussie en laat de techniek voor wat het is.”

Verkeerde vliegveld
“De essentie van it-governance is heel goed te vergelijken met deze metafoor”, vervolgt Nunno. “Stel jezelf een vliegtuig voor waarin de piloten al hun energie steken in een perfecte landing. Deze handeling kan nog zo perfect uitgevoerd worden, als het vliegtuig vervolgens op de verkeerde luchthaven is geland, dan ben je nog steeds niet waar je zijn moet. Hetzelfde doel moet een organisatie nastreven bij it-governance: er moet op strategisch niveau bepaald worden welke prioriteiten er zijn en welke middelen er ingezet worden om deze prioriteiten te realiseren. De cio kan hierin een gidsfunctie vervullen, maar moet bij deze exercitie wel zijn mannetje staan. Op directieniveau is er nog steeds een groot gebrek aan goede kennis over technologie. Menig directielid leeft nog met het idee dat de fax de laatste uitvinding is, laat staan dat men op de hoogte is van de strategische kansen die moderne technologie biedt. Het is de taak van de cio om deze kloof te overbruggen.” Ook Mark Smalley, directielid van de ASL Bisl stichting die zich hardmaakt voor een verdere professionalisering van het informatiemanagement ziet dat het bij veel Nederlandse directies inderdaad schort aan een goede kennis van IT. Dat is volgens hem bij veel topmanagers zelfs een bewuste keuze.

Veel te gevaarlijk
“Veel directeuren beschouwen IT als een onderwerp dat veel te gevaarlijk is om aan te pakken. Met IT is het uitermate moeilijk scoren: projecten schieten immers nogal eens door hun tijdslimiet en budget heen. Directies laten de invulling van dit onderwerp graag aan iemand anders over zodat deze persoon de schuld kan krijgen als het misgaat. Als c-level executive bungelt de cio wat dat betreft ergens onderaan in de hiërarchie van de directie. Maar op deze manier creëert de leiding wel een governance-probleem. De Australiër Mark Toomey die dit governance-probleem ook aan de kaak stelde in zijn recente boek ‘Waltzing with the elephant’ vergeleek IT met een olifant: laat dat dansje met de olifant maar over aan de it-manager. Voor je het weet zijn jouw tenen eraan.”

Je moet van IT als olifant af. Dat kan alleen als je als directie verantwoording neemt voor de it-governance. De eerder genoemde Toomey heeft aan de wieg gestaan van ISO-standaard 38500 die beknopt voorschrijft waar directies verantwoording voor moeten nemen. Het gaat om drie dingen: er moeten rond het informatiemanagement strategische doelen opgesteld worden, vervolgens moeten managers voor die doelen verantwoordelijk worden gemaakt, tot slot moet daarop controle en bijsturing plaatsvinden.”

Achter een it-project gaan vaak veel meer belangen schuil dan je denkt. “Ik zat gisteren bij een organisatie die decentraal georganiseerd is”, vertelt Smalley. “Deze organisatie wil nu een zelfde standaardpakket bij alle onderdelen invoeren. In de top is niemand bij machte om deze implementatie er door te drukken. De invoering van het standaardpakket botst met de huidige managementaanpak waarbij de onderdelen hun eigen invulling geven aan IT. Je moet in zo’n situatie niet beginnen met de invoering van een standaard pakket. Als de organisatie decentraal ingericht is dan moet het informatiemanagement dat ook zijn anders krijg je brokken.”

Machiavelli
Volgens Smalley heeft governance daarom alles te maken met de lessen die de Renaissance-denker Machiavelli ons geleerd heeft over macht. “Governance is een machtsspel waarin de leiders de juiste keuzes moeten maken. Neem het eerder genoemde voorbeeld, de invoering van een standaardpakket bij alle onderdelen van een decentrale overheidsorganisatie. Eigenlijk heb je het hier over de introductie van een nieuwe standaard bedrijfsvoering. Dit raakt het hart van de organisatie en moet door het topmanagement opgepakt worden.”

“Deze organisatieverandering is het gemakkelijkst door te voeren door divisiedirecteuren in hun portemonnee te raken. Nu worden zij afgerekend op het resultaat van hun divisie maar niet op samenwerking in het grotere geheel van de organisatie. Je kunt dan wel raden wat je krijgt. Deze managers moeten beoordeeld worden op de mate worden op de mate waarin hun divisie bijdraagt aan het grotere geheel. Dit voorbeeld waar de invoering van een standaardpakket het hoofdonderwerp was, laat zien dat het managementvraagstuk om iets heel anders draaide en dat de cio niet in de echte lijn van de macht zit. Het topmanagement moet hier orde op zaken stellen. De it-manager moet accepteren dat de directie in het zadel zit. Doe je dat niet dan gedraag je je als een soort van directie in ballingschap, mopperend maar zonder macht. Het enige dat je kunt en moet doen is de directie op de gevolgen en alternatieven wijzen.”