Onderzoek van Gartner en Standish Group laat zien dat de helft van het aantal gestarte ict-projecten niet voltooid wordt. Circa een derde voldoet niet aan de eisen van de gebruiker. Slechts 20 procent blijkt een succes te zijn. Bij de Nederlandse overheid is het niet anders. De hoofdoorzaak is het gebrek aan communicatie tussen ict’ers en gebruikers. Risicomanagement volgens de methode Riskant van doctor Eli de Vries moet de slagingskans van ict-projecten verhogen.
Jaarlijkse geeft de overheid enorme bedragen uit aan haar ict-voorzieningen. Door de toenemende complexiteit groeit het risico van de steeds grotere projecten explosief. Hoe reduceer je het risico dat een project zijn doelstellingen niet haalt; hoe voorkom je te hoge kosten, te late oplevering of het
Riskant De methode Riskant beoordeelt het risico van ict-projecten aan de hand van vragenlijsten in vijf aandachtsgebieden: sociaal (wat denken de gebruikers); technisch (beoordeling van de gebruikte techniek en normen); bestuurlijk (coördinatie van de activiteiten); economisch (kosten/batenanalyse); en organisatorisch (bedrijfsvoering en contra-expertise). Deze evaluatie gebeurt meestal in drie fases: planning, realisatie en beheer. Het primaire doel is om de communicatie tussen de belanghebbenden te verbeteren en zo verrassingen te voorkomen. Doordat de risico’s in kaart gebracht zijn, is iedereen zich beter bewust van de gevaren. De inventarisatie maakt zichtbaar waar de grootste risico’s zitten. Je kan dan besluiten tot het verkleinen van het risico middels deelprojecten, een andere technologie, een andere organisatie of andere deskundigen, óf het project stoppen. Door de scores van de vragenlijsten te vergelijken, zijn de risico’s van verschillende oplossingen te beoordelen. Riskant is in 1988 op basis van de Zweedse SBA-methode (Security By Analysis) ontwikkeld en geïntroduceerd bij het ministerie van Defensie. De methode is uitgebreid en verfijnd aan de hand van ervaringen bij honderden projecten. (De beschrijving van Riskant door Eli de Vries is uitgegeven door ten Hagen Stam, isbn 9044005480. De vragenlijsten staan op een cd-rom bij het boek en op http://www.kibo-info.nl van het Kenniscentrum Informatiesystemen Bedrijfsvoering Overheid). |
Opsplitsing
In 1994 moest het ministerie van Defensie sterk bezuinigen. De Vries had opgemerkt dat veel geld werd uitgegeven aan projecten die halverwege gestopt werden of die niet voldeden aan de eisen van gebruikers en dus ongebruikt bleven. Hij pakte de draad op van een eerder evaluatieproject dat alleen gebruikt werd in de realisatiefase, en breidde dat uit. De Vries: “Belangrijker nog is de planningfase, want daarin moet het fundament voor een project gelegd worden. Daarnaast is de beheerfase van belang: de levensduur ligt rond de tien jaar, maar binnen enkele jaren verouderen systemen al vaak.” De vragenlijsten werden verder ontwikkeld en verfijnd om de afbreukrisico’s voor alle drie de fases in te schatten.
De vragenlijsten van Riskant worden in een sessie van zo’n vier uur ingevuld door een risicoanalist. Bij de sessie zijn vertegenwoordigers van de vijf groepen belanghebbenden vertegenwoordigd: gebruikers, projectteam, beheerteam, staf en management. Een ervaren analist kan vervolgens binnen een dag een rapport samenstellen. De Vries: “Mocht uit de scores blijken dat het risico erg groot is, dan ligt het voor de hand om het risico te verkleinen door opsplitsing in deelprojecten. Bij de evaluatie van de deelprojecten zal blijken dat het risico dan sterk verminderd is.”
Handenvol geld
De resultaten bij Defensie waren bevredigend: een directe besparing van tenminste 15 procent op de beheer- en ontwikkelkosten werd gerealiseerd. De Vries: “In werkelijkheid waren de besparingen nog veel hoger omdat een groot aantal risicovolle projecten vroegtijdig is afgeblazen.” Hierbij zijn honderden projecten onder de loep van het risicomanagement genomen.
De stand van zaken nu is volgens De Vries onbevredigend. “In 1997 is de laatste risicoanalist vertrokken en sindsdien wordt de methode niet meer gebruikt. Slechts één keer is hij nog toegepast bij een documentair informatiesysteem van Vrom.” Dit heeft te maken met de organisatiecultuur. Ict’ers hebben weinig behoefte aan een pottenkijker en denken het zelf beter te weten. De gebruikers weten niet genoeg en zijn te afhankelijk van de ict’ers. Het management en de staf hebben te weinig besef van wat er speelt en houden zich afzijdig. Met andere woorden, de risicoanalist heeft nog geen vaste plaats in de organisatie gekregen – en dat kost handenvol geld.
Beveiliging staat tegenwoordig hoog op de agenda, maar ontbreekt in de vragenlijsten. De Vries: “De vragenlijsten zijn ontwikkeld rond 1990 voor de streng beveiligde netwerken van Defensie, toen beveiliging nog niet zo’n punt was. Nu hoort het er zeker bij.” De Vries werkt echter als eenling aan Riskant, en een uitbreiding staat niet in de planning.
Riskant is volgens De Vries ook buiten de overheid te gebruiken. “Van kleine projecten, tot honderdduizend euro, tot heel grote; ik hoop dat mijn boek, de vragenlijsten en de methode ook buiten de overheid belangstelling zullen krijgen.”< BR>