Het inrichten van governance speelt in uiteenlopende organisaties. Maar hoe doe je dat? Welke frameworks ondersteunen daarbij? Michiel Croon en Stijnita Meijer kijken in deze opinie naar de mate waarin ITIL en COBIT hier aan kunnen bijdragen. Beide frameworks zijn vorig jaar geactualiseerd.
Om een goede invulling te geven aan de betekenis van COBIT (Control Objectives for Information and related Technology) en ITIL (Information Technology Infrastructure Library) voor governance moeten we eerst vaststellen wat laatstgenoemde precies inhoud.
Om te beginnen is er ISO38500 (in opbouw) voor governance. Dit is gebaseerd op de Australische Governance-standaard AS8015. Governance bestaat volgens dit model uit het weerstaan van ‘Business Pressure’ (conformance) en uit het invullen van ‘Business Needs’ (performance). Onder conformance verstaat AS8015 het voldoen aan externe wet- en regelgeving, het invullen en naleven van intern beleid en het voldoen aan (interne) kwaliteitsdoelstellingen, mede door gebruik van externe standaarden. AS8015 definieert performance als het zekerstellen dat ict gebruikt wordt voor geaccordeerde doeleinden en op de afgesproken manier.
ITIL
Binnen ITIL wordt governance gezien als het ervoor zorgdragen dat beleid en strategie daadwerkelijk worden geïmplementeerd en dat daartoe benodigde processen correct worden uitgevoerd. Ook it organisaties moeten hun performance verantwoorden en voldoen aan wet- en regelgeving (compliance als onderdeel van conformance). Dit laatste wordt niet uitgewerkt binnen Service Strategy. Binnen ITIL is governance de resultante van performance maal conformance, net als bij AS8015.
COBIT
Governance is volgens COBIT de verantwoordelijkheid van de directie, zich richtend op leiderschap, organisatorische structuur en processen. De directie moet ervoor zorgen dat de ict bijdraagt aan de strategie en doelstellingen van een organisatie. Het meten van performance is daartoe cruciaal. Daarnaast definieert COBIT compliance als het voldoen van het business proces aan relevante wetten, regelgeving en contractuele afspraken. Deze kunnen gebaseerd zijn op externe criteria en intern beleid. Met andere woorden, governance binnen COBIT is performance maal compliance.
Weill en Ross
Tot slot is er nog de definitie van Weill en Ross. Deze auteurs definiëren governance als ‘het gespecificeerde beslis- en verantwoordelijkheidssysteem om gewenst gedrag in het gebruik van informatie technologie te bereiken’ (Weill en Ross, 2004). Dit cultuurelement is een waardevolle toevoeging, want het gaat uiteindelijk om het gedrag van organisaties en mensen.
Wij zien governance als het framework voor de regievoering in een organisatie, waarmee het verantwoording aflegt over de bedrijfsvoering aan zowel klanten (performance), externe wet- & regelgeving en interne richtlijnen (compliance / conformance). Het is een combinatie van structuur en cultuur waarmee afgesproken beleid en strategie wordt geïmplementeerd en vastgelegd in nageleefde processen:
– Structuur in termen van verantwoordelijkheden en bevoegdheden, de beslissingsstructuur. Dit komt vaak tot uiting in RACI-tabellen;
– Cultuur in de vorm van gewenst gedrag tonen, zodat medewerkers hun verantwoordelijkheid kunnen en durven nemen. Betekent dat een carreer-limiting-move voor deze medewerker of is het een cadeautje voor het management?
Uiteindelijk draait het bij Governance om het voorkomen van het volgende excuus op alle niveaus in een organisatie: “Mijn naam is Haas, ik weet van niets”.
Mapping
In ITIL v3 en COBIT v4.1 komen governance-aspecten duidelijk naar voren. COBIT heeft vier aparte processen gedefinieerd in Monitor & Evaluate, specifiek voor governance (Mapping COBIT 4.1 op ITIL v3). We hebben ITIL en COBIT in oude en nieuwe vorm met elkaar vergeleken. Dit deden we vanuit het perspectief van ITIL.
Het eerste wat opvalt is dat COBIT en ITIL naar elkaar toe groeien, te zien aan de grotere dekking aan kleuren in de COBIT-processen. Beide frameworks beslaan in grote mate dezelfde processen. Betekent dit dat de frameworks uitwisselbaar zijn? Nee, beide kennen een andere oorsprong en zodoende een eigen invalshoek. ITIL is ‘good practice’ in service management voor de hoe-vraag. Het beschrijft in detail een set van processen en functies. COBIT is een controle framework voor de wat-vraag. Het beschrijft geen processen, het stelt alleen eisen aan processen.
Het tweede dat opvalt, is het enige witte vlak in het geheel: Manage IT Human Resources. COBIT heeft een proces voor Human Resource management gedefinieerd voor het werven, behouden en gecontroleerd afvloeien van gemotiveerd en kwalitatief en kwantitatief afdoende personeel. It service management is en blijft immers voor een groot deel mensenwerk. ITIL besteedt in de nieuwe versie weliswaar meer aandacht aan ‘human resources’, echter zonder dit te onderbouwen met een personeelsmanagementsysteem. Op strategisch niveau worden mensen onderkend als strategic asset (resource én capability) om diensten te leveren. Binnen Service Transition richt het proces Transition Planning & Support zich op de (human) resources, die betrokken zijn bij het introduceren en leveren van een nieuwe dienst. Hierin ligt de nadruk op voldoende resources (manuren) en vaardigheden.
Als we terugkijken naar onze uitgangspunten van governance als combinatie van structuur en cultuur, dan valt op dat beide frameworks geen aandacht besteden aan cultuur. ITIL geeft middels de acht stappen van Kotter en de rouwverwerkingsfasen van Kübler-Ross enige structuur(!)middelen om cultuur mee te veranderen, maar in welke gewenste richting?
Fit for governance
Hoe kunnen ITIL en COBIT nu bijdragen aan het realiseren van governance? ITIL houdt zich (terecht) bezig met added value for the business. In versie 3 komt dat sterk tot uiting in Fitness for Purpose en Fitness for Use (Fitness ITIL v3 versus kwaliteitscriteria COBIT4.1). Een it-dienst dient te appelleren aan de wensen van de gebruikers (use), en zakelijk verantwoord te zijn (purpose). Bovenal moet een it-dienst te sturen zijn en dat levert een groot aantal criteria op om de it-performance te beheersen.
COBIT geeft ten opzichte van ITIL invulling aan een extra kwaliteitscriterium, namelijk Compliance. Dit wordt gedefinieerd als ‘complying with the laws, regulations and contractual arrangements to which the business process is subject, i.e., externally imposed business criteria as well as internal policies’. COBIT kijkt hierbij dus naar interne en externe factoren die de sturing van een organisatie beïnvloeden. COBIT benoemt de business goals die gerelateerd zijn aan compliance. Bovendien koppelt het daaraan de it doelen en bijbehorende processen om uiteindelijk die business goals te realiseren (zie COBIT in het kort). Juist de combinatie van Performance maal Compliance levert Governance op. Daarmee is COBIT een interessant framework om samen met ITIL vorm te geven aan Governance en Continual Service Improvement.
Conclusies
Om te beginnen constateren we dat ITIL en COBIT naar elkaar toe groeien. COBIT is daarbij voorschrijvend (het ‘wat’), ITIL beschrijvend (het ‘hoe’). Daarbij kun je (moet je) een COBIT implementatie ondersteunen met een procesframework zoals ITIL, want COBIT alleen biedt te weinig houvast voor het implementeren van processen. Andersom moet je bij een ITIL implementatie in verband met overlap voorzichtig zijn met toevoegingen uit COBIT. Wij zien in de volgende COBIT onderdelen toegevoegde waarde voor ITIL (v3):
– Manage IT Human Resources
– Procure IT Resources
– Ensure compliance with external requirements
– De link die Cobit expliciet legt tussen business goals en IT
De combinatie van beide frameworks leidt tot een fit for governance. Het aanbrengen van structuur komt terug in ITIL en COBIT. Het creëren van een cultuur van aansprakelijkheid en verantwoordelijkheid wordt niet uitgewerkt.
Michiel Croon en Stijnita Meijer, business consultants Getronics PinkRoccade
Aanbevelingen
Inrichten van governance, hoe doe je dat uiteindelijk? Richt in eerste instantie je service management organisatie in met een procesframework. De bekendste voorbeelden hiervoor zijn ITIL en MOF (Microsoft Operations Framework). Gebruik aanvullend elementen van een controle framework (naast COBIT is bijvoorbeeld ISO20.000 een mogelijkheid). En tot slot: werk niet alleen aan het gebruiken of invoeren van frameworks. Besteed aandacht aan de organisatiecultuur om gewenst gedrag ook daadwerkelijk te bereiken.
ITIL v3 in het kort
Goed gebruik van het middel ITIL levert een doorzichtige en meetbare organisatie op waarmee ict toegevoegde waarde creëert voor de business. Met de service lifecycle staan niet meer de processen centraal zoals in de vorige versie nog het geval was. In plaats daarvan staat nu de dienst in het middelpunt. De belangrijkste toevoegingen in versie 3 zijn de fasen service strategy en continual service improvement. De laatstgenoemde heeft betrekking op het draaiende krijgen (en houden) van het verbeterwiel van een organisatie. Vreemd genoeg laat ITIL v3 het achterwege om dit een gezicht te geven. Dit hadden de schrijvers kunnen doen door aan de integrale aanpak van ‘People, Proces, Product (tool), Partner’ een vijfde P van Performance toe te voegen.
COBIT 4.1 in het kort
De missie van COBIT is om het internationaal geaccepteerde it-governance control framework te zijn, toegepast door ondernemingen en dagelijks gebruikt door business managers, it-professionals en auditors. COBIT stelt (alleen) eisen aan een onderkend proces in de vorm van gewenste output, traceerbaarheid en meetbaarheid. ‘Good practices’ van procesuitvoering, processtappen of implementatie-aanbevelingen – waarmee ITIL beroemd is geworden – vind je niet in COBIT.
De kracht van COBIT is dat de controle-objecten in it een afgeleide zijn van business doelstellingen. Op deze manier zijn IT processen geen doel op zich, maar een middel om de business op een bepaalde manier te ondersteunen. Het doel van COBIT is te verzekeren dat ondernemingen het maximale halen uit informatie. Hiervoor heeft COBIT zeven kwaliteitscriteria voor informatie, te weten effectiveness, efficiency, availability, confidentially, integrity, reliability en compliance.
Literatuur
COBIT 4.1, ITGI 2007, ISBN 1-933284-72-2
Service Strategy Book, OGC 2007, ISBN 13: 9780113310456
Service Design Book, OGC 2007, ISBN 13: 9780113310470
Service Transition Book, OGC 2007, ISBN 13: 9780113310487
Service Operation Book, OGC 2007, ISBN 13: 9780113310463
Continual Service Improvement Book, OGC 2007, ISBN 13: 9780113310494
IT Governance, P. Weill en JW. Ross, Harvard Business School Press, 2004, ISBN 1-59139-253-5
http://www.ramin.com.au/itgovernance/as8015.html
Ik mis in dit stuk de eigenlijke probleemstelling. Waarom en hoe een framework in te zetten. Niks te nadelen van de analyse want daarvoor al mijn lof.
Ik zie ook dat veel organisaties worstelen met de inrichting van hun IT Governance. Je ziet dat dezelfde organisaties druk aan de gang gaan met Frameworks. Het implementeren van de framework is daarbij vaak het (ICT) doel geworden. De eigenlijke probleemstelling WAAROM wordt daarbij vaak vergeten.
Het focussen naar oplossingen zonder duidelijke probleemstelling en daarna (project) management technisch sturen op deze oplossingen (keuzes maken zonder reflectie naar het probleem) is m.i. de oorzaak van de meeste project- en ICT problemen.
Voor veel organisaties is m.i. volstrekte onzin om geheel cobit / Itil te implementeren of b.v. een ISO 20K certificatie te behalen. Dit zegt niets over de frameworks maar meer over wat heb ik nodig.
Want bied het oerwoud van ITIL v2/ v3, BiSL, Cobit, IT BSC, ISO 20K, ISO27K, ISO 38500, etc, etc (bent U de weg al kwijt??) U de antwoorden op Uw vragen. Welke antwoorden voor welke vragen dan. Wat past nu en in de toekomst het best bij Uw organisatie met Uw uitdagingen / problemen.
Gaat U als U een schilderij gaat ophangen de hele bouwmarkt leegkopen om deze klus te klaren. (zeg implementatie van een framework) of koopt U een haakje, draadje, wat spijkers en een hamer. Probleem is schilderij ophangen, oplossing is daarbij het gereedschap.
Kijkt U maar om U heen wat de effecten van verkeerd gebruik van Frameworks en het verlies van probleemstelling focus kan betekenen: Veel organisaties zijn ontevreden over de ICT huishouding en dienstverlening. Projecten mislukken door slechte communicatie en oplossing gerichte sturing. Maar vooral: ?autistische? ICT organisaties die bezig zijn met zichzelf (centralisatie, competence centers, outsourcing, implementatie problem management proces, Framework, etc), slecht communiceren en de ?klant? lastig vinden en niet begrijpen.
Hoe zit dat bij Uw organisatie?
Stel maar eens de volgende vragen binnen Uw organisatie:
Wat is de bedrijfsstrategie (wat zijn de belangrijkste doelen en wat is minder belangrijk). Wat is jouw rol om dit te bereiken. Waarom is er gekozen voor een oplossing / deze inrichting. Hoe weet (meet) U dat het gewenste resultaat wordt bereikt. Wat zijn de risico?s die het doel kunnen frustreren (waar moet je op letten). Welke competenties, inrichting, financi?le middelen, etc zijn er nodig om de gewenste doel te bereiken.
Test dit maar eens binnen Uw organisatie. De antwoorden zullen U verbazen.
Dus zonder doelen blijven de frameworks losse flodders. Het gaat om het gebruik van het juiste gereedschap op het juiste moment voor de juiste klus. Het waarom, wie, wanneer, waar, wat en hoe.
Het blijft ineffici?nt / een beetje dom om een spijker met een schroevendraaier in de muur te stampen.
Beste Rene,
Allereerst dank voor je reactie. Je hebt zeker een punt. Bij het schrijven van dit artikel hebben we dit (terechte) onderwerp niet expliciet meegenomen, het is een artikel (of een boek?) op zich waard.
In het kort gezegd vat ik je reactie samen onder de noemer ‘a fool with a tool is still a fool’. Ik wil je nog wijzen op een andere dwarsdoorsnede, namelijk die van de integrale aanpak (hij wordt kort genoemd aan het einde van het artikel): een traject om het niveau van dienstverlening te verbeteren is m.i. gedoemd te mislukken als er alleen aandacht wordt besteed aan een framework (ik voeg aan jouw opsomming nog toe: ASL, MOF, 6 Sigma, MSP, Prince2, ValIT, FITS, M_o_R). Een succesvol traject besteed aandacht aan performance, people, product (tooling), partner (suppliers) en proces(sen).
Je opmerking dat een framework geen doel kan zijn wordt met name opgevangen in het formuleren van de performance: waar doen we dit voor, wat willen we ermee bereiken / verbeteren (toegevoegde waarde).
Vervolgens kom je bij de mensen die de verandering uit moeten voeren en met het resultaat moeten leven. Als mensen weten ‘waar ze het voor doen’ hou je ze binnen boord.
(Pas) daarna kom je bij de materie van de verandering: de processen, de tooling en de keten (leveranciers).
Met vriendelijke groet,
Michiel