Het gebeurt te vaak dat bedrijven niemand eindverantwoordelijk maken bij de invoering van een it-standaard. Daarom worden de beoogde voordelen van een standaard, zoals kostenbesparing, niet gehaald. Dat zegt business architect Robert van Wessel van ABN Amro. Hij kreeg voor zijn onderzoek naar de gevolgen van het gebruik van it-standaarden binnen bedrijven de Aart Bosmanprijs voor beste ict-onderzoek. Computable sprak met hem.
Waarom it-standaarden?
Mijn onderzoek gaat over bedrijfsstandaarden. Dit is de specificatie van een product of proces die je vervolgens herhaaldelijk en op dezelfde manier gebruikt binnen de organisatie. Je kan er bijvoorbeeld voor kiezen om een open source office-pakket te gebruiken of je kiest voor Prince 2.
Is er verschil tussen it-standaarden en andere standaarden?
Ik heb in dit onderzoek alleen gekeken naar it-standaarden, maar je kunt mijn conclusies ook toepassen op andere standaarden. Het model dat ik ontwikkelde, heb ik onlangs ook toegepast een project portfoliomanagementstandaard. Dat ging prima.
Waarom wilde u onderzoek doen naar standaarden?
Ik merkte dat bij mijn werkgever ABN Amro het ene project waarin een standaard werd gebruikt wel een succes werd en het andere project niet. Ik vroeg me af hoe dat kwam.
En wat is de oorzaak?
Het proces van het in gebruik nemen van een standaard is als volgt: eerst heb je de selectiefase, daarna komt de implementatiefase en daarna krijg je de gebruiksfase. Tijdens die laatste fase wordt vaak geklaagd over de standaard, maar eigenlijk gaat het in een eerder stadium al mis. Vooraf wordt bijvoorbeeld niet goed nagedacht wie met de standaard gaat werken. Als het gaat om de it-standaarden, dan is het vaak de ict-afdeling die een beslissing neemt, maar er zijn veel meer betrokkenen nodig bij een goede keuze. Denk bijvoorbeeld aan het gebruik van een bepaalde applicatie. In het selectieproces worden dergelijke fouten al gemaakt en daarna bij de invoering en het gebruik is er in veel gevallen niet genoeg controle op de eerder gemaakte keuzes. Met andere woorden, het gaat mis bij de governance.
Er is een controleur nodig die het proces in de gaten houdt?
Het is veel meer dan een controleur. Je hebt iemand nodig die verantwoordelijk is als het mis gaat. Bij ABN Amro hebben wij bijvoorbeeld een afdeling die zich bezig houdt met ict-standaarden die de juiste stakeholders bij het proces betrekt. Daar is de verantwoordelijkheid neergelegd. Bij kleinere bedrijven kan dat bijvoorbeeld bij een kwaliteitsmedewerker. Een van de voorwaarden voor het succes van een dergelijke controleur is wel dat hij erop afgerekend kan worden.
Waarom gebeurt dat nu niet?
Het management van de standaarden – daarmee bedoel ik het plannen, het sturen en organiseren van het proces – gaat meestal wel goed bij bedrijven. Maar bij governance gaat het over eigenaarschap, beslissingsbevoegdheid en hoe beslissingen worden genomen en gecontroleerd. Je kan er dus op worden afgerekend. Werknemers willen dat niet.
Het is dus niet de standaard die goed of fout is?
Nee, het gaat mis bij de selectie, de invoering of het gebruik. Veel standaarden zijn gebaseerd op best practices, dus dat zit wel goed. Het gaat erom dat als je kiest voor een standaard je deze dan ook steeds gebruikt zoals die bedoeld is.
Hoe belangrijk is het om vast te houden aan een standaard?
Het moet mogelijk zijn om van een standaard te kunnen afwijken. Een vereiste is wel dat je dat proces goed inricht en dat er gegronde redenen voor zijn. Denk bijvoorbeeld aan het inloggen met een pin-pasje en een wachtwoord, de two-factor-authentication. Bij legacy applicaties is dit vaak technisch niet mogelijk. Een businesseigenaar moet de afweging maken, ga ik voor veel geld aanpassingen uitvoeren of accepteer ik het risico en zorg ik dat er een logboek wordt bijgehouden. Je kunt afwijken van een standaard, zolang dat gecontroleerd gebeurt.
Wat gaat u verder doen met de uitkomsten van het onderzoek?
Ik doe nu vervolgonderzoek aan de Rotterdam School of Management aan Erasmus Universiteit bij Henk de Vries. Dit onderzoek wordt gefinancierd door de Britse standaardenorganisatie BSI. Ik onderzoek wat de positieve en negatieve gevolgen zijn van de ISO/IEC 27001&2-standaarden, de standaard voor informatiebeveiliging. En in dit onderzoek gebruik ik natuurlijk de methode die ik tijdens dit onderzoek ontwikkelde.
Robert van Wessel
Dr. Ir. Robert van Wessel studeerde elektrotechniek aan de Universiteit Twente. Hij startte als service manager bij ABN Amro en groeide via Information Security Officer door naar Business Architect. Het oplossen van vraagstukken op het gebied van business-it alignment vormen de rode draad van zijn werkzaamheden. In 2001 startte hij deeltijd met bedrijfskundig promotie-onderzoek aan de universiteit van Tilburg bij prof. dr. Ribbers. Deze studie sloot hij af met het proefschrift 'Realizing Business Benefits From Company IT Standardization'. Hiervoor ontving hij in 2009 de Aart Bosman-prijs voor beste ict-onderzoek op het gebied van de bestuurlijke informatiekunde.
In het eerste kwartaal 2010 geeft uitgever IGI Global een business editie van zijn proefschrift uit.
