Hoe kan ik als commissaris meer grip krijgen op IT?

Best Practice
Leg uw toezichtdilemma voor aan ons panel

Ik ben commissaris bij een grote onderneming. Ik weet iets van IT, maar heb toch de indruk dat ik het tempo van de veranderingen in deze digitale wereld steeds moeilijker bij kan houden. Ik signaleer dat gevoel ook bij mijn collega's. We hebben het idee dat we ergens veel geld laten liggen en tegelijkertijd te veel geld aan IT uitgeven. Hoe kunnen we als toezichthouders omgaan met dit dilemma?

Het antwoord komt van Frank Harmsen, director IT-Advisory van Ernst & Young:

De IT-functie is voor bestuurders en commissarissen vaak een black box. Dit uit zich ofwel in onvoldoende ‘grip’ op IT of juist in de neiging van bestuurders en toezichthouders om zich teveel met IT te bemoeien. Beide reflexen leiden niet tot betere prestaties van de IT-functie. Als voorbeeld kunnen we denken aan de grote IT-projecten van de overheid, die onlangs nog negatief in het nieuws waren als gevolg van kosten- en doorlooptijdoverschrijdingen. De Tweede kamer probeerde zich ermee te bemoeien, maar blijkt hiertoe niet in staat.

Niet voor niets zet de overheid hoog in op een goede IT-governancestructuur, waarin ook de toezichthouders een belangrijke rol spelen. Door de IT-governance onder de loep te nemen en te verbeteren, kunnen relatief snel resultaten worden geboekt – in sommige gevallen zelfs tot zo’n dertig procent lagere kosten en vijftig procent hogere opbrengsten! Uit onderzoek van Ernst & Young, in samenwerking met Maastricht University en de Universiteit Utrecht, blijkt namelijk dat er veel verbeterpotentieel is. IT-kosten zijn vaak hoger dan nodig en opbrengsten lager dan mogelijk. Risico’s, bijvoorbeeld op het gebied van cybercrime, zijn in veel organisaties onverantwoord hoog.

IT-Governance moet daarom zijn ingebed in corporate governance. Dit is meestal nog onvoldoende het geval. De toezichthouder moet snappen hoe IT-Governance zich verhoudt tot de besturing van een organisatie. De rol van de toezichthouder is dan vervolgens om te controleren of deze relatie bestaat en in stand wordt gehouden. Tevens dient hij of zij zich ervan te vergewissen dat er geen lekken in de besturingsketen zijn, en als die lekken er al zijn, erop toe te zien dat die adequaat en structureel worden gedicht. Om dat te kunnen moet een toezichthouder de essentie van IT-Governance goed voor ogen hebben. Die essentie bestaat uit vier activiteiten:

  • Besluitvorming over IT-investeringen
  • Besturing en prioritering van IT-projecten
  • Business Cases en het IT-Budgetteringsproces
  • Meten en Realiseren van de opbrengsten van IT

Uit het onderzoek blijkt dat in veel organisaties de besluitvormende organen inefficiënt en ineffectief zijn georganiseerd. Op de diverse niveaus zien we organen die over dezelfde of soortgelijke IT-besturingsvraagstukken besluiten. Tevens is vaak niet duidelijk wie nu waarover beslist. We merken ook dat tussen de besluitvormende organen relatief weinig wordt gecommuniceerd. Het gevolg hiervan is dat projecten langzamer opstarten dan gewenst, dat projecten ten onrechte worden gestart, of dat desinvesteringen te laat worden ingezet. Juist hier is een helder besturingsmodel voor de IT-functie, inclusief een logische verbinding met corporate governance, van groot belang.

Op het gebied van besturing en prioriteitstelling laat het onderzoek zien dat projectprioriteiten onvoldoende in lijn zijn met de (strategische) doelstellingen van de business. In veel organisaties bestaan nauwelijks heldere start-/stopcriteria waarop projecten gedurende hun hele levenscyclus worden beoordeeld. In sommige gevallen gebeurt dit nog wel bij de start van een project, maar we zien maar weinig organisaties waar het projectenportfolio actief wordt gemanaged. Het gevolg hiervan is een toename van de kosten en de duur van IT-initiatieven, met een direct negatief resultaat op het bedrijfsresultaat. Op langere termijn kan dit leiden tot het onvermogen van de organisatie om te innoveren en te vernieuwen. Dit is dus zeker iets waar een bestuurder of toezichthouder zich zorgen over zou moeten maken.

Het onderzoek toont verder aan dat budgetteringsprocessen nog onvoldoende helder zijn en vaak nauwelijks gestandaardiseerd. De consequenties hiervan zijn onvoldoende synergie en suboptimale uitgaven. Vaak is niet eens helder wat nu de totale IT-kosten van een bedrijf zijn, laat staan dat daar echt op kan worden gestuurd. Kosten en opbrengsten (veelal beschreven in zogenaamde business cases) zijn niet goed gespecificeerd. Een inschatting van de resultaten van IT-initiatieven is vaak boterzacht en is gestoeld op te veel onverifieerbare aannames. Dit leidt weer tot initiatieven waarvan de opbrengsten onduidelijk zijn.

Het meten en realiseren van IT-opbrengsten heeft zeer veel potentieel. In plaats van sec naar de kosten te kijken heeft het bijvoorbeeld veel meer zin om de financiële effecten van IT te bestuderen. In de praktijk gebeurt dit niet of nauwelijks. In business cases worden weliswaar de opbrengsten beschreven, maar het daadwerkelijk sturen op realisatie (inclusief meting) is zelden het geval. Hier ligt opnieuw een belangrijke rol voor bestuurders en toezichthouders: doorgrond de Business Case van IT-investeringen en blijf kritische vragen stellen: Wat zijn de kostencomponenten? Zijn kosten meetbaar? Onder welke voorwaarden worden opbrengsten behaald? Zijn die voorwaarden realistisch? Welke risico’s zijn verdisconteerd in de kosten? Vragen die vele miljoenen kunnen opleveren óf besparen. Elke brand is immers te blussen met een glas water.

www.ey.nl

Auteur(s)
Frank Harmsen
Dit artikel is gepubliceerd in
gu2011-03

Nationaal Register

Jan van Nassaustraat 93
2596 BR Den Haag
T 070-324 30 91
info@nationaalregister.nl

Volg ons op social media

Governance Update nieuwsbrief