De kersverse ISO-38500 biedt een briljante aanvulling op bestaande normen als ITIL, Cobit en BISL. Dat vinden Mark Toomey en Alison Holt die aan de totstandkoming ervan hebben meegewerkt. De vijftien bladzijden waarop de norm voor IT-governance is afgedrukt, moeten vooral het algemeen management aanspreken.
De Australische norm AS-8015 voor It-governance (gepubliceerd in 2005) heeft als basis gediend voor de wereldwijde broer over dit onderwerp. Aan Australiër Mark Toomey de vraag hoe het komt dat 'Down under' voorop lijkt te lopen. Want aan zijn zijde treffen we Alison Holt die ook tot over haar oren verwikkeld is in de totstandkoming van ISO-38500. Zij komt uit Nieuw-Zeeland. Beiden zijn betrokken bij de commissie die de ISO-standaard heeft voorbereid.
"Wij hadden het geluk over een paar mensen te beschikken die het probleem van de aansturing van it wilden oppakken. Niet vanuit de technologie, maar juist vanuit de besturing van een organisatie, vanuit de business", vertelt Toomey. Itil, Prince2 en Cobit zijn in hun ogen te veel gericht op technologie en processen. "Er was nog niks op het vlak van mensen en structuren. De commissie onderkende dat problemen met automatisering niet alleen aan de it-afdelingen zijn te wijten, maar evenzeer aan het algemeen management. Er ontbreekt hier blijkbaar nog wel eens goede leiding vanuit de top."
Toomey zegt dat de standaard voor IT-governance een gids is voor het gedrag van een organisatie bij het vaststellen van haar behoefte aan IT. Ook bepaalt de norm hoe IT is te gebruiken als onderdeel van bedrijfsprocessen. "ISO-38500 gaat over het gedrag van mensen binnen een organisatie dat nodig is om succesvol van IT gebruik te maken."
Menselijk gedrag
"Neem een bedrijf met een groot wagenpark", biedt Toomey een analogie. "De auto's worden onderhouden door de monteurs, maar andere mensen in het bedrijf rijden met de wagens rond. Dan heb je richtlijnen nodig voor die mensen over hoe ze met de auto's moeten omgaan. Dat is wat ISO-38500 doet: aangeven hoe je met verantwoordelijkheden moet omgaan, hoe je een it-strategie inkleedt, hoe je beslissingen neemt over investeringen in it, enzovoorts."
Hij legt uit dat de standaard uit zes principes bestaat die over het menselijk gedrag handelen. Volgens Toomey wordt dat element vaak vergeten in de de it-sector: mensen gaan om met machines; die zijn uitermate voorspelbaar en beheersbaar. "Mensen daarentegen zijn niet voorspelbaar, noch beheersbaar. Terwijl juist het menselijk gedrag een enorme invloed heeft op de vraag of een it-project al dan niet succesvol is."
Vooral het feit dat applicaties tegenwoordig verder reiken dan de eigen organisatiegrenzen maakt het volgens hem des te noodzakelijker om rekening te houden met menselijk gedrag en te erkennen dat dit gedrag te beïnvloeden is. "Als je de it verandert, dan verander je de manier waarop jouw bedrijf te werk gaat. Dat heeft gevolgen voor de medewerkers. Alleen de technologie veranderen, leidt niet tot het gewenste resultaat."
Sturen op uitkomst
Wie alle ITIL-3 boeken opstapelt heeft geen nachtkastje meer nodig. ISO-38500 past evenwel op 15 bladzijden. Hoe kan dat? "De standaard geeft niet aan wat of hoe je iets moet doen. Het geeft alleen de principes weer aan de hand waarvan je zou moeten werken. Bedrijven die het goed doen, sturen op de uitkomst, niet op de processen", stelt Toomey.
Alison Holt vult aan en zegt dat de ISO-standaard een verbetering is van de Australische standaard. "Vergeet niet dat ons publiek de directeuren zijn van een organisatie. Die gaan geen duizend bladzijden lezen over een standaard. Zij zoeken naar een puntig advies op hoog niveau over wat ze moeten doen om it goed te beheren. ISO-38500 is een paraplustandaard die niet dient ter vervanging van andere standaarden of methoden, zoals Six Sigma of Itil."
Als je jezelf in de schoenen van een bestuurder plaatst, dan, zo legt zij uit, is het van belang dat je de personeelsinformatie goed kunt beheren, evenals de financiële data en het IP (Intellectual Property). "Het draait om het beheren van de sleutelinformatie binnen een organisatie, ook al is die verdeeld over alle geledingen. Als je die gegevens niet bezit, houdt je bedrijf op te bestaan."
"Wie de standaard volgt, maakt een raamwerk waarbinnen beslissingen over it zijn te nemen", vervolgt Holt. "Daarnaast moet er een framework komen voor de rapporteringen. De mensen die verantwoordelijk zijn voor de operationele kant van it moeten leren te rapporteren op een manier die wordt begrepen door het algemeen management. Zij dienen aan te geven wat voor invloed een it-besluit heeft op de bedrijfsvoering en -resultaten."
Niet van onderaf
Holt vertelt dat in de praktijk it-managers it-governance van onderaf de directiekamer proberen binnen te krijgen. "Dat werkt niet. Je kunt niet met succes tegen de hiërarchische structuur van een organisatie ingaan. Je kunt wel beïnvloeden, maar je kunt niet sturen", zegt zij.
Daarom ook heeft de commissie die de ISO-38500 standaard heeft voorbereid, veel contact met het Institute of Directors en met parlementsleden in diverse landen. "Er bestaat veel belangstelling. De standaard gaat niet over technologie, maar over de manier waarop directies informatiestromen kunnen beheersen", stelt zij, eraan toevoegend dat de it-mislukkingen van de afgelopen jaren de belangstelling aanjagen.
Ook Toomey meldt dat er veel belangstelling is, vooral in West-Europa. "Australië loopt gek genoeg niet zo erg warm. Wellicht heeft dat te maken met de wet van de remmende voorsprong."
Gezond verstand
Is ISO-38500 lastig te implementeren? "Helemaal niet", reageert zij. "We beginnen meestal met een workshop met de directie die de standaard op haar eigen organisatie legt. Daar moet dan een beslissingsmodel uit volgen. Het belangrijkste is dat de directie moet onderkennen verantwoordelijkheid te dragen voor it-projecten en organisatiestructuren. Als dat eenmaal het geval is, is het volgen van de richtlijnen een kwestie van gezond verstand gebruiken."
"Zo'n aanpak hoort gewoon bij het risicobeheer dat het algemeen management dient uit te voeren. Informatie volgt een levenscyclus; de directie moet die cyclus beheersen. Dan moet je wel in 'business termen' blijven om de aandacht van de 'chief executive officer' te krijgen. Dat doet deze standaard."
Vervolg
Nu de standaard er ligt, wordt er gewerkt aan de verdere ontwikkeling ervan: het opzetten van trainingen, het regelen van het bijhouden van de standaard en het signaleren van geslaagde praktijkvoorbeelden ('best practices'). Ook is er vraag naar een volwassenheidsmodel met opeenlopende implementatieniveaus. "We erkennen dat zo'n model nuttig is, maar we willen eerst in de praktijk bestuderen hoe de standaard wordt toegepast en uitwerkt. Dat kan de specificaties opleveren die nodig zijn om een volwassenheidsmodel in te richten", aldus Alison Holt.