30 505
Grip op informatievoorziening IT-governance bij ministeries

nr. 2
RAPPORT

Inhoud

SAMENVATTING

Inleiding

Een goede informatievoorziening is onmisbaar voor een overheid die doelmatig te werk wil gaan en haar burgers goed wil bedienen. De kwaliteit van de informatievoorziening binnen de rijksoverheid is in belangrijke mate afhankelijk van de wijze waarop informatie- en communicatietechnologie (ICT) wordt ingezet.

De rol van ICT is de laatste jaren sterk veranderd. ICT is uitgegroeid tot een strategisch middel dat de overheid in staat stelt doelmatiger te functioneren en beter te presteren.

Gezien het belang van een goede informatievoorziening en de strategische rol van ICT daarin is het noodzakelijk dat de departementale top de informatievoorziening én de onderliggende technische voorzieningen in hun onderlinge samenhang in beschouwing nemen. Dit proces wordt aangeduid als IT-governance. IT-governance bij de rijksoverheid is een gedeelde verantwoordelijkheid van de ministeries, de Tweede Kamer en eventuele rechtspersonen met een wettelijke taak (RWT’s).

Praktijkervaringen met IT-governance

De Algemene Rekenkamer is bij de Ministeries van Economische Zaken (EZ) en van Sociale Zaken en Werkgelegenheid (SZW) nagegaan hoe zij IT-governance in de praktijk brengen1. De twee ministeries blijken volop bezig te zijn IT-governance vorm te geven. Er zijn opvallend veel overeenkomsten in de wijze waarop zij dat doen. Zo streven beide ministeries naar meer centrale regie op de organisatie van informatievoorziening en de inrichting van de ICT. Een voorbeeld hiervan is het benoemen van de functie van chief information officer (CIO), die bij beide ministeries in de top van de organisatie is ondergebracht, bij de plaatsvervangend secretaris-generaal (pSG). De CIO draagt onder meer de verantwoordelijkheid voor de inrichting en beheersing van de informatievoorziening en vormt de verbinding tussen bedrijfsprocessen en de ICT-voorziening. Beide ministeries zijn bezig de functie van CIO te professionaliseren.

De professionalisering van de CIO blijkt een rijksbrede trend te zijn.

De laatste jaren neemt de aandacht van pSG’s voor IT-governance zichtbaar toe. Zij versterken de onderlinge samenwerking en breiden gezamenlijk hun deskundigheid uit, zodat ze beter toegerust zijn voor hun verantwoordelijkheden als CIO.

Aandachtspunten voor IT-governance

De Algemene Rekenkamer wil met dit rapport een impuls geven aan de verdere ontwikkeling van IT-governance bij de rijksoverheid. De volgende punten zijn daarbij volgens haar cruciaal:

• Vermijd «blinde vlekken» bij de inrichting van IT-governance.

• Werk vanuit omgevingsbewustzijn.

• Zorg voor een goede aansluiting tussen beleid, organisatiestrategie en informatiestrategie.

• Beschouw het ministerie als één concern.

• Ontwikkel een gestandaardiseerde concern-informatiearchitectuur.

• Organiseer vraag en aanbod van de ICT-dienstverlening.

• Beschouw IT-governance als een groeitraject naar een permanent proces.

• Zorg voor leiderschap en centrale regie.

De groei naar IT-governance kost noodzakelijkerwijs veel inspanning. De ministeries zullen tijd en ruimte moeten creëren voor hun groeitraject. Zij zullen daarbij aan moeten geven langs welke stappen het groeitraject zal verlopen en hoeveel tijd ermee gemoeid zal zijn.

Reactie ministers

De minister van EZ en de minister van SZW hebben beiden laten weten zich te kunnen vinden in het rapport van de Algemene Rekenkamer. Beide ministers spreken hun waardering uit voor de aanpak van de Algemene Rekenkamer, die erop gericht is ministeries op weg te helpen bij het inrichten van hun IT-governance.

De minister van EZ ziet het beschrijvingskader waarmee de Algemene Rekenkamer IT-governance in beeld heeft gebracht als een goed hulpmiddel, dat houvast geeft bij de ontwikkeling van professionele en volwassen IT-governance. Hij denkt wel dat het model gehanteerd zal worden als normenkader, terwijl het dat niet de bedoeling is.

De minister van SZW onderschrijft de redenering van de Algemene Rekenkamer dat een goede informatievoorziening onmisbaar is voor een doelmatige dienstverlening door de overheid. Omdat dat een effectieve inzet van ICT vereist zullen ministeries zich moeten bezighouden met het sturen van de informatievoorziening en ICT.

Verder beschouwt de minister het beschrijvingskader als een goede handreiking voor het analyseren en beschrijven van de inrichting van IT-governance bij ministeries. Het draagt volgens hem bovendien bij aan een gezamenlijk begrippenkader over departementen heen.

Beide ministers geven aan dat zij structureler aandacht zullen schenken aan de ICT-strategie binnen hun ministerie.

Nawoord Algemene Rekenkamer

De Algemene Rekenkamer ziet het gehanteerde beschrijvingskader niet als een «afvinklijst» voor de beoordeling van IT-governance. Zij ziet vooral een nuttige functie voor dit model bij de discussies binnen de ministeries zelf over hoe hun IT-governance ervoor staat. Bovendien kunnen de ministeries het gebruiken om in onderlinge discussies over IT-governance van elkaar te leren. Het beschrijvingskader vormt voor de Algemene Rekenkamer een startpunt voor verdere discussies met ministeries en externe deskundigen om zo tot een verdere invulling van IT-governance te komen. De Algemene Rekenkamer wil hiermee bevorderen dat alle ministeries in onderlinge samenwerking hun IT-governance verder ontwikkelen.

1 INLEIDING

1.1 Het belang van informatie

Een goede informatievoorziening is onmisbaar voor een adequaat opererende rijksoverheid. De overheid opereert adequaat wanneer zij de beleidsdoelen realiseert die ze heeft geformuleerd. Verder is het van belang dat zij in alle fasen van de beleidscyclus effectief en efficiënt te werk gaat en dus optimaal omgaat met de (schaarse) middelen die haar ter beschikking staan.

Een behoorlijk beleidsvormingsproces en een adequate evaluatie van de beleidsuitvoering is alleen mogelijk als er in voldoende mate relevante en betrouwbare beleidsinformatie voorhanden is. Maar ook in de fase van beleidsuitvoering zelf is goede informatie onontbeerlijk. Beleidsuitvoering wordt immers gekenmerkt door zeer informatie-intensieve processen. Enkele duidelijke voorbeelden zijn de belastingen, sociale zekerheid en zorg, maar er zijn tegenwoordig nauwelijks uitvoeringsprocessen te bedenken waarbij informatie geen of een ondergeschikte rol speelt.

In het verleden heeft de Algemene Rekenkamer herhaaldelijk geconstateerd dat de uitvoering van overheidsbeleid tekortschiet door ontoereikende informatievoorziening. Opvallend is dat goede beleidsinformatie vaak ontbreekt terwijl in de uitvoeringsprocessen een veelheid aan gegevens wordt verzameld die als basis voor beleidsinformatie kan dienen (zie onderstaand voorbeeld). Het blijkt in de praktijk moeilijk om aanwezige gegevens te vertalen naar relevante informatie. Deze «vertaalproblemen» hebben vaak te maken met de inrichting van de informatievoorziening.

Bij het werken met informatie moet de overheid zorgvuldig te werk gaan. Hiermee wordt voorkomen dat personen of organisaties schade ondervinden doordat gevoelige informatie buiten de organisatie bekend wordt. Een goede informatiebeveiliging is daarom een vitaal element in de bedrijfsvoering van overheidsorganisaties. Zie ook onderstaand voorbeeld.

1.2 IT-governance: een strategisch onderwerp

De kwaliteit van de informatievoorziening is in belangrijke mate afhankelijk van de wijze waarop informatie- en communicatietechnologie (ICT)1 wordt ingezet in een organisatie. De rol van ICT is de laatste jaren sterk veranderd. ICT is geëvolueerd van een louter ondersteunende technologie tot een onmisbaar en integraal onderdeel van de primaire en ondersteunende processen van de overheid. In het verleden was ICT niet meer dan een bedrijfsmiddel waarmee ministeries hun processen effectiever en efficiënter konden maken. Inmiddels is ICT uitgegroeid tot een strategisch middel dat de overheid in staat stelt beter tegemoet te komen aan maatschappelijke behoeften. De overheid kan dankzij ICT flexibeler en klantgerichter werken en beter samenwerken met ketenpartners. Door een slimme inzet van ICT kan de overheid dus doelmatiger functioneren en beter presteren. De departementale top kan zich bij de inrichting van de informatievoorziening dus niet afzijdig houden van ICT. Met andere woorden: ministeries moeten zich bezighouden metIT-governance2.

IT-governance maakt daarom deel uit van het governance-gedachtegoed. Governance (bestuur) is het sturen en beheersen van een organisatie, daarover verantwoording afleggen en daar toezicht op houden. Alom wordt het belang van governance onderkend als waarborg voor het bereiken van beleidsdoelen. Binnen deze governance-beweging begint zich steeds duidelijker ook IT-governance af te tekenen, vanwege het strategisch belang van informatievoorziening en ICT voor de beleidsuitvoering. Het doel van IT-governance is een informatievoorziening tot stand te brengen die het mogelijk maakt dat de overheid effectief en ketenbewust functioneert en optimaal presteert.

Kabinet en Tweede Kamer zijn zich ook bewust van het belang van ICT en informatievoorziening. Dit komt duidelijk tot uiting in het beleid dat verwoord is in het programma Andere Overheid (Ministerie van BZK, 2003), in de twee nota’s Beter presteren met ICT (Ministerie van EZ e.a., 2004a, 2004b, 2004c) en in het programma ICT en administratieve lastenverlichting (ICTAL) (Ministerie van EZ, 2003).

Het rijksbrede karakter van het beleid brengt met zich mee dat ministeries bij het inrichten van hun IT-governance over de eigen muren heen moeten kijken.

1.3 Doel rapport

Hoewel het governance-gedachtegoed zich al vanaf de jaren negentig ontwikkelt en het ICT-aspect daarin steeds meer aandacht krijgt, is het denken over IT-governance pas recent op gang gekomen. Discussies over het onderwerp hebben nog niet geleid tot een breed gedragen mening over wat IT-governance bij de overheid inhoudt en hoe het moet worden ingericht.

Volgens de Algemene Rekenkamer is het van belang dat die consensus er wel komt zodat de ministeries een gezamenlijke taal gaan spreken. Dan kunnen de ministeries gezamenlijk optrekken bij de invulling van IT-governance en beter samenwerken bij het besturen van de informatievoorziening in ketens. Met dit onderzoek willen we daarom de discussie over IT-governance een impuls geven en het onderwerp structureel bij de top van departementen op de agenda zetten. Op die manier brengen we niet alleen het belang van IT-governance voor het goed functioneren en presteren van de overheid onder de aandacht, we hopen zo ook bij te dragen aan de (praktische) gedachtevorming over de vormgeving van IT-governance. Daarnaast willen we ministeries op weg helpen bij het inrichten van hun IT-governance.

1.4 Aanpak onderzoek

De Algemene Rekenkamer heeft bij twee ministeries onderzoek gedaan om de IT-governance in beeld te brengen. We hebben gekozen voor een onderzoek bij het Ministerie van Economische Zaken (EZ) en het Ministerie van Sociale Zaken en Werkgelegenheid (SZW). De overweging om te kiezen voor het Ministerie van EZ is dat de minister van EZ in zijn bedrijfsvoeringsmededeling melding maakt van ICT. Het Ministerie van SZW is interessant vanwege het brede veld van rechtspersonen met een wettelijke taak (RWT’s). Het RWT-veld van SZW is niet alleen maatschappelijk relevant maar vooral sterk geautomatiseerd. Het gaat daarbij vooral om keteninformatisering: de ICT-aspecten overstijgen de afzonderlijke RWT’s en betreffen een complete beleidsketen.

Voor het onderzoek bij de twee ministeries hebben we een beschrijvingskader voor IT-governance ontwikkeld. Aan de hand van dat kader hebben wij de inrichting van IT-governance bij die ministeries in kaart gebracht. Daarnaast bieden wij met dit kader andere ministeries een instrument waarmee ze na kunnen gaan hoe zij hun eigen IT-governance hebben ingericht (zie bijlage 1).

Aanvullend op het onderzoek bij twee ministeries, aan de hand van het beschrijvingskader, hebben we ons oor te luisteren gelegd bij een aantal deskundigen op het gebied van IT-governance, zowel binnen de ministeries van EZ en SZW als extern. Deze gesprekken leverden waardevolle inzichten op die we hebben benut bij het formuleren van aandachtspunten voor de inrichting van IT-governance.

1.5 Indeling rapport

In het volgende hoofdstuk beschrijven we hoe IT-governance zich heeft ontwikkeld en wat het precies inhoudt. We geven in dat hoofdstuk ook een definitie van het begrip IT-governance. In hoofdstuk 3 schetsen we een beeld van hoe IT-governance in de praktijk wordt vormgegeven, aan de hand van de beschrijving van de stand van zaken bij de Ministeries van EZ en van SZW.1 Vervolgens geven we in hoofdstuk 4 een aantal aandachtspunten voor de inrichting van IT-governance bij ministeries. Hoofdstuk 5 bevat een slotbeschouwing.

De minister van SZW heeft op 13 maart 2006 gereageerd op het rapport van de Algemene Rekenkamer en de minister van EZ op 10 maart 2006. In het slothoofdstuk is een weergave van deze reacties opgenomen, samen met het nawoord van de Algemene Rekenkamer (hoofdstuk 6).

2 WAT IS IT-GOVERNANCE?

2.1 Inleiding

IT-governance is geen op zichzelf staand fenomeen, maar vormt een onderdeel van de wereldwijde opmars van het governance-gedachtegoed, waarbij governance staat voor bestuur. De groei van de (geautomatiseerde) informatievoorziening – en daarmee ICT – tot een strategisch bedrijfsmiddel vraagt om speciale aandacht voor het sturen en beheersen van de ICT-voorziening. ICT is immers niet langer primair een zaak van specialistische IT’ers of informatiemanagers, maar vooral een cruciaal aandachtsgebied van de bestuurlijke top van een organisatie. Daarmee is IT-governance een integraal onderdeel geworden van de gehele governance van een organisatie. Voor we een definitie geven van IT-governance en uitleggen wat het precies omvat, gaan we eerst dieper in op de ontwikkeling van het governance-gedachtegoed.

2.2 Ontwikkeling van het governance-gedachtegoed

Sinds de jaren negentig van de vorige eeuw is het – van oorsprong Angelsaksische – governance-denken steeds meer gemeengoed geworden. De aandacht voor governance heeft alles te maken met de belangen van belanghebbenden (stakeholders) en hun behoefte aan transparantie en verantwoording over hoe organisaties bestuurd worden.

Het governance-denken ontstond bij ondernemingen: corporate governance (zie § 2.2.1). De toepassing van het corporate-governance-gedachtegoed op overheidsorganisaties resulteerde in het begrip government governance (zie § 2.2.2). De toegenomen aandacht voor ICT en het belang ervan voor de bedrijfsvoering heeft geleid tot het ontstaan van IT-governance (zie § 2.2.3).

2.2.1 Corporate governance

Corporate governance ontstond in de jaren negentig van de vorige eeuw in de Verenigde Staten (VS) en het Verenigd Koninkrijk. In de VS publiceerde de Committee of Sponsoring Organizations of the Treadway Commission het beroemde COSO-rapport: Internal control-Integrated Framework (COSO, 1992). In datzelfde jaar publiceerde het Britse Cadbury Committee on Corporate Governance het Cadbury-rapport: The financial aspects of corporate governance, inclusief een Code of best practice (Cadbury, 1992).

De toepassing van corporate governance kreeg in de VS een sterke impuls door de invoering van de Sarbanes Oxley Act (SOX, 2002), in reactie op enkele grote boekhoudschandalen. Iedere onderneming die aan één van de Amerikaanse effectenbeurzen genoteerd staat, dient zich te houden aan deze wet.

Ook andere internationale organisaties, zoals de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) hebben corporate governance standaarden uitgebracht (OESO, 2004).

In Nederland is het corporate-governance-gedachtegoed uitgewerkt door twee Commissies Corporate Governance: de commissie-Peters en de commissie-Tabaksblat.

De commissie-Peters (1997) deed veertig aanbevelingen aan beursvennootschappen. De nadruk lag op de verbetering van de verantwoording rond de top (raad van bestuur en raad van commissarissen).

De commissie-Tabaksblat (2003) bouwde voort op de veertig aanbevelingen van de commissie-Peters en ging een stap verder met de publicatie van de Nederlandse Corporate Governance Code (Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen door de Commissie Corporate Governance). De code, die geldt met ingang van 1 januari 2004, gaat ervan uit dat goed ondernemerschap, inclusief integer en transparant handelen door het bestuur én goed toezicht daarop, de twee pijlers zijn waar goede corporate governance op rust.

2.2.2 Government governance

Belangrijke buitenlandse publicaties op dit gebied zijn het Britse Corporate governance: a framework for public service bodies (CIPFA, 1995) en Governance in the public sector: a governing body perspective (IFAC, 2001).

Ook de Guidelines for Internal Control Standards for the Public Sector (INTOSAI1, 2004) dienen hier genoemd te worden. Deze standaarden kunnen worden gekarakteriseerd als een vertaling van de COSO-standaarden voor internal control naar de publieke sector.

In Nederland speelde het Ministerie van Financiën de hoofdrol bij de vertaling van de corporate governance principes naar government governance. In 1996 werd het Studierapport Government governance (Ministerie van Financiën, 1996) gepubliceerd, gevolgd door de Handleiding government governance (Ministerie van Financiën, 2000).

2.2.3 IT-governance

De opmars van het governance-gedachtegoed en het inzicht dat de inzet van ICT-toepassingen een essentiële schakel is gaan vormen in de bedrijfsvoering en de realisatie van de beleidsdoelstellingen van de overheid, leidde tot een versterkte aandacht voor ICT als onderdeel van governance. Zo is IT-governance ontstaan.

Wereldwijd is een sterk toenemende aandacht voor IT-governance zichtbaar. De belangrijkste internationale instituten die zich met IT-governance bezighouden zijn de Information Systems Audit and Control Association (ISACA)2  en het IT Governance Institute (ITGI)3. ISACA is de internationale organisatie van IT-auditors. Deze organisatie ontwikkelde het toonaangevende Control Objectives for Information and related Technology (CobiT) (ISACA, 2000)1, dat beheerd wordt door ITGI.

CobiT bevat onder meer een volwassenheidsmodel, dat het ontwikkelingstraject voor IT-governance beschrijft. Het model schetst de volgende zes ontwikkelingsfasen:

• Non-existent

• Initial/Ad hoc

• Repeatable but Intuitive

• Defined Process

• Managed and Measurable

• Optimised

Enkele andere publicaties van het ITGI zijn Board briefing on IT governance (ITGI, 2003a), IT governance implementation guide (ITGI, 2003c) en IT control objectives for Sarbanes-Oxley (ITGI, 2003b).

Ook adviesbureau Gartner heeft zich in een vroeg stadium bezig gehouden met IT-governance. Van de publicaties van Gartner kunnen Designing effective IT governance (Gartner, 2003b), Creating an effective IT governance process (Gartner, 2003a) en Tailor IT governance to your enterprise (Gartner, 2003c) worden genoemd.

In Nederland houdt met name de NOREA2, de beroepsorganisatie van IT-auditors, zich bezig met IT-governance. De belangrijkste NOREA-publicatie op dit gebied is IT-governance; Een verkenning (NOREA, 2004). In deze verkenning worden definities van en modellen voor IT-governance geïnventariseerd, enkele praktijktoepassingen belicht en de betekenis en consequenties van IT-governance voor het IT-auditvak verkend.

2.3 Een definitie van IT-governance

IT-governance maakt deel uit van de gehele governance van een organisatie. We zijn daarom bij de definitie van IT-governance uitgegaan van de bestaande definities voor corporate governance en government governance.

Een praktisch bruikbare definitie voor corporate governance luidt (Ministerie van Financiën, 1996, p. 9): «het sturen en beheersen van ondernemingen, de verantwoording die daarover wordt afgelegd en het toezicht dat daarop wordt uitgeoefend ten behoeve van belanghebbenden.»3

Voor de definitie van government governance volgen we de definitie die het Ministerie van Financiën hanteert: «het sturen en beheersen van overheidsorganisaties en door de overheid in het leven geroepen organisaties, de verantwoording die daarover wordt afgelegd en het toezicht dat daarop wordt uitgeoefend ten behoeve van belanghebbenden (Ministerie van Financiën, 1996, p. 27). Het doel van government governance is volgens het Ministerie van Financiën waarborgen te scheppen voor de realisatie van beleidsdoelstellingen.

Zowel in de definitie van corporate governance als in die van government governance staan vier componenten centraal:

• interne sturing;

• interne beheersing;

• externe verantwoording;

• extern toezicht.

Wij zijn bij de definitie van IT-governance ook van deze vier componenten uitgegaan. Wij voegen daar echter nog een vijfde component aan toe omdat bij ministeries RWT’s vaak een belangrijke rol spelen bij de realisatie van de beleidsdoelen.1 De IT-governance van een ministerie zal zich in dat geval moeten uitstrekken tot de ICT-voorziening van de betreffende RWT’s.

Onze definitie van IT-governance luidt:

IT-governance is de gezamenlijke verantwoordelijkheid van de top van de organisatie en de toezichthouder(s) voor:

• de interne sturing van de ICT-voorziening van de organisatie;

• de interne beheersing van de ICT-voorziening van de organisatie;

• de externe verantwoording over de ICT-voorziening van de organisatie;

• het externe toezicht op de ICT-voorziening van de organisatie;

• en (bij ministeries, indien van toepassing) de aansturing van en het toezicht op de ICT-voorziening van de RWT’s door het ministerie.

2.4 Componenten van IT-governance

Zoals uit onze definitie blijkt, bestaat IT-governance uit vijf componenten. Hieronder gaan we dieper in op deze componenten.

Interne sturing

Interne sturing is het proces waarbij richting wordt gegeven aan een organisatie om de beleidsdoelstellingen te kunnen realiseren. Het gaat hier om het «uitzetten van de koers» voor de ICT-voorziening.

Onder interne sturing vallen activiteiten als: de planning en organisatie van de informatievoorziening en de ICT, het inrichten van de concernarchitectuur, en het inrichten van de ICT-processen en opstellen van interne procedures, regels en richtlijnen.

Interne beheersing

Interne beheersing is het proces waarbij een stelsel van maatregelen en procedures wordt ingevoerd en gehandhaafd om vast te stellen of de uitvoering in overeenstemming is en blijft met de gemaakte plannen. Zo nodig worden maatregelen voor bijsturing getroffen zodat de beleidsdoelstellingen gerealiseerd kunnen worden. Het gaat hier om het «op koers houden» van de ICT-voorziening.

Onder deze component valt risicomanagement, de naleving van interne procedures, richtlijnen en externe wet- en regelgeving, periodieke en incidentele managementrapportages, voortgangscontrole en bijsturing van de planning en audits, evaluaties en monitoring.

Externe verantwoording

Externe verantwoording betekent rekenschap afleggen aan externe belanghebbenden. Onder deze component vallen voortgangsrapportages (alleen bij grote ICT-projecten1 ) en de bedrijfsvoeringsparagraaf.

In de bedrijfsvoeringsparagraaf van hun jaarverslag geven ministers aan of ze «in control» zijn van hun bedrijfsvoering (is er sprake is van good governance?). IT-governance zou daar een logische plaats in kunnen krijgen. De minister legt dan in de bedrijfsvoeringsparagraaf ook verantwoording af over het gevoerde informatievoorzienings- en ICT-beleid en de daaruit voortvloeiende resultaten. Externe belanghebbenden kunnen zo zien of het ministerie grip heeft op de informatievoorziening.

Extern toezicht

Bij extern toezicht beoordeelt een externe toezichthouder of processen van een organisatie voldoen aan de daaraan gestelde eisen. De toezichthouder zal zo nodig interveniëren. Bij IT-governance gaat het om het toezien op het gevoerde ICT-beleid en de daaruit voortvloeiende resultaten. Activiteiten die onder deze component vallen zijn: informatieverzameling, oordeelsvorming, interventie.

Aansturing van en toezicht op RWT’s

Bij aansturing van en toezicht op RWT’s geeft het ministerie mede richting aan de ICT-voorziening van de RWT’s. Daarnaast gaat het ministerie na of de RWT’s voldoen aan de afspraken. Als dat niet het geval is intervenieert het ministerie.

Aansturing en toezicht op RWT’s is alleen van toepassing als de betreffende RWT’s een belangrijke rol spelen in het realiseren van de beleidsdoelen van het ministerie en als de ICT-voorziening hierbij een belangrijke rol speelt. Aansturing en toezicht vormen een integraal onderdeel van de wettelijk vastgelegde sturings- en verantwoordingsarrangementen tussen de minister en de desbetreffende rechtspersonen met een wettelijke taak.

Figuur 1 vat samen wat de componenten van IT-governance zijn en waar die componenten uit bestaan.

Deze componenten kunnen niet los van elkaar bestaan. Voor de definitie van IT-governance is niet alleen de invulling van de componenten van belang, maar ook hun onderlinge samenhang.

Interne sturing (koers uitzetten) en interne beheersing (op koers houden) zijn een «twee-eenheid». Tussen die twee componenten bestaat een voortdurende wisselwerking in de cyclus sturing-beheersing-(bij)sturing.

Externe verantwoording is gebaseerd op uitkomsten van interne beheersing. Externe verantwoording gaat ook over de uitgezette en afgelegde koers en dus over interne sturing en beheersing.

Extern toezicht maakt gebruik van externe verantwoording. De externe verantwoording moet dus goed zijn afgestemd op de informatiebehoeften van de externe toezichthouder.

De vijfde component, ten slotte, hangt nauw samen met de interne sturing en beheersing van het ministerie. Het ministerie geeft mede vorm aan de sturing en beheersing van de eigen beleidsprocessen door middel van RWT’s in de sectoren die onder de verantwoordelijkheid van de minister vallen.

IT-governance is niet een kwestie van «alles of niets»; IT-governance moet groeien. Daarbij bepaalt de volgroeidheid van de individuele componenten de mate van volwassenheid van de IT-governance als geheel. Groeimodellen zoals het volwassenheidsmodel van CobiT kunnen helpen het volwassenheidsniveau te bepalen.

2.5 Betrokken actoren

IT-governance bij de overheid is een gedeelde verantwoordelijkheid, verschillende actoren spelen een rol: het ministerie, de Tweede Kamer en eventueel RWT’s (zie figuur 2).

Binnen het ministerie is de chief information officer (CIO) verantwoordelijk voor IT-governance. Bij ministeries is deze functie meestal ondergebracht bij de plaatsvervangend secretaris-generaal (pSG). Naast de CIO spelen binnen het ministerie onder meer de volgende actoren een rol in IT-governance: de centrale afdeling Informatievoorziening, de beleidsdirecties, de centrale ICT-stafafdeling, decentrale ICT-afdelingen, de directie Financieel-Economische Zaken (FEZ) en de departementale auditdienst.

Buiten het ministerie is sprake van minimaal één externe toezichthouder: de Tweede Kamer en eventuele andere externe toezichthouders. Staatsrechtelijk gezien is in het geval van de Tweede Kamer sprake van parlementaire controle. Bij expliciete verwijzingen naar de Tweede Kamer gebruiken we in dit rapport deze uitdrukking, maar wanneer de term meer algemeen bedoeld is houden we de term toezicht aan. Voor de uitoefening van toezicht (parlementaire controle) is informatie en daarmee externe verantwoording door het ministerie nodig.

Tot slot kunnen RWT’s een rol spelen. Indien de ICT-component in het primaire proces van een RWT cruciaal is voor het bereiken van de beleidsdoelstellingen van het ministerie, kan het gewenst zijn dat het ministerie een rol speelt bij de aansturing van en het toezicht op de ICT-voorziening van de RWT.

Figuur 2 geeft een overzicht van de bij IT-governance betrokken actoren.

3 PRAKTIJKERVARINGEN MET IT-GOVERNANCE

3.1 Inleiding

Dit hoofdstuk schetst hoe het op dit moment staat met de ontwikkeling van IT-governance bij het Ministerie van EZ en bij het Ministerie van SZW1. Om de IT-governance bij die ministeries te kunnen onderzoeken en beschrijven, hebben we een beschrijvingskader ontwikkeld (zie bijlage 1)2 op basis van onze definitie van IT-governance. Dit hoofdstuk volgt de componenten van het kader en beschrijft achtereenvolgens de interne sturing, de interne beheersing, de externe verantwoording, het extern toezicht en de aansturing van en het toezicht op RWT’s. Daaruit blijkt dat bij beide ministeries de aandacht voor IT-governance de laatste jaren sterk is toegenomen. De schets in dit hoofdstuk is een momentopname, die moet worden gezien als tussenstand in een groeitraject.

De ontwikkelingen bij de twee onderzochte ministeries staan niet op zichzelf. Zij maken deel uit van een rijksbrede ontwikkeling op het terrein van de IT-governance met de plaatsvervangend SG’s (pSG’s) in een leidende rol. Wij bedoelen ontwikkelingen als het ontstaan van structurele samenwerkingsverbanden en de professionalisering van de CIO-functie. Dit hoofdstuk schetst ook deze rijksbrede context.

3.2 IT-governance bij ministeries

3.2.1 Interne sturing

In de praktijk blijkt dat er veel aandacht is voor de interne sturing van de departementale ICT-voorziening. Beide onderzochte ministeries hebben een programma of project opgestart om de ICT-functie van hun ministerie opnieuw in te richten waarbij onder andere de ICT-organisatie en de besturings- en besluitvormingsstructuur met bijbehorende taken en verantwoordelijkheden sterk wordt herzien (zie kaders hieronder). Een achterliggend doel van deze hervormingen is om de ICT-functie efficiënter en effectiever in te richten zodat er een betere aansluiting ontstaat tussen de vraag van de organisatie en het ICT-aanbod. De ministeries streven ernaar om het interne opdrachtgeverschap naar interne en externe ICT-dienstverleners verder te professionaliseren.

Bij de herinrichting van de ICT-functie zijn twee drijvende krachten te onderkennen. Zo is er een drang naar een meer centrale regie op de ICT-functie. Een voorbeeld hiervan is het benoemen van de functie van CIO, die bij beide ministeries in de top van de organisatie is ondergebracht, bij de pSG. De CIO draagt onder meer de verantwoordelijkheid voor de inrichting van de informatievoorziening, het informatiemanagement, de verbinding tussen bedrijfsprocessen en ICT, en voor beheer, opdrachtgeverschap en financiën op het gebied van ICT.

Een tweede ontwikkeling die bij de Ministeries van EZ en van SZW is waar te nemen, is het werken aan een ministeriebrede lange-termijnvisie op de informatievoorziening vanuit een concerngedachte. Volgens de concerngedachte is het ministerie een geheel en is er voordeel te behalen wanneer de verschillende diensten werken en samenwerken met een gestandaardiseerde ICT-architectuur.

De Algemene Rekenkamer constateert dat de volledige herinrichting van de ICT-functie bij beide ministeries een zeer belangrijk veranderingstraject is. Het traject is voor de gehele organisatie bijzonder ingrijpend waardoor het veel tijd kost om dit te implementeren.

3.2.2 Interne beheersing

Wanneer de koers is uitgezet (interne sturing) zal de leiding van het ministerie willen nagaan of deze koers ook daadwerkelijk wordt gevolgd, zodat ze kan bijsturen wanneer dat niet het geval is. De Algemene Rekenkamer constateert dat interne beheersing wel aandacht krijgt bij de twee onderzochte ministeries, maar minder structureel dan interne sturing.

Opvallend is bijvoorbeeld dat zij de voortgang van projecten en de uitvoering van de jaarlijkse werkplannen wel structureel nagaan, maar niet structureel aandacht schenken aan de evaluatie en actualisering van de ICT-strategie. De bijstelling van de ICT-strategie gebeurt vooral «incidentgedreven», bijvoorbeeld wanneer ontwikkelingen in de omgeving een bijstelling onontkoombaar maken.

Voor het Ministerie van SZW geldt dat zaken niet altijd als permanent proces geregeld zijn en deels langs informele weg plaatsvinden. Zo heeft er in 2000 een «implementatieslag afhankelijkheids- en kwetsbaarheidsanalyse (A&K-analyse)» plaatsgevonden. Dit was echter een eenmalige actie (zie kader).

Beide ministeries besteden aandacht aan de tevredenheid van de gebruikers van de ICT-voorzieningen, hoewel dit bij EZ nog niet structureel gebeurt.

Verder nemen beide ministeries deel aan een gezamenlijk project van een aantal ministeries om de ICT-kosten per werkplek in kaart te brengen en tussen de ministeries te vergelijken (benchmarking, zie kader).

3.2.3 Externe verantwoording

Transparantie, en in het bijzonder het verantwoorden over de bedrijfsvoering, is een belangrijk begrip binnen het concept van governance. Door zich in alle openheid te verantwoorden stelt een ministerie de Tweede Kamer in de gelegenheid om haar parlementaire controle adequaat in te vullen. Ministeries moeten zich transparant verantwoorden over de ICT-resultaten, de ICT-problemen en de belangrijke ICT-ontwikkelingen, omdat dit consequenties heeft voor het functioneren en presteren van het ministerie als geheel.

Vanwege het cruciale belang van ICT binnen de bedrijfsvoering acht de Algemene Rekenkamer het zinvol dat ministeries zich ook expliciet over dit punt verantwoorden binnen de bedrijfsvoeringsparagraaf van het jaarverslag, ondanks dat dit geen verplichting is.

Beide onderzochte ministeries geven in hun jaarverslag aan dat er sprake is van beheerste bedrijfsprocessen. Eén van de twee ministeries noemt de ICT-processen expliciet in het jaarverslag.

3.2.4 Extern toezicht

Beide ministeries ervaren geen directe parlementaire controle of toezicht door een andere organisatie op hun ICT-voorziening. Wel oefent de Tweede Kamer op de gebruikelijke manier parlementaire controle uit op de bedrijfsvoering van de ministeries. De belangrijkste informatiebron daarbij zijn de afzonderlijke jaarverslagen van de ministeries. De Tweede Kamer heeft altijd de mogelijkheid om aanvullende informatie te vragen. Voor grote (ICT-)projecten kan dit bijvoorbeeld worden gedaan op basis van de procedureregeling Grote Projecten1.

3.2.5 Aansturing van en toezicht op RWT’s

Aansturing van en toezicht op RWT’s is bekeken bij het Ministerie van SZW. Daarbij is het domein in beschouwing genomen dat geregeld wordt door de wet Structuur Uitvoeringsorganisatie Werk en Inkomen (SUWI), die sinds 1 januari 2002 van kracht is.

De staatssecretaris van SZW stuurt dit domein aan door afspraken te maken met RWT’s over de te leveren prestaties. Daarbij wordt ICT gezien als onderdeel van de bedrijfsvoering, waar de RWT’s zelf verantwoordelijk voor zijn. De sturing door het Ministerie van SZW op de ICT van de RWT’s is daarom ingebed in de algehele sturing van deze organisaties. De staatssecretaris vormt zich als toezichthouder een oordeel over de resultaten van de afzonderlijke RWT’s, de prestaties van de SUWI-keten als geheel en het functioneren van het stelsel. Dit sturen op resultaten maakt het ook mogelijk om voor ICT te sturen op te behalen prestaties, vooral wanneer deze gerelateerd zijn aan te bereiken beleidsmatige doelstellingen of wanneer er sprake is van aanmerkelijke risico’s. De noodzaak tot verbetering van dienstverlening aan burgers en stroomlijning van de informatievoorziening kunnen bijvoorbeeld aanleidingen vormen voor sturing door het Ministerie van SZW op ICT-resultaten. Zo heeft de staatssecretaris de ketenpartners gevraagd voor eind 2006 een eerste versie van een digitaal klantdossier te ontwikkelen.

3.3 Enkele rijksbrede ontwikkelingen

De ministeries rekenen informatievoorziening en ICT tot de bedrijfsvoering, die vrijwel altijd tot de verantwoordelijkheid van de pSG behoort. De pSG’s van alle ministeries voeren onderling tweewekelijks overleg in het pSG-Beraad1.

De laatste jaren zetten de gezamenlijke pSG’s belangrijke stappen op het gebied van IT-governance. Zo heeft het in 2004 het Interdepartementaal Overleg Directeuren Informatievoorziening (IODI) ingesteld voor de rijksbrede regievoering en als voorportaal voor het pSG-Beraad. Ook heeft het pSG-Beraad, eveneens in 2004, uit vier leden van het beraad een Kernteam Informatievoorziening geformeerd. Bovendien zijn de pSG’s bezig om gezamenlijk hun deskundigheid uit te breiden zodat ze beter toegerust zijn voor hun verantwoordelijkheden als CIO (zie kader). De CIO draagt onder meer de verantwoordelijkheid voor de inrichting en beheersing van de informatievoorziening en vormt de verbinding tussen bedrijfsprocessen en de ICT-voorziening.

Het ontwikkeltraject van de pSG’s heeft geleid tot een gemeenschappelijk visiedocument en de bereidheid de structurele interdepartementale samenwerking op het gebied van informatievoorziening en ICT te versterken. Op dit moment is het pSG-beraad bezig om de opgedane inzichten te vertalen naar concrete acties.

3.4 Conclusies

De twee onderzochte ministeries zijn volop bezig IT-governance vorm te geven. Ondanks de verschillen tussen de ministeries zijn er opvallend veel overeenkomsten in de manier waarop ze hun IT-governance inrichten:

• definiëren van duidelijke (interne) klant-leveranciersrollen en -relaties;

• professionaliseren van de klantrol;

• inrichten van een ICT-regiefunctie;

• professionaliseren van de CIO-functie;

• werken aan een gestandaardiseerde ICT-architectuur vanuit een concerngedachte;

• geen structurele aandacht voor evaluatie en actualisering van de ICT-strategie;

• begin van aandacht voor externe verantwoording in de bedrijfsvoeringsparagraaf;

• afwezigheid van systematische parlementaire controle of ander extern toezicht;

Rijksbreed neemt de aandacht voor de besturing van de informatievoorziening en ICT zichtbaar toe. Er is een duidelijke ontwikkeling ingezet naar verdere samenwerking en kennisopbouw. De pSG’s, tevens CIO, spelen hierbij een leidende rol.

4 AANDACHTSPUNTEN VOOR IT-GOVERNANCE

Naar aanleiding van ons onderzoek bij twee ministeries en naar aanleiding van gesprekken die wij hebben gevoerd met deskundigen bij die ministeries en met een aantal externe deskundigen,1 zijn wij tot een aantal punten gekomen die volgens ons cruciaal zijn voor de inrichting van IT-governance binnen ministeries. We zetten deze aandachtspunten hieronder op een rij.

«Blinde vlekken» vermijden

De inrichting van IT-governance is complex; het risico bestaat daarom dat elementen over het hoofd worden gezien. Het is belangrijk om na te gaan of er geen cruciale onderwerpen gemist worden. Hierbij kan het in dit onderzoek gehanteerde beschrijvingskader van pas komen (zie bijlage 1).

We wijzen erop dat dit beschrijvingskader geen «afvinklijst» is. Voor een goede inrichting van IT-governance gaat het niet alleen om de vraag of de componenten zijn ingevuld, maar hoe ze zijn ingevuld. Het kader is vooral bedoeld om IT-governance in kaart te brengen en zo «blinde vlekken» op te sporen.

Omgevingsbewustzijn

IT-governance kan niet zonder omgevingsbewustzijn. Veel van de beleidsdoelen van de overheid kunnen alleen worden gerealiseerd in samenwerking tussen organisaties. Ministeries vormen een onderdeel van beleidsketens of dragen er (systeem-)verantwoordelijkheid voor, zodat ze niet in isolement kunnen opereren. Bovendien kan het efficiënter zijn voor ministeries om met elkaar samen te werken. Samenwerken brengt de noodzaak mee onderling informatie uit te wisselen. Bij het maken van keuzes over de informatievoorziening moet het ministerie zich hiervan bewust zijn: de ketenpartners zijn voor hun informatievoorziening ook afhankelijk van elkaar.

Aansluiting beleid, organisatiestrategie en informatiestrategie

Samenwerken met andere ministeries en met ketenpartners heeft consequenties op strategisch departementaal niveau. Het rijksbrede beleid en de bestuurlijke afspraken met ketenpartners moeten vertaald worden naar de interne organisatiedoelen en de bijbehorende informatiestrategie. De informatiestrategie is het richtinggevende kader dat duidelijk maakt wat de organisatiedoelen voor de langere termijn zijn, welke informatievoorziening nodig is om deze doelen te kunnen realiseren en hoe ICT daarbij zal worden ingezet. Het op elkaar afstemmen van organisatiedoelen en informatiestrategie wordt aangeduid als business – IT alignment.

Concernbenadering

Binnen het ministerie moeten de schotten worden neergehaald door de introductie van een concernbenadering. Het uitgangspunt is daarbij dat de informatievoorziening van afzonderlijke organisatieonderdelen niet op zichzelf staat maar wordt behandeld als onderdeel van één samenhangende informatievoorziening van het gehele ministerie. Dit houdt onder meer in dat ad hoc besluitvorming over afzonderlijke projecten wordt vervangen door ministeriebreed portfoliomanagement. Het betekent ook dat alle DG’s gezamenlijk verantwoordelijkheid nemen voor de kwaliteit van de concern-informatievoorziening. Samenwerking heeft efficiencyvoordelen en voorkomt dat iedereen opnieuw het wiel moet uitvinden.

Gestandaardiseerde concern-informatiearchitectuur

Bij de concernbenadering past ook een gestandaardiseerde concern-informatiearchitectuur: een samenhangende visie op taken, processen, informatievoorziening en ICT-dienstverlening die geldt voor het gehele ministerie en waar alle organisatieonderdelen aan gehouden zijn. Het hebben van een dergelijke architectuur impliceert keuzes maken.

De uitdaging voor organisaties is om te komen tot een toekomstvaste informatiearchitectuur voor de langere termijn die aansluit op de behoeften van de organisatie en van haar ketenpartners.

Organisatie van vraag en aanbod van ICT-dienstverlening

IT-governance begint met het neerzetten van het gewenste «business model» door een aantal fundamentele keuzen te maken. Het gaan werken met een klant-leveranciersmodel is daar een voorbeeld van.

Vraag vanuit de organisatie en aanbod door de ICT-dienstverlening dienen goed op elkaar te worden afgestemd. Gebeurt dit niet, dan bestaat het gevaar dat de dienstverlening alleen gestuurd wordt vanuit de technologie of, in het geval van dienstverlening door een externe partij, door commerciële overwegingen. Het gevolg kan zijn dat de geleverde ICT-dienstverlening niet de kwaliteit heeft die nodig is voor een optimale informatievoorziening, of dat de dienstverlening onnodig duur is. Het is voor iedere organisatie een uitdaging om de bestaande rolpatronen te doorbreken en tot een goede invulling en onderlinge afstemming van de vraag- en aanbodrol te komen. Het blijkt vooral lastig om de vraagzijde goed in te vullen. In de praktijk is het namelijk lang niet eenvoudig om een goede opdrachtgever te zijn. Een goede opdrachtgever is helder in wat hij wil, stelt concrete en realistische eisen aan het op te leveren resultaat en ziet erop toe dat hij dit resultaat daadwerkelijk geleverd krijgt.

IT-governance als groeitraject naar permanent proces

IT-governance kan niet van de ene op de andere dag tot stand worden gebracht. Het moet groeien. Dit is een lastig proces van zoeken naar nieuwe organisatorische structuren en andere werkwijzen. De hele organisatie moet werken aan cultuurverandering en aan professionalisering. Een dergelijk groeitraject kan gestructureerd worden ingezet door gebruik te maken van een groeimodel, waarbij gedacht kan worden aan het volwassenheidsmodel van CobiT (zie § 2.2.3). Uiteindelijk moet IT-governance vormgegeven worden als onderdeel van de totale governance van het ministerie. Dit laatste houdt in dat het niet bij een eenmalige actie mag blijven, maar dat IT-governance als permanent proces moet worden ingebed in de reguliere planning- en controlcyclus.

Leiderschap en centrale regie

Governance kan niet zonder leiderschap. Dat geldt ook voor IT-governance, vooral omdat dat nog in een groeitraject zit. In het bijzonder bij het groeitraject naar IT-governance, waar gezocht wordt naar andere organisatiestructuren en nieuwe werkwijzen is goed leiderschap onontbeerlijk. Duidelijk leiderschap vanuit één visie op informatievoorziening en centrale regie zijn nodig om als één concern op te kunnen optreden. Hier is een belangrijke rol weggelegd voor een CIO in de top van het ministerie.

5 SLOTBESCHOUWING

We leven in een informatietijdperk met ongekende mogelijkheden. Het management van ministeries kan beschikken over een onuitputtelijke hoeveelheid gegevens. Om deze gegevens te kunnen vertalen naar bruikbare management- en beleidsinformatie moet het management keuzes maken over de informatievoorziening: welke informatie is nodig en hoe wordt deze verzameld, geanalyseerd en vastgelegd? Hoe kan daarbij optimaal gebruik worden gemaakt van ICT? Als ministeries willen beschikken over relevante en betrouwbare informatie, zowel voor de primaire en ondersteunende bedrijfsprocessen als in de sfeer van de management- en beleidsinformatie, zullen zij de inrichting van de informatievoorziening én de onderliggende technische voorzieningen in hun onderlinge samenhang in beschouwing moeten nemen. Dit is de kern van IT-governance. Het doel hiervan is een informatievoorziening te verkrijgen die een doelmatig functionerende en optimaal presterende overheid mogelijk maakt. IT-governance bij de rijksoverheid is een gedeelde verantwoordelijkheid van ministerie, Tweede Kamer en eventueel RWT’s.

Het algemene beeld dat uit het onderzoek van de Algemene Rekenkamer naar voren komt is dat beide onderzochte ministeries onderkennen dat het belangrijk is om grip te hebben op hun informatievoorziening en ICT. De twee onderzochte ministeries zijn hard aan het werk om hun IT-governance in te richten. Daarbij hebben ze op dit moment vooral aandacht voor onderwerpen die behoren tot de component «interne sturing». Het is logisch om de invulling van IT-governance hiermee te beginnen, maar wij benadrukken het belang van doorgroei naar de invulling van IT-governance in zijn volle breedte. Alle componenten moeten worden ingevuld en op een begrijpelijke wijze in onderlinge samenhang worden gebracht. Daarnaast moet IT-governance worden vormgegeven als onderdeel van de gehele governance van het ministerie. Dit laatste houdt in dat het niet bij eenmalige acties mag blijven. IT-governance moet als permanent proces worden ingebed in de reguliere planning- en controlcyclus.

Wij willen met dit rapport een impuls geven aan de verdere ontwikkeling van IT-governance bij de rijksoverheid. Tegelijkertijd roepen we op tot realisme. De groei naar IT-governance is een ingrijpend veranderingstraject met aanzienlijke consequenties voor het gehele ministerie. Dit kost noodzakelijkerwijs grote inspanningen en ministeries kunnen niet verwachten van de ene dag op de andere klaar te zijn.

De ministeries zullen de tijd en ruimte moeten nemen (en krijgen) voor hun groeitraject – elk voor zich, zowel als in samenwerking binnen ketens. Het is echter wel van belang dat ministeries nadenken over een aanpak en een tijdpad en daar inzicht in bieden. Zij zullen moeten aangeven langs welke stappen het groeitraject zal verlopen en hoeveel tijd ermee gemoeid zal zijn.

6 REACTIES EN NAWOORD

6.1 Reactie minister van EZ

De minister van EZ heeft op 13 maart 2006 gereageerd op het rapport van de Algemene Rekenkamer.1

De minister kan zich vinden in de beschrijving van de stand van zaken van IT-governance binnen zijn ministerie en hij kenmerkt de aandachtspunten en de slotbeschouwing als herkenbaar. Hij spreekt zijn waardering uit voor de aanpak van de Algemene Rekenkamer, die erop gericht is ministeries op weg te helpen bij het inrichten van hun IT-governance.

De minister ziet het gehanteerde beschrijvingskader als een goed hulpmiddel, dat houvast geeft bij de ontwikkeling van professionele en volwassen IT-governance. Hij geeft wel aan dat hij vreest dat het beschrijvingskader toch als normenkader gehanteerd zal worden, ofschoon de Algemene Rekenkamer nadrukkelijk aangeeft het beschrijvingskader niet als een «afvinklijst» te zien.

Ten slotte laat hij weten dat de ICT-strategie bij het ministerie van EZ vanaf 2006 structureel geëvalueerd en geactualiseerd zal worden.

6.2 Reactie minister van SZW

De minister van SZW heeft op 10 maart 2006 gereageerd op het rapport van de Algemene Rekenkamer.2

Het rapport geeft volgens de minister een herkenbaar en evenwichtig beeld van de stand van zaken en de ontwikkelingen op het gebied van IT-governance. Net als de minister van EZ spreekt hij zijn waardering uit voor de aanpak van de Algemene Rekenkamer.

De minister is het met de Algemene Rekenkamer eens dat een goede informatievoorziening onmisbaar is voor een doelmatige dienstverlening door de overheid en dat dit een effectieve inzet van ICT vereist. Hij vindt het dan ook verstandig dat de Algemene Rekenkamer met dit rapport ministeries op weg wil helpen met het inrichten van hun IT-governance.

Verder ziet de minister het beschrijvingskader als een goede handreiking voor het analyseren en beschrijven van de inrichting van IT-governance bij ministeries. Het draagt volgens hem bovendien bij aan een gezamenlijk begrippenkader over departementen heen.

De minister vindt de beschrijving van het veranderproces dat zijn ministerie heeft doorgemaakt herkenbaar. Ook hij wijst erop dat dit traject, waarin IT-governance vanuit een concernbenadering wordt vormgegeven, tijd kost en permanent aandacht vraagt.

De minister onderschrijft het belang van een periodieke herijking van de ICT-strategie en laat weten dat het «Meerjarenperspectief 2006–2009» van het Ministerie van SZW in beginsel jaarlijks zal worden geëvalueerd en bijgesteld. Dit meerjarenperspectief is het strategische instrument dat de ministeriebrede strategische doelen voor het informatiebeleid formuleert.

6.3 Nawoord Algemene Rekenkamer

De Algemene Rekenkamer constateert met genoegen dat beide ministers zich herkennen in het rapport. Zij waardeert in het bijzonder de positieve toonzetting van hun reacties en hun actieve betrokkenheid bij de vormgeving van IT-governance binnen hun departement.

Wat het gebruik van het beschrijvingskader betreft wil de Algemene Rekenkamer graag opnieuw benadrukken dat zij dit ziet als een kader voor de beschrijving van de IT-governance en niet als een «afvinklijst» voor de beoordeling van IT-governance. De Algemene Rekenkamer denkt dat het beschrijvingskader vooral van nut kan zijn bij discussies binnen de ministeries zelf over de vraag hoe het met hun IT-governance gesteld is, welke elementen op welk moment aandacht moeten krijgen en hoe de verschillende elementen met elkaar samenhangen. Bovendien kan het beschrijvingskader gebruikt worden in discussies over IT-governance tussen de ministeries; op die manier kunnen zij van elkaar leren.

Voor de Algemene Rekenkamer vormt het beschrijvingskader een startpunt voor verdere discussies met ministeries en externe deskundigen om zo samen tot een verdere invulling van IT-governance te komen. De Algemene Rekenkamer wil hiermee bevorderen dat alle ministeries in onderlinge samenwerking hun IT-governance verder ontwikkelen.

LITERATUUR

Algemene Rekenkamer (2001). Achtergrondstudie bedrijfsvoering. Tweede Kamer, vergaderjaar 2001–2002. Den Haag: SDU.

Algemene Rekenkamer (2003). Wonen, zorg en welzijn van ouderen. Tweede Kamer, vergaderjaar 2002–2003, 28 845, nr. 2. Den Haag: SDU.

Algemene Rekenkamer (2005a). Handreiking toezicht op rechtspersonen met een wettelijke taak. Den Haag: eigen beheer.

Algemene Rekenkamer (2005b). Terugblik 2005; Elf onderzoeken nader beschouwd. Tweede Kamer, vergaderjaar 2003–2004, 28 951, hoofdstuk 4. Den Haag: SDU.

Cadbury Committee on Corporate Governance (1992). The financial aspects of corporate governance en Code of best practice. Londen: eigen beheer.

CIPFA (1995) – Chartered Institute of Public Finance and Accountancy. Corporate governance: a framework for public service bodies. Londen: eigen beheer.

Commissie-Peters (1997) – Commissie Corporate Governance. Corporate Governance in Nederland; de Veertig Aanbevelingen. Den Haag: eigen beheer.

Commissie-Tabaksblat (2003) – Commissie Corporate Governance. Nederlandse Corporate Governance Code (Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen door de Commissie Corporate Governance). Den Haag: eigen beheer.

COSO (1992). Committee of Sponsoring Organizations of the Treadway Commission. Internal control – Integrated Framework. Z. pl.: eigen beheer.

Gartner (2003a). Creating an effective IT governance process. Stamford, CT (USA): eigen beheer.

Gartner (2003b). Designing effective IT governance. Stamford, CT (USA): eigen beheer.

Gartner (2003c). Tailor IT governance to your enterprise. Stamford, CT (USA): eigen beheer.

IFAC (2001) – Internal Federation of Accountants. Governance in the public sector: a governing body perspective. New York: Public Sector Committee.

INTOSAI (2004). Guidelines for Internal Control Standards for the Public Sector. Wenen (Oostenrijk): eigen beheer.

ISACA (2000) – Information Systems Audit and Control Association. COBIT framework Control and audit for information and related technology (3rd release). Rolling Meadows, IL (USA): eigen beheer.

ITGI (2003a) – IT-governance Institute. Board briefing on IT governance. Rolling Meadows, IL (USA): eigen beheer.

ITGI (2003b) – IT-governance Institute. IT control objectives for Sarbanes-Oxley. Rolling Meadows, IL (USA): eigen beheer.

ITGI (2003c) – IT-governance Institute. IT governance implementation guide. Rolling Meadows, IL (USA): eigen beheer.

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (2003). Modernisering van de overheid; Brief van de minister voor Bestuurlijke Vernieuwing en Koninkrijksrelaties. Aanbiedingsbrief d.d. 1 december 2003 met bijgevoegd de kabinetsvisie en het actieprogramma «Andere Overheid». Tweede Kamer, vergaderjaar 2003–2004, 29 362, nr. 1. Den Haag: SDU.

Ministerie van Economische Zaken (2003). Marktwerking, deregulering en wetgevingskwaliteit; Brief van de staatssecretaris van Economische Zaken. Brief d.d. 14 januari 2003 over het programma ICT & administratieve lasten 2003–2006. Tweede Kamer, vergaderjaar 2002–2003, 24 036, nr. 275. Den Haag: SDU.

Ministerie van Economische Zaken e.a. (2004a). Informatie- en communicatietechnologie (ICT); Brief van de ministers van Economische Zaken en voor Bestuurlijke Vernieuwing en Koninkrijksrelaties en de staatssecretaris van Onderwijs, Cultuur en Wetenschap. Aanbiedingsbrief d.d. 23 februari 2004 met bijgevoegd de nota «De rijksbrede ICT-agenda: beter presteren met ICT». Tweede Kamer, vergaderjaar 2003–2004, 26 643, nr. 47. Den Haag: SDU.

Ministerie van Economische Zaken e.a. (2004b). Informatie- en communicatietechnologie (ICT); Brief van de ministers van Economische Zaken en voor Bestuurlijke Vernieuwing en Koninkrijksrelaties en de staatssecretaris van Onderwijs, Cultuur en Wetenschap. Brief d.d. 6 juni 2004 bij de nota «Beter presteren met ICT; Vervolg Rijksbrede ICT-Agenda 2005–2006». Tweede Kamer, vergaderjaar 2003–2004, 26 643, nr. 63. Den Haag: SDU.

Ministerie van Economische Zaken e.a. (2004c). Beter presteren met ICT, vervolg Rijksbrede ICT-Agenda 2005–2006. Bijlage bij Kamerstuk 26 643 (Ministerie van EZ e.a., 2004b). Den Haag: eigen beheer.

Ministerie van Economische Zaken (2005). Jaarverslag en slotwet ministerie van Economische Zaken 2004. Tweede Kamer, vergaderjaar 2004–2005, 30 100 XIII, nr. 1. Den Haag: SDU.

Ministerie van Financiën (1996). Studierapport Government Governance. Den Haag: eigen beheer.

Ministerie van Financiën (2000). Handleiding Government Governance. Den Haag: eigen beheer.

Ministerie van Financiën (2002). Referentiekader Mededeling over de Bedrijfsvoering. Den Haag: eigen beheer.

Ministerie van Sociale Zaken en Werkgelegenheid (2005). Jaarverslag en slotwet ministerie van Sociale Zaken en Werkgelegenheid 2004. Tweede Kamer, vergaderjaar 2004–2005, 30 100 XV, nr. 1. Den Haag: SDU.

NOREA: Bers, H.T. van, Blok, A. de, Donkers, J.A.M., Harmzen, P., Heer, J.W. de, Knaap, P.A.J. van der, Lof, K.M. (2004). IT-governance; een verkenning. Amsterdam: eigen beheer.

OESO (2004) – Organisatie voor Economische Samenwerking en Ontwikkeling. OECD Principles of corporate governance. Parijs (Frankrijk): eigen beheer.

SOX (2002) – Sarbanes Oxley Act of 2002. One Hundred Seventh Congress of the United States of America. Washington.

Tweede Kamer (2002). Wijziging van de procedureregeling grote projecten; Brief. Tweede Kamer Vergaderjaar 2001–2002 28 247, nr. 1. Den Haag: Commissie voor de Rijksuitgaven.

BIJLAGE 1

BESCHRIJVINGSKADER IT-GOVERNANCE BIJ MINISTERIES

De Algemene Rekenkamer heeft een beschrijvingskader ontwikkeld1 aan de hand waarvan zij bij twee ministeries2 de inrichting van IT-governance in kaart heeft gebracht. Ministeries kunnen dit kader zelf ook gebruiken om zich een beeld te vormen van hun eigen IT-governance.

Dit beschrijvingskader is geen «afvinklijst». Voor een goede inrichting van IT-governance gaat het niet alleen om de vraag of de componenten zijn ingevuld, maar vooral hoe ze zijn ingevuld. Het kader is vooral bedoeld om IT-governance systematisch te beschrijven en zo «blinde vlekken» op te sporen.

Verder zien wij het beschrijvingskader niet als een eindproduct maar eerder als een startpunt. We willen het gebruiken voor verdere discussies3 met ministeries en externe deskundigen om zo tot een breed gedragen invulling van het begrip IT-governance te komen.

De Algemene Rekenkamer definieert IT-governance als de gezamenlijke verantwoordelijkheid van de top van de organisatie en de toezichthouder(s) voor:

• de interne sturing van de ICT-voorziening van de organisatie;

• de interne beheersing van de ICT-voorziening van de organisatie;

• de externe verantwoording over de ICT-voorziening van de organisatie;

• het externe toezicht op de ICT-voorziening van de organisatie;

• en (bij ministeries, indien van toepassing) de aansturing van en het toezicht op de ICT-voorziening van de RWT’s door het ministerie.

Het beschrijvingskader is ingedeeld volgens de vijf componenten van deze definitie.

BIJLAGE 2

LIJST MET GEBRUIKTE BEGRIPPEN EN AFKORTINGEN

* Dit begrip is ook omschreven in deze lijst.