DEEL 1 CONCLUSIES, AANBEVELINGEN EN BESTUURLIJKE REACTIE

1 OVER DIT ONDERZOEK

1.1 Onderzoeksopzet

Onderwerp

De doelmatigheid van ICT1-projecten blijkt een terugkerende bron van zorg. ICT-projecten leveren niet altijd de gewenste resultaten op, duren langer dan gepland en kosten meer dan begroot. Dit is onder andere naar voren gekomen bij eerdere onderzoeken van de Algemene Rekenkamer (2007 en 2008) naar lessen uit ICT-projecten bij de overheid. Uit deze onderzoeken zijn ook aanbevelingen voortgekomen om de sturing en beheersing van ICT-projecten te verbeteren.2

Het financieel belang van ICT-projecten is groot. Volgens de Jaarrapportage Bedrijfsvoering Rijk over 2011 waren eind 2011 in totaal 49 grote en risicovolle ICT-projecten3 in uitvoering bij het Rijk. De totale meerjarig geraamde kosten van deze ICT-projecten bedragen ruim € 2,4 miljard.

De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK 2008 en 2008a) heeft, mede naar aanleiding van onze onderzoeken uit 2007 en 2008, maatregelen aangekondigd voor het ontwikkelen en uitvoeren van grote ICT-projecten. Daartoe behoort de inzet van diverse sturings- en verantwoordingsinstrumenten: de introductie van chief information officers (CIO’s), projectportfoliomanagement, ICT-haalbaarheidstoetsen, een afwegingskader voor sourcingbeslissingen, business cases, het ICT-dashboard en Gateway Reviews. Dit onderzoek beoogt de stand van zaken van de aanpak van ICT door het Rijk anno 2012 in kaart te brengen. In het bijzonder willen we daarbij nagaan of er bij de toepassing van instrumenten om ICT-projecten te beheersen lering is getrokken uit onze eerdere onderzoeken.

Elke minister is verantwoordelijk voor de informatievoorziening binnen zijn/haar ministerie. De minister van BZK heeft een verantwoordelijkheid voor de rijksbrede coördinatie op het gebied van de informatievoorziening. Vanaf november 2012 ligt deze verantwoordelijkheid bij de minister voor Wonen en Rijksdienst (WenR).

Onderzoekskader

Het doel van dit onderzoek is om bij te dragen aan een doelmatige aanpak van ICT door het Rijk. De probleemstelling luidt als volgt: «In welke mate bevat de huidige aanpak van ICT door het Rijk waarborgen voor een doelmatige beheersing van ICT bij het Rijk?». We richten ons daarbij vooral op de beheersing van ICT-projecten.

Uitgaande van de probleemstelling hebben we de volgende onderzoeksvragen geformuleerd, gericht op verschillende sturings- en verantwoordingsinstrumenten die een doelmatige inzet van ICT bij het Rijk zouden moeten bevorderen.

Chief Information Officers en projectportfoliomanagement

• • Vervullen de CIO’s op strategisch niveau de schakelfunctie tussen de organisatie en de informatievoorziening?4

  • – hebben de CIO’s aandacht voor (digitale) archivering en informatiehuishouding?

  • – spelen de CIO’s een rol bij de modernisering van werkmethoden en het gebruik van informatie daarbij?

  • – is de CIO aangesloten bij het audit committee?

  • – heeft de CIO zicht op de behoefte aan en beschikbaarheid van ICT-deskundigheid voor het realiseren van de gewenste governance?

• • Passen de departementen projectportfoliomanagement toe?

• • Spelen de CIO’s een centrale rol bij de prioriteitenstelling binnen de projectenportfolio?

ICT-haalbaarheidstoets, afwegingskader sourcing, business cases en ICT-dashboard

• • Zijn ICT-haalbaarheidstoetsen, business cases en/of afwegingskaders voor sourcingbeslissingen toegepast bij ICT-projecten die zijn opgenomen in het ICT-dashboard en in welke fase van de projecten?

• • Zijn er voor het vervolg van de projecten consequenties verbonden aan de uitkomsten van de ICT-haalbaarheidstoetsen, business cases en sourcing afwegingen?

• • Zijn er waarborgen voor volledigheid/juistheid en eenduidigheid van de informatie in het ICT-dashboard?

• • Welk beeld geeft het ICT-dashboard van de kosten(overschrijdingen) en vertragingen van ICT-projecten?

Gateway Reviews

• • Zijn Gateway Reviews toegepast in de verschillende fasen van ICT-projecten die zijn opgenomen in het ICT-dashboard?

• • Zijn er voor het vervolg van de projecten consequenties verbonden aan de uitkomsten van de Gateway Reviews?

• • Zijn er voorzieningen getroffen om gezamenlijk leren van de reviewresultaten te bevorderen?

Tot slot hebben we hieraan de volgende overkoepelende onderzoeksvraag toegevoegd: «welke indicaties komen er uit het onderzoek naar voren dat (onvoldoende) lering is getrokken uit de lessen die voortkomen uit onze eerdere onderzoeken naar ICT-projecten?»5

1.2 Leeswijzer

Na dit inleidende hoofdstuk presenteren we in hoofdstuk 2 van dit eerste deel van ons rapport de conclusies en aanbevelingen. Daarbij geven we eerst een overkoepelend beeld in § 2.1 en daarna schetsen we in § 2.2 het beeld per instrument en formuleren we aanbevelingen voor verdere verbetering. Hoofdstuk 3 bevat de reactie van de minister voor Wonen en Rijksdienst en ons nawoord.

Deel 2 van dit rapport bevat enige achtergrondinformatie over het onderzoek, waarbij we ook aandacht besteden aan ander onderzoek dat op dit terrein is gedaan (deel 2, hoofdstuk 1). De overige hoofdstukken van deel 2 bevatten onze bevindingen per instrument, waarop we de conclusies en aanbevelingen in het eerste deel van dit rapport hebben gebaseerd.

2 CONCLUSIES EN AANBEVELINGEN

2.1 Overkoepelend beeld

De beheersing van ICT-projecten is een weerbarstig onderwerp. Voor de beheersing van deze projecten zijn verschillende instrumenten beschikbaar. Hoewel deze instrumenten geen garantie bieden dat ICT-projecten vlekkeloos zullen verlopen, kunnen ze het risico op falende ICT-projecten reduceren en helpen om tijdig bij te sturen. We hebben daarom beoordeeld hoe het Rijk enkele belangrijke beheersingsinstrumenten heeft vormgegeven en toegepast en daaruit komt samengevat het volgende beeld naar voren.

We concluderen dat het Rijk een duidelijke impuls heeft gegeven aan een doelmatige beheersing van ICT-projecten, als we de huidige aanpak van ICT-projecten vergelijken met de situatie ten tijde van onze onderzoeken Lessen uit ICT-projecten bij de overheid uit 2007 en 2008. We concluderen echter ook dat een optimale beheersing nog lang niet is bereikt.

In ons onderzoek hebben we de vormgeving en toepassing onderzocht van verschillende instrumenten voor de governance van ICT(-projecten), waarin het Rijk de afgelopen jaren heeft geïnvesteerd. De volgende tabel geeft een globaal beeld van de stand van zaken ten tijde van onze eerdere onderzoeken uit 2007/2008 in vergelijking met de situatie in 2012.

Tabel 1 Stand van zaken instrumenten in 2007/2008 en in 2012

Instrument	Situatie 2007/2008	Situatie 2012
Chief Information Officer (CIO)	Niet aanwezig	Positie verworven, maar de invulling verschilt per departement; opschuiven naar de informatievoorziening t.b.v. beleid is nodig
Projectportfoliomanagement	Marginaal	Regulier toegepast, maar nog niet volwassen
ICT-haalbaarheidstoetsen	Pilotstadium	Regulier toegepast, maar nog niet volwassen
Afwegingskader sourcing	Niet aanwezig	In opzet aanwezig; recent (september 2012) vastgesteld
Business cases	Marginaal	Regulier toegepast, maar nog niet volwassen
ICT-dashboard	Niet aanwezig	Regulier toegepast, maar nog niet volwassen
Gateway Reviews	Pilotstadium	Volwassen

De instrumenten laten een wisselend beeld zien; sommige instrumenten hebben al een behoorlijk volwassenheidsniveau bereikt, maar bij andere is verdere doorontwikkeling en professionalisering nodig. De CIO’s dienen naar onze mening een belangrijke rol te spelen bij dit verbeteringsproces, maar ook bij het behoud van wat tot op heden is bereikt. Het risico is immers aanwezig dat verslapping optreedt en de beschikbare beheersingsinstrumenten onvoldoende systematisch en consequent worden toegepast. Dat dit een reëel risico is, blijkt bijvoorbeeld uit onderzoek van onze buitenlandse zusterinstellingen, waarbij een patroon van herhaling van problemen met ICT-projecten is gesignaleerd, ondanks de lessen die uit eerdere projecten zijn te leren.6

2.2 Beeld per instrument

2.2.1 Chief Information Officer

In ons rapport «Lessen uit ICT-projecten bij de overheid, deel B» (Algemene Rekenkamer, 2008) hebben wij gepleit voor het inrichten van een schakelfunctie tussen de «business» en de informatievoorziening, bijvoorbeeld door introductie van een CIO. Belangrijk is dat deze schakelfunctie zich bevindt op strategisch niveau binnen de organisatie, en aanschuift aan de bestuurstafel. Immers, informatievoorziening is van strategisch belang en raakt tot aan de kern van de primaire processen van overheidsorganisaties. Een CIO dient, met voldoende kennis van informatievoorziening en ICT, maar ook van het besturen van een organisatie, hierbij als volwaardig gesprekspartner op te treden.

We hebben vastgesteld dat sinds 2009 bij alle ministeries CIO’s zijn aangesteld of een stelsel van twee of meer CIO’s is ingericht. Tevens is een CIO Rijk ondergebracht bij het coördinerende Ministerie van BZK.7 De CIO’s van de departementen vormen, samen met de CIO’s van de Hoge Colleges van Staat, de Interdepartementale Commissie Chief Information Officers (ICCIO).

De CIO’s zijn verschillend gepositioneerd bij de ministeries. Sommige CIO’s zijn vertegenwoordigd in de bestuursraad, en andere CIO’s bevinden zich op directieniveau. De invulling van de CIO verschilt van een rol die is belegd bij de plaatsvervangend secretaris-generaal tot een aparte CIO-functie/-functionaris. Een deel van de CIO’s heeft ook zitting in het Audit Committee, maar dit vloeit meestal voort uit een combinatie van de CIO-rol met de functie van plaatsvervangend secretaris-generaal of directeur Bedrijfsvoering.

Op het niveau van de bedrijfsvoering stellen de CIO’s al de schakelfunctie te vervullen tussen organisatie en informatievoorziening. De CIO Rijk bevestigt dit beeld. Ten aanzien van beleidsprojecten is de invulling van de schakelfunctie van de CIO’s beperkt. Bij ministeries met grote uitvoerders (UWV, Rijkswaterstaat, Nationale Politie) is de rol van de departementale CIO kleiner.

Bij de Ministeries van Buitenlandse Zaken, Financiën (de Belastingdienst), IenM, OCW, SZW en VWS houdt de CIO zich, naast bedrijfsvoeringsonderwerpen, ook bezig met vraagstukken op het beleidsveld. De CIO’s van de Ministeries van BZK en van EZ doen dit deels. Alleen de CIO van het Ministerie van Financiën/de Belastingdienst heeft als lid van het managementteam medezeggenschap hierin. Dit betekent dat de CIO van het Ministerie van Financiën/de Belastingdienst mede besluit over het beleid en over de manier waarop informatievoorziening daarbij wordt ingezet. De CIO’s van de Ministeries van BZK, EZ, OCW en VWS geven gevraagd en ongevraagd advies, bijvoorbeeld bij projecten. De CIO’s bij de andere ministeries houden zich louter bezig met bedrijfsvoeringsvraagstukken. Daarbij gaat het vooral om de uitvoering van de informatiestrategie van het Rijk («I-strategie Rijk»). In het kader van de bedrijfsvoering besteden CIO’s onder andere aandacht aan digitale archivering, informatiehuishouding en aan modernisering van werkmethoden. Wat dit laatste betreft, gaat het vooral om een rol als enabler.

We concluderen dat deze CIO’s nog niet op een wijze functioneren, die wij in ons rapport uit 2008 voor ogen hadden. Het beeld is overwegend dat de CIO’s het accent hebben gelegd op de bedrijfsvoering en op de zorg voor de ICT-infrastructuur van hun ministeries. Dit is ook enigszins verklaarbaar, gelet op de uitdagingen waarmee CIO’s de afgelopen jaren zijn geconfronteerd, zoals het streven naar kostenbesparingen door de inrichting van shared service centra in het kader van het programma Compacte Rijksdienst. De functievervulling van de CIO ten behoeve van de bedrijfsvoering is op zichzelf nuttig, maar mag er niet toe leiden dat de vraagstukken over de informatievoorziening op de beleidsterreinen van de departementen onderbelicht blijven. Daarom is een doorontwikkeling nodig en dient de CIO meer op te schuiven richting de informatievoorziening ter ondersteuning van het beleid. Dit vereist niet alleen verdere stappen van de CIO’s zelf, maar ook van de beleidsdirecties en de departementsleiding om de CIO in de positie te brengen dat hij deze rol optimaal kan vervullen.

Aanbevelingen

De CIO's hebben de afgelopen jaren een positie verworven bij de ministeries, vooral wat betreft de bedrijfsvoering. Verdere versterking van deze positie is gewenst om ook in het beleidsveld optimaal te kunnen functioneren. Met het oog daarop kunnen de volgende aanbevelingen worden gedaan:

• • CIO's dienen meer prioriteit te geven aan de informatievoorziening ten behoeve van het beleidsveld, inclusief de aansturing van departementsoverstijgende (keten)informatisering.

• • Versterk de positie van de CIO om de schakelfunctie tussen organisatie en informatievoorziening optimaal te vervullen door, bij de ministeries waar dit nog niet het geval is, de CIO (in die functie) lid te laten zijn van de bestuursraad.

2.2.2 Projectportfoliomanagement

Onder Projectportfoliomanagement verstaan we het in onderlinge samenhang beheren en prioriteren van een verzameling van projecten voor het behalen van specifieke strategische doelstellingen. Projectportfoliomanagement is bij de meeste ministeries wel benoemd, maar in de praktijk worden vooral bepaalde aspecten hiervan daadwerkelijk toegepast.

Aanbevelingen

Met projectportfoliomanagement is een start gemaakt, maar het is nog niet overal een volwassen instrument. Er zijn kaders voor portfoliomanagement afgesproken, maar die richten zich vooral op de grote en risicovolle ICT-projecten. Aanbevelingen voor verdere versterking zijn:

• • Verruim de toepassing van projectportfoliomanagement bij ICT-projecten binnen het beleidsveld.

• • Pas de kaders voor projectportfoliomanagement ook voor kleinere projecten toe.

• • Geef de CIO een centrale rol in de prioriteitenstelling door voor de start en bij elke mijlpaal van ICT-projecten een CIO-oordeel te verlangen, waarvan alleen de hoogste departementsleiding gemotiveerd mag afwijken.

2.2.3 ICT-haalbaarheidstoetsen

ICT-haalbaarheidstoetsen worden in samenwerking met de ICT-brancheorganisatie georganiseerd en hebben tot doel om ICT-leveranciers in een vroeg stadium te betrekken bij (aanbestedings)vraagstukken rond ICT-projecten. Uit ons onderzoek blijkt dat het instrument van de ICT-haalbaarheidstoets sinds 2007 in totaal 18 keer is toegepast. In drie van deze 18 gevallen betrof het een project dat op de lijst voorkomt van grote en/of risicovolle projecten. Dat betekent dat het instrument niet is toegepast bij de meeste grote en risicovolle projecten. De beperkte toepassing van het instrument blijkt deels voort te komen uit onbekendheid van projectorganisaties met het instrument. Ook speelt een rol dat het instrument soms als zwaar wordt gepercipieerd en de voorkeur wordt gegeven aan lichtere vormen van marktverkenning.

Uit ons onderzoek blijkt verder dat de vraagstelling en/of de beschikbaar gestelde informatie bij enkele ICT-haalbaarheidsonderzoeken voor de markt onduidelijk is. Dit heeft een negatief effect op de waarde van het instrument. Ook leidt de toets niet in alle gevallen tot een eenduidig advies vanuit de markt.

De methodiek van de ICT-haalbaarheidstoets voorziet niet in het vaststellen van een afsluitend document, waaruit is af te leiden wat er is gedaan met de uitkomsten van de haalbaarheidstoets. Welk effect de toets heeft gehad voor een project zou naar voren moeten komen uit de eventuele vervolgstappen, in de vorm van bijvoorbeeld een aanbestedingstraject. Tijdens ons onderzoek zijn wij echter geen voorbeelden tegengekomen waarbij dit expliciet is gemaakt.

Aanbevelingen

ICT-haalbaarheidstoetsen zijn zinvol om kennis vanuit de markt te benutten ten behoeve van ICT-projecten bij de overheid. Om de toepassing van het instrument te bevorderen doen we de volgende aanbevelingen:

• • Bevorder de bekendheid over het instrument onder programma- en projectmanagers en maak het zo laagdrempelig mogelijk.

• • Zorg voor een scherpe vraagstelling bij toepassing van de toets, zodat marktpartijen in staat zijn om een goed advies te geven.

• • Leg expliciet vast wat met de uitkomsten van de haalbaarheidstoets wordt gedaan in het verdere traject van het ICT-project.

2.2.4 Afwegingskader sourcing

Sourcing is het proces om te bepalen of werkzaamheden zelf worden gedaan, in samenwerking met anderen worden uitgevoerd, of worden uitbesteed. In de ICCIO is in september 2012 een afwegingskader voor sourcing vastgesteld.

Wat de opzet betreft, constateren we dat het rijksbrede afwegingskader sourcing op onderdelen abstracte stellingen en uitgangspunten bevat, waarvan de implicaties voor de sourcingsafwegingen niet altijd helder zijn. Een aantal principes is daardoor moeilijk te toetsen bij individuele sourcingsafwegingen. Zo poneert het afwegingskader het uitgangspunt dat de generieke ICT-diensten8 van het Rijk bekend, beschreven en ontkoppelbaar moeten zijn, zonder te verduidelijken of aan dit uitgangspunt is voldaan. Verder is niet aangegeven wat de implicaties zijn voor de sourcingsafwegingen. Bij de prioriteit «professionele besturing van sourcing» is de inhoud van de «professionele regie» op generieke I-diensten binnen de Rijksdienst niet concreet gemaakt. De in het afwegingskader genoemde randvoorwaarden voor goed opdrachtgeverschap zijn ook te abstract om eenvoudig toepasbaar en toetsbaar te zijn.

Voor het aspect beveiliging worden algemene uitgangspunten genoemd die eigenlijk al afgedekt worden door rijksbrede voorschriften op het terrein van informatiebeveiliging, zoals de Baseline Informatiebeveiliging Rijksdienst (BIR). In het afwegingskader ontbreken duidelijke criteria die aangeven in welke gevallen om beveiligingsredenen geen externe sourcing kan plaatsvinden of alleen onder stringente voorwaarden. Dit moet in een risicoanalyse voor de informatiebeveiliging tot uitdrukking komen, waarbij de gehele informatieketen in de beschouwing betrokken moet worden.9

Aanbevelingen

Hoewel het afwegingskader sourcing pas recent (september 2012) is vastgesteld en nog niet op werking kan worden beoordeeld, kunnen we nu al enkele aanbevelingen doen om een zinvolle toepassing te bevorderen:

• • Werk de in het afwegingskader geschetste principes op een lager abstractieniveau uit in een concrete checklist, waardoor toepassing van en toetsing aan het kader wordt vergemakkelijkt.

• • Formuleer heldere criteria om aan te geven in welke gevallen om beveiligingsredenen geen externe sourcing kan plaatsvinden.

2.2.5 Business cases

Business cases behoren een onderbouwing (zakelijke rechtvaardiging) te geven van ICT-projecten. Uit ons onderzoek blijkt dat er geen uniform format bestaat voor het opstellen van business cases bij het Rijk. Wel zijn in het Handboek Portfoliomanagement Rijk elementen genoemd die in een business case moeten voorkomen, zoals een (meerjarige) analyse van kosten en baten. De onderzochte business cases verschillen onderling in vorm. Deze vormverschillen tussen de business cases bemoeilijken de vergelijkbaarheid van kosten, baten en andere relevante informatie bij de projecten van het Rijk. Daarbij is te denken aan vergelijkbaarheid tussen projecten en departementen onderling en vergelijkbaarheid in de tijd.

Verder is vastgesteld dat in de praktijk niet alle onderwerpen uit het Handboek Portfoliomanagement Rijk worden opgenomen in de business cases. De belangrijkste lacunes betreffen:

• • informatie over de wijze van financiering;

• • marktverkenningen (of informatie over bestaande oplossingen);

• • voorziene en lopende contracten;

• • de aanbestedingsstrategie.

Tot slot hebben we tijdens het onderzoek ontwikkelingen waargenomen rond batenmanagement. Dit betreft initiatieven om te waarborgen dat beoogde baten van ICT-projecten ook daadwerkelijk gerealiseerd worden. Deze benadering verkeert echter nog in een beginstadium. De realisatie van de baten uit business cases wordt nog te weinig bewaakt. Ook is er aandacht nodig voor het actualiseren van business cases tijdens de looptijd van een project.

Aanbevelingen

Het instrument business cases wordt bij veel projecten in enigerlei vorm toegepast, maar een rijksbrede gestructureerde aanpak ontbreekt nog. Met het oog daarop doen we de volgende aanbevelingen:

• • Scherp de eisen in het handboek portfoliomanagement aan voor de specificatie van business cases (vooral van de kosten- en batenelementen) en handhaaf de eisen voor business cases uit het handboek.

• • Pas business cases niet alleen vóór de start, maar ook tijdens de looptijd van een project toe als stuurinstrument en geef daarbij meer aandacht aan het batenmanagement (de bewaking van de realisatie van de baten).

2.2.6 ICT-dashboard

Het ICT-dashboard is in wezen een websiteversie van het overzicht van grote en risicovolle ICT-projecten uit de Jaarrapportage Bedrijfsvoering Rijk.

Kostenspecificatie rapportagemodel

Voor de rapportage over grote en risicovolle ICT-projecten aan de Tweede Kader is een rapportagemodel ontwikkeld, dat is verankerd in het handboek portfoliomanagement Rijk.10 De specificaties in dit rapportagemodel sporen echter niet geheel met ons rapport Lessen uit ICT-projecten – deel B (Algemene Rekenkamer, 2008); zonder dat duidelijk is wat daarvan de reden is en zonder dat duidelijk is dat het gekozen model beter is. In ons rapport uit 2008 hebben we voor de kostenindeling namelijk de volgende handreiking gedaan:

Tabel 2 Indeling kostensoorten

Kostensoorten	Kostenbegrippen
Materiaal, zoals ingekochte apparatuur en (standaard) software	Directe ontwikkel- en productiekosten
Extern personeel, zoals ICT-specialisten
Intern personeel, zoals ICT-specialisten
Projectbeheer en projectmanagement
Bij ontwikkeling en bouw gebruikte hard- en software	Indirecte ontwikkel- en productiekosten
Voor ontwikkeling en bouw noodzakelijke licenties
Overhead
Implementatiekosten als scholing en voorlichting van/aan gebruikers	Directe implementatiekosten
Leiding ICT-afdeling (algemeen) en algemene departementale diensten	Indirecte algemene kosten

In het door ons aangeraden model zijn de indirectekostencomponenten afzonderlijk genoemd. De indeling van het rapportagemodel maakt de indirectekostencomponenten niet zichtbaar. Het inzicht in de kostensoorten is daardoor enigszins beperkt. Ook worden de implementatiekosten niet afzonderlijk gespecificeerd. In het algemeen bevat het rapportagemodel geen opsplitsing naar projectfasen.

Niet alle projecten in de Jaarrapportage Bedrijfsvoering Rijk 2011 volgen de voorgeschreven kostenspecificatie volgens het rapportagemodel. Bij veertien projecten zijn bij de actuele schatting van de kosten alle projectkosten verantwoord onder «overige projectkosten». Blijkbaar is het bij deze projecten niet mogelijk om de gevraagde kostenspecificatie op te leveren. Als we de actuele kostenramingen verder analyseren, blijkt dat bij 22 van de 49 projecten geen kosten van intern personeel worden gespecificeerd. De kosten van eigen personeel, bijvoorbeeld bij implementatie, blijven vaak buiten beeld van de projectregistratie. Daardoor wordt het beeld van de totale projectkosten en de specificatie daarvan onvolledig.

Informatie over rechtvaardiging van projecten

Om een goed beeld te kunnen vormen of (de voortzetting van) een project zakelijk en maatschappelijk gezien gerechtvaardigd is, moet de rapportage over de projecten samenhangende informatie omvatten over:

• 1. planningen en doorlooptijden;

• 2. ramingen, bijstellingen en realisatiecijfers van de projectkosten;

• 3. verwachte exploitatie, beheers- en onderhoudskosten en bijstellingen daarvan voor de gehele levensduur na oplevering van een project;

• 4. de verwachte financiële en niet-financiële (maatschappelijke) baten.

Het komt erop neer dat de jaarrapportage en het ICT-dashboard een beeld zouden moeten geven van de business case voor een project en van de ontwikkeling daarvan in de tijd. De Jaarrapportage Bedrijfsvoering Rijk in huidige vorm bevat vooral informatie over de eerste twee elementen. De informatie over de laatste twee elementen is echter beperkt. Wat betreft de informatie over de levensduur, roepen de aangegeven ruime tijdintervallen bij verschillende projecten vragen op over het daadwerkelijke inzicht in de zakelijke rechtvaardiging van deze projecten. Daarvoor zal er immers inzicht moeten zijn in de meerjarige baten en meerjarige kosten van onderhoud, beheer en exploitatie over de gehele voorziene levensduur.

Betrouwbaarheid, actualiteit en informatiewaarde ICT-dashboard

Uit een overkoepelend rapport van de Rijksauditdienst (RAD) over de analyse van het rapportageproces grote ICT-projecten 2011 blijkt dat er bij een aantal departementen nog zorgpunten zijn over de betrouwbaarheid van de verstrekte informatie. Bij enkele projecten hebben we onjuistheden vastgesteld in de rapportage over gerealiseerde kosten en verwachte doorlooptijden van projecten.

Uit ons onderzoek komt verder naar voren dat ministeries de rapportage over de grote en risicovolle projecten als een jaarlijks terugkerende procedure zien en als een administratieve last ervaren. Behoudens een enkele uitzondering vinden er geen tussentijdse actualiseringen van het dashboard plaats.

Omdat (vrijwel) alle projecten op «groen» staan, staat de volwassenheid van het ICT-dashboard als instrument ter discussie. Dit is te verklaren uit de gekozen presentatievorm, waarbij de actuele ramingen gerelateerd worden aan de raming bij de laatste herijking in plaats van aan de initiële ramingen. Dit geeft een rooskleurig beeld van de realiteit, omdat uit onze analyse blijkt dat het merendeel van de ICT-projecten in het dashboard te maken heeft met herijkingen en/of bijstellingen ten opzichte van de initiële ramingen en planningen. Het totaal van de herijkingen komt uit op een netto kostentoename van 23% ten opzichte van de initiële ramingen. Uit de toelichtingen in de Jaarrapportage Bedrijfsvoering Rijk 2011 blijkt dat scopewijzigingen een belangrijke oorzaak zijn van de herijkingen. Meestal gaat het om scopeverbredingen, waardoor de projectkosten en/of -doorlooptijden toenemen, maar ook scopebeperkingen met een reducerend effect op kosten en/of doorlooptijden komen voor.

Aanbevelingen

Het ICT-dashboard en de Jaarrapportage Bedrijfsvoering Rijk bieden een overzicht van grote en risicovolle ICT-projecten, maar de informatiewaarde kan nog op diverse punten worden versterkt. Daarvoor doen we de volgende aanbevelingen:

• • Zorg ervoor dat de rapportage alle elementen omvat die nodig zijn om de business case van een ICT-project en de ontwikkeling daarin te kunnen beoordelen. Dit betekent dat het rapportagemodel ook de (financiële) baten en de beheers-, exploitatie- en onderhoudskosten moet omvatten, zowel de oorspronkelijke ramingen als de eventuele latere aanpassingen daarvan. De rapportage over deze elementen moet de gehele (verwachte) levensduur omvatten van de systemen die met het project worden gerealiseerd.

• • Scherp de eisen aan voor de specificatie van de projectkosten, zodat in alle gevallen de kosten van de inzet van eigen personeel en de kosten per projectfase zichtbaar worden gemaakt.

• • Verhoog de betrouwbaarheid van de rapportage over ICT-projecten door een aansluiting te waarborgen tussen de projectadministratie en de financiële administratie. Versterk bovendien de kwaliteitstoets op de volledigheid en juistheid van de informatie die in de jaarrapportage en het ICT-dashboard wordt opgenomen.

• • Actualiseer de informatie van het ICT-dashboard zodra er wijzigingen optreden in de ramingen van de ICT-projecten.

• • Pas de presentatie in het ICT-dashboard aan om direct zichtbaar te maken dat ramingen ten opzichte van de oorspronkelijke uitgangspunten zijn aangepast, ook als deze aanpassingen zijn geaccordeerd bij herijkingen van een project.

2.2.7 Gateway Reviews

De ervaringen met Gateway Reviews zijn overwegend positief, zowel bij de leiding van projecten als bij de CIO’s. Tijdens de door ons gevoerde gesprekken zijn verschillende voordelen van het instrument genoemd, zoals een snel concreet resultaat en deskundige adviezen die op een hulpvaardige en constructieve wijze worden gebracht. De aanpak en begeleiding van de reviews vanuit Bureau Gateway is professioneel en gedegen. Het instrument heeft echter ook beperkingen wat betreft diepgang en transparantie, waardoor het niet onder alle omstandigheden het meest geschikte instrument is. Het stimuleren van het onderling leerproces op basis van algemene lessen uit uitgevoerde reviews, verkeert nog in een beginstadium. Bureau Gateway ziet daarin voor zichzelf een actieve rol weggelegd. De komende jaren wil Bureau Gateway een gedifferentieerde aanpak ontwikkelen zodat de verschillende doelgroepen binnen de Rijksoverheid op een passende wijze bereikt worden.

Aanbevelingen

De Gateway Review is een voorbeeld van een geslaagd instrument om de governance van ICT-projecten te ondersteunen. We bevelen daarom aan:

• • de toepassing van dit instrument en de professionele begeleiding ervan voort te zetten;

• • bij projecten waar de beperkingen van de Gateway Review, wat betreft diepgang en/of onafhankelijkheid, een rol spelen, (externe) projectaudits als instrument in te zetten;

• • het onderlinge leerproces verder te stimuleren door algemene lessen te verspreiden op basis van uitgevoerde reviews.

3 BESTUURLIJKE REACTIE EN NAWOORD ALGEMENE REKENKAMER

3.1 Bestuurlijke reactie minister voor Wonen en Rijksdienst

De minister voor Wonen en Rijksdienst heeft op 28 februari 2013 schriftelijk gereageerd op ons rapport. In dit hoofdstuk hebben wij hiervan een verkorte weergave opgenomen. De integrale reactie staat op onze website www.rekenkamer.nl.

In zijn reactie geeft de minister aan dat hij herkent dat doorontwikkeling en verdere professionalisering noodzakelijk is voor een aantal instrumenten die sinds 2008 door het Rijk zijn ingezet om ICT-projecten beter te beheersen. Vervolgens gaat hij nader in op de conclusies en aanbevelingen per instrument.

CIO-stelsel

Projectportfoliomanagement

ICT-haalbaarheidstoets

De minister neemt de aanbevelingen over om de inzet van de ICT haalbaarheidstoets te bevorderen en effectiever te maken. Voor projecten die naar verwachting boven € 20 miljoen uitkomen, zal de minister het principe comply or explain van toepassing verklaren en verder zal hij borgen dat de resultaten van uitgevoerde toetsen gedeeld kunnen worden.

Afwegingskader sourcing

Business cases

De minister geeft aan dat de CIO-Rijk de departementale CIO’s zal verzoeken er expliciet op toe te zien dat business cases voldoen aan de eisen vanuit het Handboek portfoliomanagement Rijk. Volgens de minister is batenmanagement in ontwikkeling bij het Rijk. De suggesties voor de toepassing daarvan zal de CIO-Rijk onder de aandacht brengen van de departementale CIO’s en de Auditdienst Rijk.

ICT-dashboard

De minister onderschrijft verder het belang van volledigheid en juistheid van de informatie die in de jaarrapportage bedrijfsvoering en het ICT-dashboard wordt opgenomen en zal op beide aspecten toezien. Actualisering van het dashboard vindt thans minimaal jaarlijks plaats en wanneer de Kamer schriftelijk over een project geïnformeerd wordt. Het dashboard wordt in 2013 aangepast zodat zichtbaar te maken is dat ramingen ten opzichte van de oorspronkelijke uitgangspunten zijn aangepast, ook als deze aanpassingen zijn geaccordeerd bij herijkingen van een project.

Gateway Reviews

De minister onderschrijft de conclusies over de positieve resultaten van de inzet van Gateway reviews en ook over de beperkingen daarvan. Om de kracht van de reviews en de kwaliteit van de reviewers te handhaven zal hij erop toezien dat de focus van Bureau Gateway nadrukkelijk gericht is op projecten met een grote ICT-component. De aanbeveling om de lessen vanuit uitgevoerde reviews te delen, onderschrijft de minister. Volgens de minister ontwikkelt Bureau Gateway daartoe reeds de nodige activiteiten.

3.2 Nawoord Algemene Rekenkamer

De minister deelt veel van de conclusies van ons onderzoek en hij komt voor een deel tegemoet aan onze aanbevelingen. Daarmee kan de aanpak van ICT door het Rijk op onderdelen verder worden verbeterd. Deze verbeteringen zullen echter vooral de bedrijfsvoering van het Rijk betreffen. Hoe belangrijk ook, wij constateren ook dat versterking van de betrokkenheid van de CIO in het beleidsveld aan de orde is. Jammer genoeg neemt de minister een in onze ogen voor die versterking cruciale aanbeveling niet over: de CIO (in die functie) standaard lid te laten zijn van de bestuursraad van de ministeries en om daarmee de schakelfunctie tussen informatievoorziening en (beleids)organisaties te borgen.

De ontwikkelingen en mogelijkheden op het terrein van informatiemanagement gaan vele malen sneller dan de beleidsverantwoordelijken kunnen bijhouden. Kennis daarover hoort in deze tijd aan de bestuurstafel collegiaal en volwaardig mee te kunnen doen. Informatie is inmiddels veel meer dan systemen, software en apparaten, en dus meer dan portfoliomanagement. In het kader van het uitwerken van Verantwoord begroten bijvoorbeeld, wezen wij de Tweede Kamer op 25 februari jongstleden op enkele verbetermogelijkheden. Daarbij schreven wij ook:

Daar komt bij dat wij ervan overtuigd zijn dat de vormgeving van de komende decentralisaties zeer gebaat zal zijn bij een toekomstbestendige innovatieve inrichting van de informatie-relatie met lagere overheden.

Ook voor het projectportfoliomanagement betekent een en ander dat de CIO een centrale rol moet spelen bij de prioriteitenstelling door voor de start en bij elke mijlpaal van ICT-projecten een CIO-oordeel te geven. Dat prioriteitenstelling plaatsvindt binnen de beleidsomgeving van een ministerie, (mede) op grond van politieke keuzes, doet hier niet aan af. Met een centrale rol bedoelen we overigens niet dat de CIO altijd een doorslaggevende rol zou moeten hebben. Evenals de minister vinden wij het in dit kader passend dat alleen de secretaris-generaal van een ministerie – mits beargumenteerd – kan besluiten af te wijken van een advies van een CIO.

Wat betreft business cases en het ICT-dashboard ondersteunen we de verbeteringen die de minister hierin wil doorvoeren. We blijven daarbij van oordeel dat bij alle projecten in het ICT-dashboard de interne personeelskosten opgenomen moeten worden, zoals in het handboek portfoliomanagement Rijk voor de grote en risicovolle projecten is aangegeven. Als de kostencomponent van het interne personeel buiten beschouwing blijft, is er geen compleet beeld van de kosten van een project, is een correcte afweging van alternatieven niet mogelijk en kan ook niet goed worden beoordeeld of er sprake is van een gezonde business case. De Jaarrapportage Bedrijfsvoering Rijk en het ICT-dashboard zouden een compleet beeld moeten geven van de business case-componenten (kosten en baten) van de ICT-projecten en van de ontwikkeling daarvan in de tijd. In dit verband verdient de suggestie van de minister ondersteuning om waar nodig de begrotingsvoorschriften aan te passen om de aansluiting tussen de projectadministraties en de financiële administratie te verbeteren.

Tot slot constateren we dat de minister bij verschillende aanbevelingen aangeeft dat hij de aandacht van de CIO’s en/of secretarissen-generaal zal vragen voor de opvolging ervan. We wijzen erop dat de minister, vanuit zijn (coördinerende) verantwoordelijkheid voor de Rijksdienst, ook zelf daarbij een rol te spelen heeft, bijvoorbeeld door collega-ministers aan te spreken op de naleving van rijksbreed afgesproken kaders.

OVERZICHT CONCLUSIES, AANBEVELINGEN EN TOEZEGGINGEN

Zie §	Conclusies	Aanbevelingen	Reactie minister
2.2.1	De CIO's hebben de afgelopen jaren een positie verworven bij de ministeries, vooral wat betreft de bedrijfsvoering. Verdere versterking van deze positie is gewenst om ook in het beleidsveld optimaal te kunnen functioneren.	CIO's dienen meer prioriteit te geven aan de informatievoorziening ten behoeve van het beleidsveld, inclusief de aansturing van departementsoverstijgende (keten)informatisering.	De minister ondersteunt deze aanbeveling en zal hiervoor aandacht vragen van de betrokken CIO’s en secretarissen-generaal.
		Versterk de positie van de CIO om de schakelfunctie tussen organisatie en informatievoorziening optimaal te vervullen door, bij de ministeries waar dit nog niet het geval is, de CIO (in die rol) lid te laten zijn van de bestuursraad.	De minister neemt deze aanbeveling niet over.
2.2.2	Projectportfoliomanagement is nog niet overal een volwassen instrument. Er zijn kaders voor portfoliomanagement afgesproken, maar die richten zich vooral op de grote en risicovolle ICT-projecten.	Verruim de toepassing van projectportfoliomanagement bij ICT-projecten binnen het beleidsveld.	De minister ondersteunt versterking van de rol van de CIO op dit punt.
		Pas de kaders voor projectportfoliomanagement ook voor kleinere projecten toe.	De toepassing van projectportfoliomanagement wordt verruimd tot projecten met een (meerjarige) ICT-component van meer dan € 5 miljoen.
		Geef de CIO een centrale rol in de prioriteitenstelling door vóór de start en bij elke mijlpaal van ICT-projecten een CIO-oordeel te verlangen, waarvan alleen de hoogste departementsleiding gemotiveerd mag afwijken.	De minister neemt deze aanbeveling niet over.
2.2.3	ICT-haalbaarheidstoetsen zijn zinvol om kennis vanuit de markt te benutten ten behoeve van ICT-projecten bij de overheid en het is zinvol om de toepassing van het instrument te bevorderen.	Bevorder de bekendheid over het instrument onder programma- en projectmanagers en maak het zo laagdrempelig mogelijk.	Voor projecten die naar verwachting boven € 20 miljoen uitkomen zal de minister het principe comply or explain van toepassing verklaren.
		Zorg voor een scherpe vraagstelling bij toepassing van de toets, zodat marktpartijen in staat zijn om een goed advies te geven.	De minister gaat in zijn reactie niet concreet in op deze aanbeveling.
		Leg expliciet vast wat met de uitkomsten van de haalbaarheidstoets wordt gedaan in het verdere traject van het ICT-project.	De minister zal borgen dat de resultaten van uitgevoerde toetsen gedeeld kunnen worden.
2.2.4	Hoewel het afwegingskader sourcing pas recent (september 2012) is vastgesteld en nog niet op werking kan worden beoordeeld, zijn nu al enkele aanbevelingen mogelijk om een zinvolle toepassing te bevorderen.	Werk de in het afwegingskader geschetste principes op een lager abstractieniveau uit in een concrete checklist, waardoor toepassing van en toetsing aan het kader wordt vergemakkelijkt.	De minister acht een concrete checklist vooralsnog niet nodig.
		Formuleer heldere criteria om aan te geven in welke gevallen om beveiligingsredenen geen externe sourcing kan plaatsvinden.	De minister ondersteunt deze aanbeveling en wijst op de Baseline Informatiebeveiliging Rijksdienst.
2.2.5	Het instrument business cases wordt bij veel projecten in enigerlei vorm toegepast, maar een rijksbrede gestructureerde aanpak ontbreekt nog.	Scherp de eisen in het handboek portfoliomanagement aan voor de specificatie van business cases (vooral van de kosten- en batenelementen) en handhaaf de eisen voor business cases uit het handboek.	De minister doet geen toezegging op het punt van de aanscherping van de eisen aan business cases, maar hij zal de CIO Rijk de departementale CIO’s laten verzoeken expliciet toe te zien op de naleving van de (bestaande) eisen aan business cases.
		Pas business cases niet alleen vóór de start, maar ook tijdens de looptijd van een project toe als stuurinstrument en geef daarbij meer aandacht aan het batenmanagement (de bewaking van de realisatie van de baten).	De minister zal de suggesties voor de toepassing van batenmanagement onder de aandacht brengen van de CIO’s en de Auditdienst Rijk.
2.2.6	Het ICT-dashboard en de Jaarrapportage Bedrijfsvoering Rijk bieden een overzicht van grote en risicovolle ICT-projecten, maar de informatiewaarde kan nog op diverse punten worden versterkt.	Zorg ervoor dat de rapportage alle elementen omvat die nodig zijn om de business case van een ICT-project en de ontwikkeling daarin te kunnen beoordelen. Dit betekent dat het rapportagemodel ook de (financiële) baten en de beheers-, exploitatie- en onderhoudskosten moet omvatten, zowel de oorspronkelijke ramingen als de eventuele latere aanpassingen daarvan. De rapportage over deze elementen moet de gehele (verwachte) levensduur omvatten van de systemen die met het project worden gerealiseerd.	Vanaf 2013 zullen de (financiële) baten en de beheers-, exploitatie- en onderhoudskosten van de projecten in de rapportage zijn opgenomen.
		Scherp de eisen aan voor de specificatie van de projectkosten, zodat in alle gevallen de kosten van de inzet van eigen personeel en de kosten per projectfase zichtbaar worden gemaakt.	De minister neemt deze aanbeveling niet over.
		Verhoog de betrouwbaarheid van de rapportage over ICT-projecten door een aansluiting te waarborgen tussen de projectadministratie en de financiële administratie. Versterk bovendien de kwaliteitstoets op de volledigheid en juistheid van de informatie die in de jaarrapportage en het ICT-dashboard wordt opgenomen.	De minister onderzoekt de mogelijkheden om deze aansluiting te verbeteren. De minister zal toezien op de volledigheid en juistheid van de informatie in de jaarrapportage en het ICT-dashboard.
		Actualiseer de informatie van het ICT-dashboard zodra er wijzigingen optreden in de ramingen van de ICT-projecten.	De informatie in het ICT-dashboard wordt geactualiseerd wanneer de Kamer schriftelijk over een project geïnformeerd wordt.
		Pas de presentatie in het ICT-dashboard aan om direct zichtbaar te maken dat ramingen ten opzichte van de oorspronkelijke uitgangspunten zijn aangepast, ook als deze aanpassingen zijn geaccordeerd bij herijkingen van een project.	Het ICT-dashboard wordt hiertoe in 2013 aangepast.
2.2.7	De Gateway Review is een voorbeeld van een geslaagd instrument om de governance van ICT-projecten te ondersteunen.	Zet de toepassing van dit instrument en de professionele begeleiding ervan voort.	De minister neemt deze aanbeveling over.
		Zet bij projecten waar de beperkingen van de Gateway Review, wat betreft diepgang en/of onafhankelijkheid, een rol spelen, (externe) projectaudits als instrument in.	De minister neemt deze aanbeveling over.
		Stimuleer het onderlinge leerproces verder door algemene lessen te verspreiden op basis van uitgevoerde reviews.	De minister geeft aan dat Bureau Gateway al activiteiten hiertoe ontwikkelt.

DEEL 2 ONDERZOEKSBEVINDINGEN

1 INLEIDING

1.1 Achtergrondinformatie

De doelmatigheid van ICT-projecten is een terugkerende bron van zorg. ICT-projecten leveren niet altijd de gewenste resultaten op, duren langer dan gepland en kosten meer dan begroot. Dit is onder andere naar voren gekomen bij eerdere onderzoeken van de Algemene Rekenkamer (2007 en 2008) naar lessen uit ICT-projecten bij de overheid. Uit deze onderzoeken zijn ook aanbevelingen voortgekomen om de sturing en beheersing van ICT-projecten, ook wel aangeduid als IT-governance, te verbeteren.17

De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK 2008 en 2008a) heeft, mede naar aanleiding van onze onderzoeken uit 2007 en 2008, maatregelen aangekondigd voor het ontwikkelen en uitvoeren van grote ICT-projecten. Daartoe behoren diverse sturings- en verantwoordingsinstrumenten, waaronder de inrichting van een stelsel van Chief Information Officers (CIO’s). Daarbij heeft elk departement een CIO en is er tevens een CIO Rijk ondergebracht bij het coördinerende Ministerie van BZK. In het kader van de samenwerking met marktpartijen is het instrument van de ICT-haalbaarheidstoets ontwikkeld. De minister noemt ook instrumenten voor de verantwoording over ICT-projecten aan de hand van een rapportagemodel en de toepassing van Gateway Reviews.

1.2 Ander onderzoek

1.2.1 Evaluatie maatregelen grote ICT-projecten

Zoals in § 1.1 vermeld, heeft de minister van BZK in 2008 besloten tot een aantal maatregelen om de beheersing van grote ICT-projecten bij het Rijk te verbeteren.18 Begin 2010 heeft de minister (BZK 2010) aangekondigd deze maatregelen te evalueren en de Tweede Kamer daarover te informeren. Deze evaluatie is op 14 oktober 2010 opgeleverd door Capgemini Consulting (2010) en is gebaseerd op interviews met CIO’s, opdrachtgevers van ICT-projecten en de Rijksauditdienst (RAD).19

De belangrijkste conclusies van de evaluatie kunnen als volgt worden samengevat.

• • De realisatie van de CIO-rol per ministerie en de inrichting van het Bureau Gateway20 worden gezien als effectieve maatregelen voor de beheersing van ICT-projecten. De evaluatie is kritisch over de rapportage grote ICT-projecten en de waarde daarvan uit oogpunt van de beheersing van ICT-projecten. Een knelpunt blijkt de aansluiting van deze rapportage op de financiële administratie van de projecten.

• • Wat betreft het CIO-stelsel is de constatering dat de implementatie nog niet geheel is afgerond en dat meer tijd nodig is om te kunnen groeien in de rol.

• • Het gebruik van ICT-haalbaarheidstoetsen is beperkt, hoewel de waarde van dit instrument wel wordt gezien.

Tot slot concludeert de evaluatie dat de beheersmaatregelen teveel uitgaan van «zuivere» ICT-projecten, terwijl het voornamelijk gaat over grote projecten met een belangrijke ICT-component.

De voornaamste aanbeveling van de evaluatie is om het stelsel van maatregelen te handhaven en geleidelijk te verbeteren aan de hand van periodieke evaluaties. Als mogelijke toevoeging noemt het evaluatierapport maatregelen op het terrein van portfoliomanagement, business cases en batenmanagement.

1.2.2 Buitenlands onderzoek

Enkele van onze buitenlandse zusterinstellingen hebben in het recente verleden rapporten uitgebracht over het management van ICT-projecten. In deze paragraaf geven we hiervan een kort overzicht.

National Audit Office

Het Britse National Audit Office (NAO 2011) heeft in december 2011 een rapport uitgebracht «Initiating successful projects», dat is gebaseerd op een analyse van audits van veertig grote overheidsprojecten. De hoofdconclusie is dat de kwaliteit van de projectinitiatie in hoge mate het succes van een project bepaalt. Hoewel het rapport niet specifiek gericht is op ICT-projecten, komen toch enkele sleutelelementen naar voren die ook voor ICT-projecten van belang kunnen zijn:

• • Purpose: duidelijkheid over de gewenste uitkomsten en prioriteiten;

• • Affordability: weten wat de projectrealisatie zal gaan kosten en daarover niet te optimistisch zijn;

• • Pre-commitment: een kritische interne beoordeling om de haalbaarheid van het project vast te stellen;

• • Project set-up: een gedetailleerde specificatie van eisen, aanbestedingsstrategie, risicomanagement en het mitigeren van eventuele lacunes in kennis;

• • Delivery and variation management: druk houden op de projectuitvoering en behouden van flexibiliteit om in te spelen op onverwachte afwijkingen van de oorspronkelijke plannen.

De NAO onderkent dat deze elementen voor ervaren professionals niet nieuw zijn, maar stelt tevens vast dat deze factoren herhaaldelijk te weinig aandacht krijgen.

Audit Scotland

In een rapport van augustus 2012 heeft Audit Scotland (2012) een rapport uitgebracht over Managing ICT-contracts. Dit rapport behandelt drie problematische ICT-programma’s waarbij belangrijke tekortkomingen in het management zijn geconstateerd. Het rapport doet aanbevelingen om de governance te verbeteren, waaronder risicomanagement en skills assessment om te bepalen of er voldoende deskundigheid aanwezig is in een projectteam. Ook vraagt het rapport aandacht voor de toepassing van Gateway Reviews, voor monitoring en voortgangsrapportages en voor de opvolging van de uitkomsten van (externe) projectevaluaties.

Victorian Ombudsman/ Auditor-General

In november 2011 publiceerde de Ombudsman van Victoria in Australië, in samenwerking met de Auditor General, een rapport over een onderzoek naar ICT-enabled projects. Het rapport spreekt bewust over ICT-enabled projects om tot uitdrukking te brengen dat het niet gaat om zuivere ICT-projecten, maar om grote projecten met een belangrijke ICT-component. Het onderzoek omvatte tien van dergelijke projecten en de hoofdconclusie is dat dezelfde fouten gemaakt blijven worden op het gebied van planning, governance, projectmanagement en aanbestedingen. Volgens het rapport wordt er te weinig lering getrokken uit eerdere mislukkingen. Om te helpen bij de oplossing van de meest voorkomende problemen geeft het rapport een raamwerk met aanbevelingen, ingedeeld in vijf thema’s:

• 1. leiderschap (het nemen van verantwoordelijkheid voor ICT-projecten, een zwaardere rol voor de financiële functie en het toepassen van de Gateway systematiek als extern toezichtmechanisme);

• 2. planning (scherpere beoordeling van business cases);

• 3. budgettering (het invoeren van een levensduurbenadering voor de financiering van projecten);

• 4. aanbestedingen (striktere aanbestedingsprocedures en een juridische beoordeling vooraf van ICT- contracten);

• 5. projectmanagement (het toepassen van bestaande projectmanagementmethodieken en het ontwikkelen van een strategie om ICT-deskundigheid aan te trekken en te behouden).

Samenvattend beeld

1.2.3 Parlementair onderzoek

Op voorstel van het presidium heeft de Tweede Kamer (2012) op 5 juli 2012 ingestemd met een onderzoeksvoorstel van de vaste commissie voor Veiligheid en Justitie voor het parlementaire onderzoek naar ICT-projecten bij de overheid. De doelen van dit onderzoek zijn:

• 1. «het in kaart brengen van de misgelopen maatschappelijke effecten (inclusief maatschappelijke en financiële kosten) door het niet op orde hebben van informatieprocessen en -stromen van de overheid door middel van ICT(-projecten);

• 2. duidelijk maken wat de prioritaire stappen zijn die een optimale inrichting van de informatieprocessen en -stromen van de overheid door middel van ICT (-projecten) teweeg kunnen brengen.»

Deze doelstellingen zijn vertaald in drie centrale onderzoeksvragen en drie bijbehorende deelonderzoeken. De eerste onderzoeksvraag betreft de maatschappelijke effecten van ICT(-projecten), de tweede vraag de sturende rol van de overheid als opdrachtgever en de derde vraag is gericht op de mogelijke verbeteringen in informatieprocessen en -stromen.

De interne oplevering voor de onderzoekscommissie van de eerste twee deelonderzoeken is in juni 2013 gepland en van het derde deelonderzoek in september 2013. De afronding van het parlementaire onderzoek als geheel en de aanbieding van het eindrapport worden in februari 2014 verwacht.

De onderzoekscommissie van de Tweede Kamer gaat er, blijkens de onderzoeksopzet van het parlementaire onderzoek, vanuit dat het rapport van de Algemene Rekenkamer over de aanpak van ICT door het Rijk uiterlijk eind april 2013 beschikbaar is.

2 CHIEF INFORMATION OFFICER

2.1 Typering

De CIO’s van alle departementen vormen samen met de CIO’s van de Hoge Colleges van Staat de Interdepartementale Commissie Chief Information Officers (ICCIO).21 De ICCIO coördineert de informatievoorziening en het ICT-beleid van de rijksdienst, borgt het rijksbrede beleid, en doet voorstellen voor de ontwikkeling van nieuwe kaders en standaarden. De ICCIO komt ongeveer elke maand bijeen. Onder het ICCIO ressorteren verschillende subcommissies waarin specifieke onderwerpen worden behandeld.

2.2 Toepassing

2.2.1 Positionering CIO’s

De wijze waarop de CIO-rol is ingevuld varieert per ministerie, voor sommige CIO’s geldt dat het een specifieke en toegewijde functie betreft, terwijl andere CIO’s de CIO-rol combineren met andere rollen. Ook verschillen de precieze taken en verantwoordelijkheden van de CIO per departement. Wij hebben interviews gehouden met de departementale CIO’s en de CIO Rijk en hebben daarbij geïnventariseerd hoe de CIO per ministerie is gepositioneerd en of dit een rol of functie betreft (zie tabel 3).

Tabel 3 Positionering CIO's bij de ministeries

Ministerie	Rol/functie	Belegd bij
AZ	Rol	Directeur Bedrijfsvoering
BZ	Rol	DG Consulaire Zaken en bedrijfsvoering (DGCB), tevens plaatsvervangend secretaris-generaal
BZK	Rol	CIO/Hoofddirecteur Dienst Concernstaf en Bedrijfsvoering
Defensie	Functie1
EZ	Functie
Financiën	Functie2
IenM	Rol	Hoofddirecteur Financiën, Management en Control en directeur Bedrijfsvoering, Organisatie en Informatiebeleid
OCW	Rol	Directeur Kennis (CIO-beleid) en plaatsvervangend directeur Facilitair Management en ICT (CIO-bedrijfsvoering)
SZW	Rol	plaatsvervangend secretaris-generaal
VenJ	Rol	plaatsvervangend secretaris-generaal
VWS	Functie

Een aantal ministeries heeft niet één CIO die verantwoordelijk is voor het gehele ministerie inclusief diensten. Sommige ministeries hebben een CIO-stelsel of er wordt een onderscheid gemaakt tussen beleid en bedrijfsvoering. Zo hebben de Ministeries van EZ en OCW een CIO Beleid en een CIO Bedrijfsvoering. Bij het Ministerie van EZ is de CIO Bedrijfsvoering de plaatsvervangend CIO en bij het Ministerie van OCW is dit de plaatsvervangend directeur Facilitair Management/ICT (FM/ICT).

De ministeries van BZK, EZ, Financiën, IenM, OCW, VenJ en VWS kennen een CIO-stelsel. Hierbij geldt dat de (grotere) diensten van de ministeries een eigen CIO hebben.

2.2.2 Overleggremia CIO’s

De CIO’s opereren in verschillende overleggremia. Alle CIO’s zijn lid van de ICCIO en de CIO’s zijn ook actief in de daaronder ressorterende subcommissies. Een enkele CIO is vertegenwoordigd in de subcommissies door een vervanger. Op departementaal niveau is het beeld verschillend. Onderstaande tabel beschrijft welke CIO’s zitting hebben in de bestuursraad en het Audit Committee. Naast deze overleggremia zijn er op departementaal nog vele andere gremia waar CIO’s al dan niet structureel bij aanschuiven.

Tabel 4 Overleggremia CIO's

Ministerie	Subcommissies ICCIO	Bestuursraad	Audit Committee
AZ	Ja, (plaatsvervangend CIO) Informatiebeveiliging en Generieke informatievoorziening	Ja	Ja
BZ	Ja (hoofd CIO-Office)	Ja	Ja
BZK	Ja	Ja	Nee
Defensie	Ja (plaatsvervangend Hoofddirecteur Informatie en Organisatie (HDIO))	Ja	Ja
EZ	Ja, subcommissie Generieke informatievoorziening (voorzitter)	Toegang	Nee
Financiën	Ja, subcommissie Projectsturing en -verantwoording (voorzitter)	Ja (Management Team Belastingdienst)	Nee
IenM	Ja, subcommissie Aanbodstructurering en sourcing (voorzitter)	Ja	Ja
OCW	Ja (CIO bedrijfsvoering), subcommissie Generieke informatievoorziening en Aanbodstructurering en sourcing	Toegang	Nee
SZW	Ja, subcommissie Informatiebeveiliging (voorzitter)	Ja	Ja
VenJ	Ja	Ja	Ja
VWS	Ja	Toegang	Nee

Uit de tabel blijkt dat de CIO’s van de Ministeries van EZ, OCW en VWS niet structureel in de bestuursraad zitten. In voorkomende gevallen kunnen zij wel aanschuiven of een punt in de bestuursraad agenderen. De CIO’s die ook zitting hebben in het Audit Committee, zitten hier meestal in vanuit hun functie van plaatsvervangend secretaris-generaal of directeur Bedrijfsvoering, omdat in het Audit Committee bedrijfsvoeringsaangelegenheden worden besproken. De CIO van het Ministerie van BZK is tevens directeur Dienst Concernstaf en Bedrijfsvoering, maar heeft geen zitting in het Audit Committee.

2.2.3 Strategische schakelfunctie tussen organisatie en informatievoorziening

Alle CIO’s geven aan de schakelfunctie te vervullen tussen de organisatie en de informatievoorziening. De meeste departementale CIO’s zijn verantwoordelijk voor de generieke en gemeenschappelijke ICT-infrastructuur van het ministerie. Zij stimuleren het gebruik hiervan binnen het ministerie, inclusief directoraten-generaal en agentschappen. De CIO-Rijk geeft aan dat de meeste CIO’s wel de schakelfunctie vervullen op het gebied van bedrijfsvoering, maar nog geen volwaardig gesprekspartner zijn bij beleidsprojecten. De meeste CIO’s geven zelf ook aan geen bevoegdheden te hebben binnen het beleidsveld en de informatievoorziening die daarbij een rol speelt. De CIO van het Ministerie van BZK geeft wel expliciet aan keuzes op het gebied van informatievoorziening binnen het beleidsveld positief te hebben beïnvloed en de CIO-Beleid van OCW geeft aan een volwaardig gesprekspartner te zijn bij beleidsprojecten. De CIO van de Belastingdienst zit in het managementteam van de Belastingdienst en beslist mee over het beleid.

Aandacht voor (digitale) archivering en informatiehuishouding

Rol bij modernisering werkmethoden

Bij veruit de meeste ministeries ziet de CIO zichzelf bij modernisering van werkmethoden als een enabler. De CIO heeft vaak zicht op technische ontwikkelingen die bij modernisering van werkmethoden een rol spelen. De meeste CIO’s of CIO-offices hebben zicht op deze ontwikkelingen en stimuleren de toepassing hiervan binnen hun ministerie. Enkele CIO’s, te weten die van het Ministerie van AZ, Defensie, Financiën/de Belastingdienst en VWS, benoemen expliciet de ontwikkeling van Bring Your Own Device (BYOD).22 Zij houden zich hier binnen het ministerie mee bezig of zijn actief in de interdepartementale taskforce BYOD. De CIO van het Ministerie van SZW benadrukt dat ICT van ondergeschikt belang is bij het nieuwe werken. Ook de CIO van het Ministerie IenM vraagt aandacht voor het organisatorische aspect van de modernisering van werkmethoden. Alleen als de werkwijze wordt aangepast, is er sprake van echte innovatie. De CIO van het Ministerie van EZ wijst op de spanning tussen innovatie, dat veel te maken heeft met modernisering van werkmethoden enerzijds, en anderzijds de toenemende standaardisatie.

Zicht op ICT-deskundigheid

Veel ministeries geven aan geen ICT-voorzieningen23 meer in eigen beheer te hebben. Dit stelt andere eisen aan de benodigde ICT-deskundigheid. Die verschuift van technische deskundigheid naar deskundigheid op het gebied van regie. Dit geldt voor de Ministeries van AZ, BZ, BZK, EZ, OCW, SZW en VWS, die dit expliciet aangeven. Deze ministeries hebben hun ICT-voorzieningen al grotendeels ondergebracht bij het Shared Service Centre-ICT (SSC-ICT) of bij een andere interne ICT-dienstverlener. Het Ministerie van EZ heeft de Dienst ICT-uitvoering die verantwoordelijk is voor de ICT-dienstverlening van het ministerie. De andere ministeries geven aan beschikbare ICT-deskundigheid een belangrijk punt te vinden. De mate waarin het zicht op de behoefte aan en de beschikbaarheid van ICT-deskundigheid daadwerkelijk aantoonbaar aanwezig is verschilt. De meeste CIO’s zien een rol voor zichzelf weggelegd om de ICT-deskundigheid, of de I-deskundigheid, binnen het ministerie te verbeteren. Met I-deskundigheid wordt de deskundigheid op het gebied van regie bedoeld.

Binnen de ICCIO is een subcommissie bezig met de kwaliteit van de ICT-deskundigheid. De subcommissie richt zich hierbij op drie doelgroepen.

• 1. Opdrachtgevers.

  Hierbij gaat het hogere management daadwerkelijk de schoolbanken weer in om deskundigheid op ICT-gebied bij te spijkeren. Via de Rijksacademie voor Financiën, Economie en Bedrijfsvoering worden meerdaagse ICT-Masterclasses aangeboden.

• 2. Individuele medewerkers.

  Medewerkers worden meer bewust gemaakt van digitaal werken en van ICT-risico’s in hun dagelijks werk.

• 3. Informatievoorziening (IV)-populatie.

  Hierbij richt de subcommissie zich vooral op de vraag: wat hebben we aan ICT-deskundigheid in huis?

3 PROJECTPORTFOLIOMANAGEMENT

3.1 Typering

Onder Projectportfoliomanagement verstaan we het in onderlinge samenhang beheren en prioriteren van een verzameling van projecten voor het behalen van specifieke strategische doelstellingen.24

In ons onderzoek «Grip op informatievoorziening» (Algemene Rekenkamer 2006) hebben wij geconstateerd dat de ad-hoc-besluitvorming over afzonderlijke projecten moet worden vervangen door ministeriebreed portfoliomanagement. In onze onderzoeken Lessen uit ICT-projecten bij de overheid, deel A en deel B, hebben we opnieuw vastgesteld dat ICT-investeringen niet op zichzelf staan, maar onderdeel uitmaken van de totale projectenportfolio van de organisatie en ICT-projecten daarom in samenhang met andere projecten beschouwd moeten worden. Er moet beoordeeld worden of er voldoende mensen en middelen beschikbaar zijn voor projecten en welke prioriteiten er gesteld worden. Ook hebben wij aangegeven dat de CIO verantwoordelijk moet zijn voor portfoliomanagement.

3.2 Toepassing

Uit het takenpakket voor CIO’s, dat het Ministerie van BZK heeft opgesteld, blijkt dat de CIO’s van de departementen geacht worden de samenhang in informatievoorziening en ICT-projecten te bewaken door applicatie- en projectportfoliomanagement toe te passen. In zijn brief aan de Tweede Kamer van 29 januari 2010 stelt de Minister van BZK dat applicatie- en projectportfoliomanagement één van de kerntaken van de CIO is (BZK, 2010) en in zijn brief aan de Tweede Kamer van februari 2011 dat de CIO verantwoordelijk is voor een adequaat beheer van de departementale projectenportfolio (BZK, 2011).

Uit onze interviews met de CIO’s blijkt dat alle ministeries projectport-foliomanagement toepassen. Binnen de ICCIO houdt de subcommissie Projectsturing en verantwoording zich bezig met projectportfoliomanagement. Binnen deze subcommissie is een werkgroep actief die informatie op dit gebied uitwisselt. Jaarlijks vindt een update plaats van het handboek Portfoliomanagement Rijk.

Tabel 5 beschrijft de wijze waarop de CIO’s betrokken zijn bij het projectportfoliomanagement

Ministerie	Budgetverantwoordelijkheid	Verantwoordelijk voor prioritering van ICT-projecten
AZ	Ja	Ja1
BZ	Ja	Ja
BZK	Nee	Nee
Defensie	Ja2	Ja
EZ	Nee	Nee
Financiën	Nee3	Ja
IenM	Ja4	Ja4
OCW	Nee	Ja5
SZW	Ja	Ja
VenJ	Nee	Nee
VWS	Nee	Nee

Uit de tabel blijkt dat bij vijf van de elf ministeries de departementale CIO budgetverantwoordelijkheid25 heeft bij ICT-projecten. Het betreft hier ICT-projecten op het gebied van de bedrijfsvoering van het eigen ministerie. De CIO’s die budgetverantwoordelijkheid hebben zijn ook verantwoordelijk voor de prioritering van projecten. De CIO van het Ministerie van Financiën/de Belastingdienst heeft weliswaar geen eigen budgetverantwoordelijkheid bij grote ICT-projecten, maar in zijn hoedanigheid als MT-lid is hij wel medeverantwoordelijk voor prioritering. Verder geldt voor de Ministeries van AZ, BZ, OCW en SZW dat de CIO’s vanuit hun functie van pSG (BZ en SZW), directeur bedrijfsvoering (AZ) of plaatsvervangend directeur Facilitair Management en ICT (OCW) verantwoordelijk zijn voor prioritering van ICT-projecten op het gebied van bedrijfsvoering.

Uit de gesprekken met CIO’s en projectmanagers blijkt dat de departementale CIO’s die geen budgetverantwoordelijkheid hebben en niet verantwoordelijk zijn voor prioritering van projecten, vooral een kaderstellende en voortgangsbewakende rol hebben. Bij de besluitvorming over projectinitiatie en de inpassing binnen de portefeuille spelen die CIO’s veelal geen dominante rol, maar ligt de verantwoordelijkheid meestal bij de Bestuursraad.

4 ICT-HAALBAARHEIDSTOETSEN

4.1 Typering

Het succes van ICT-projecten van de overheid is mede afhankelijk van een goede bijdrage door ICT leveranciers. Zowel de overheid als marktpartijen hebben er belang bij dat plannen voor ICT-projecten zo worden vormgegeven dat ze uitvoerbaar zijn. Het Ministerie van EZ en ICT~Office27 hebben daarom het initiatief genomen tot het uitvoeren van ICT-haalbaarheidstoetsen als een van de onderdelen van een programma om de samenwerking tussen de Rijksoverheid en de ICT-sector te verbeteren.28 De brancheorganisatie van de IT-industrie in Engeland (Intellect) voerde dit type toets al gedurende enkele jaren met succes uit. Mede vanwege dit succes is besloten om dit ook voor de Nederlandse Rijksoverheid te gaan doen. De ICT-haalbaarheidstoets is ook opgenomen in de I-strategie (zie deel 2; § 1.1) en in het nieuwe convenant «Verbetering samenwerking rijksoverheid en ICT-bedrijfsleven» tussen de minister van BZK en ICT~Office van 26 januari 2012. Er is overigens ook een lichtere variant van de ICT-haalbaarheidstoets, de ICT-marktspiegel, beschikbaar.

De ICT-haalbaarheidstoets beoogt de kwaliteit van ICT-projecten bij overheidsorganisaties te verbeteren door in een vroegtijdig stadium de markt te betrekken bij de planvorming. Het gaat daarbij om projecten waarbij aanbestedingsvraagstukken spelen. Marktpartijen kunnen waardevolle informatie verschaffen over de voorwaarden waaronder ICT-bedrijven het meest effectief kunnen offreren en welke aanpak het meest realistisch is. Een marktverkenning kan ook risico’s aan het licht brengen die over het hoofd gezien dreigen te worden. Verder kan het zijn dat er in de markt innovatieve of reeds gerealiseerde oplossingen zijn, waarmee bij de offertevraagstelling rekening gehouden kan worden.

De ICT-haalbaarheidstoets kent de volgende zes stappen.

Tabel 6 Stappen ICT-haalbaarheidstoets

Stap 1 Vraagstelling	Een overheidsorganisatie wendt zich met een vraag, concept of idee tot ICT~Office, dat vervolgens de zaken voorlegt aan ICT-bedrijven. In onderling overleg formuleert ICT~Office een vraagstelling voor de haalbaarheidstoets.
Stap 2 Selectie deelnemers workshop	De vragende overheidsorganisatie selecteert in overleg met ICT~Office een aantal geïnteresseerde ICT-bedrijven voor een workshop.
Stap 3 Workshop	ICT~Office organiseert een workshop waarin de deelnemers discussiëren over de haalbaarheid van de vraag, het concept of idee. Ook de vragende overheidsorganisatie neemt actief deel aan de workshop.
Stap 4 Opstellen concepttoets	Op basis van de resultaten van de workshop stelt ICT~Office een concept van de ICT-haalbaarheidstoets op.
Stap 5 Tweede ronde	ICT~Office legt het concept van de ICT-haalbaarheidstoets voor aan de ICT-bedrijven die hebben deelgenomen aan de workshop. Op individuele basis kunnen zij schriftelijk reageren op het concept en met aanvullingen komen.
Stap 6 Definitieve toets	Waar mogelijk honoreert ICT~Office de aanvullingen van de deelnemers aan de workshop. De ICT-haalbaarheidstoets wordt vervolgens op anonieme basis aangeboden aan de vragende overheidsorganisatie.

Volgens ICT~Office heeft de haalbaarheidstoets als voordelen dat mogelijke valkuilen/knelpunten vroegtijdig in kaart worden gebracht en alternatieve/innovatieve aanpakken in beeld komen. De toets kan in korte tijd worden afgerond en levert een bijdrage aan een goede relatie tussen overheid en ICT-bedrijfsleven.

4.2 Toepassing

In de volgende tabel zijn de ICT-haalbaarheidstoetsen opgesomd, die vanaf 2007 zijn uitgevoerd.

Tabel 7 Uitgevoerde ICT-haalbaarheidstoetsen (2007 – november 2012)

Datum	Organisatie	Haalbaarheidstoets
15 mei 2007	Regiebureau Inkoop Rijksoverheid	Proces van verwerving Rijksoverheid
01 dec. 2008	Kadaster	Outsourcing van beheer en onderhoud
18 sept. 2009	mijnOverheid.nl	Outsourcing van technisch en applicatiebeheer
20 okt. 2009	Ministerie van BZK	Elektronisch Bestellen en Factureren (EBF) – Strategiefase
04 dec. 2009	Ministerie van BZK	Consolidatie datacenters
18 feb. 2010	Ministerie van BZK	Overheidstelecommunicatie 2010
01 juli 2010	Ministerie van BZK	EBF – Fase Programma van Eisen
15 juli 2010	Ministerie van BZK	Systeemontwikkeling en Functioneel Applicatiebeheer van het Rijksportaal
18 maart 2011	Ministerie van BZK	EASI2010 – Werkplekken
21 maart 2011	Ministerie van BZK	EASI2010 – Afdrukdiensten
15 juni 2011	Ministerie van Defensie	Sourcing
21 juli 2011	Ministerie van BZK	14+ netnummers
29 aug. 2011	Ministerie van BZK	Informatieknooppunt crisisbeheersing
12 jan. 2012	Ministerie van BZK	Verkaveling Vaste Telefoniediensten
09 maart 2012	Ministerie van BZK/VNG1/KING2	Verwerving Burgerzakenmodules (onderdeel Modernisering GBA3)
19 juni 2012	Ministerie van BZK	Verwervingsstrategie Passenger Data Exchange (Pardex)
20 sept. 2012	Ministerie van VenJ4	Project Drife
20 sept. 2012	Ministerie van BZK/Logius	Expertplatform

Het gaat in totaal om 18 toetsen tussen mei 2007 en november 2012. Daarbij is het project EBF het enige voorbeeld waarbij het instrument in twee verschillende fasen (strategie en programma van eisen) is ingezet. EBF komt, onder de huidige benaming DigiInkoop, ook voor in de lijst met grote en risicovolle projecten waarover wordt gerapporteerd via de Jaarrapportage Bedrijfsvoering Rijk en het ICT-dashboard. Op deze lijst staan ook de projecten Modernisering GBA en Pardex, waarbij ICT-haalbaarheidstoetsen zijn toegepast voor de verwerving van burgerzakenmodules, respectievelijk voor de verwervingsstrategie. Bij de andere grote en risicovolle projecten zijn geen ICT-haalbaarheidstoetsen toegepast. Voor de beperkte toepassing van het instrument komen uit de interviews van ons onderzoek onder andere de volgende oorzaken naar voren:

• • De startdatum van een deel van de projecten ligt vóór de introductie van het instrument.

• • Projectorganisaties blijken niet altijd bekend met het instrument.

• • Het instrument wordt als zwaar gepercipieerd en de voorkeur wordt gegeven aan lichtere vormen van marktverkenning.

• • Er wordt een spanning ervaren tussen de toepassing van ICT-haalbaarheidstoetsen en de juridische kaders die bij een latere aanbesteding in acht genomen moeten worden.29

• • Bij sommige projecten is op voorhand duidelijk dat geen aanbesteding aan de orde is of dat een eventuele aanbesteding via een interne dienstverlener verloopt.

De vraagstelling van de uitgevoerde ICT-haalbaarheidstoetsen varieert. Zoals voortvloeit uit het doel van de haalbaarheidstoetsen, betreft het vraagstukken rond de uitbesteding en/of aanbesteding van ICT-projecten of van (het beheer en onderhoud van) ICT-voorzieningen. Ook worden vragen gesteld over knelpunten of risico’s die de markt ziet en worden ICT-bedrijven uitgenodigd om suggesties te doen.

In de meeste gevallen kunnen de ICT-haalbaarheidstoetsen op hoofdlijnen antwoorden geven op de gestelde vragen, bijvoorbeeld of de markt een aanbesteding van bepaalde diensten mogelijk acht en welke aandachtspunten daarbij dan relevant zijn. Het advies van de ICT-branche aan de overheid komt er doorgaans op neer dat de vraagstelling moet worden uitgewerkt in een meer concreet aanbestedingstraject, waarop leveranciers dan vervolgens kunnen reageren.

In enkele gevallen konden de deelnemers geen antwoord geven op gestelde vragen, omdat de vraagstelling te onduidelijk was en/of de nodige gegevens ontbraken. Dit stelden we vast bij de volgende haalbaarheidstoetsen:

• • EBF/programma van eisen: het ging hierbij om een vraag over marktconformiteit.

• • Systeemontwikkeling en Functioneel Applicatiebeheer van het Rijksportaal.

• • Informatieknooppunt crisisbeheersing: de marktpartijen hebben in dit geval zelfs een aantal vragen teruggelegd bij de initiatiefnemers van de haalbaarheidstoets.

• • Verwerving Burgerzakenmodules: bij deze toets was er vanuit de markt ook kritiek op het uitgangspunt van een vast tijdpad.

Bij deze vier projecten heeft de toepassing van het instrument geen volledig helder advies kunnen opleveren over de haalbaarheid. Het is onduidelijk welke lessen de desbetreffende overheden als vragende partijen hebben getrokken uit de rapportage naar aanleiding van deze haalbaarheidsonderzoeken. Er zijn geen voorbeelden bekend dat de haalbaarheidstoets later opnieuw met een gewijzigde vraagstelling is uitgevoerd.

Soms zijn de marktpartijen verdeeld over de te geven antwoorden/adviezen. Dit speelde onder andere bij de haalbaarheidstoetsen OT2010 en Verkaveling vaste telefoniediensten. Ook hier rijst de vraag welke lessen hieruit getrokken zijn, omdat de toetsrapportage geen duidelijk advies oplevert over de haalbaarheid. Mogelijk is er in deze gevallen wel meer inzicht ontstaan in de verschillende opties die open staan.

5 AFWEGINGSKADER SOURCING

5.1 Typering

Sourcing is het proces om te bepalen of werkzaamheden zelf worden gedaan, in samenwerking met anderen worden uitgevoerd, of worden uitbesteed. In de op 15 november 2011 aan de Tweede kamer aangeboden I-strategie heeft de minister van BZK vermeld dat de ministeries hierbij een vast afwegingskader hanteren voor generieke ICT.

In de ICCIO is in september 2012 een afwegingskader voor sourcing vastgesteld.30 Bij de bespreking in de ICCIO heeft de CIO van het Ministerie van Financiën in eerste instantie aangegeven dat de Belastingdienst niet instemt met dit kader, mede vanuit een andere visie op de rol die Directoraat-generaal Organisatie Bedrijfsvoering Rijk (DGOBR) in dit verband zou moeten spelen. Uit nadere informatie van de CIO Rijk en de CIO van de Belastingdienst is gebleken dat dit berust op een misverstand en er geen sprake is van een afwijkend standpunt van de Belastingdienst.

5.2 Opzet en toepassing

Volgens het afwegingskader moeten generieke diensten (en gemeenschappelijke diensten waarvan het zeer waarschijnlijk is dat zij generiek worden) gebundeld worden uitgevoerd binnen verzorgingsgebieden door een samenhangend geheel van gespecialiseerde interne ICT-dienstverleners (de Shared Service Organisaties; SSO’s). De SSO’s kunnen op hun beurt weer beslissen over de sourcing van delen van deze generieke diensten, want in het afwegingskader is vermeld dat «veel van het uitvoerend werk rondom complexe ICT-transformaties door marktpartijen in opdracht van de SSO’s worden uitgevoerd, zowel op het gebied van expertise als capaciteit.»

Voor de gemeenschappelijke en specifieke diensten staat het de departementen vrij om te kiezen om de uitvoering te beleggen bij een interne partij (een SSO) of bij een marktpartij. Het sourcingsafwegingskader wordt verplicht toegepast op de generieke ICT en die gemeenschappelijke ICT waarvan zeer waarschijnlijk is dat deze op termijn generiek wordt. Volgens de opstellers is het afwegingskader ook goed toepasbaar op specifieke ICT.

5.2.1 Prioriteiten

Het afwegingskader noemt de volgende zeven prioriteiten voor de sourcingstrategie:

• 1. besparen op kosten door slimme sourcing;

• 2. helder onderscheid tussen kerntaken en perifere taken;

• 3. concentratie van de uitvoering van generieke perifere I-diensten;

• 4. een eenduidig en transparant keuzeproces;

• 5. professionele besturing van sourcing;

• 6. informatiebeveiliging: vertrouwen en beveiliging;

• 7. van uitbesteden van taken naar afnemen van diensten.

Hieronder geven we een korte toelichting per prioriteit en een samenvatting van de belangrijkste sourcingprincipes, die in het afwegingskader zijn opgenomen.

Besparen op kosten door slimme sourcing

Het afwegingskader vermeldt dat de ervaring wereldwijd heeft geleerd dat zonder meer outsourcen van zoveel mogelijk taken doorgaans niet leidt tot besparingen maar juist tot kostenverhoging. Kostenbesparingen kunnen beter worden nagestreefd door een genuanceerde mix van sourcingsoplossingen.

Principes hierbij zijn onder andere:

• • Het Rijk maakt gebruik van bestaande en bewezen technologie. Hergebruik voordat wordt gekocht, koop voordat wordt gebouwd.

• • Er ligt een business case ten grondslag aan elke beslissing tot sourcing en deze wordt op basis van de stappen in het sourcingstraject herijkt.

• • De generieke ICT voorzieningen worden gebundeld uitgevoerd binnen verzorgingsgebieden door een samenhangend geheel van gespecialiseerde interne ICT-dienstverleners.

• • Het Rijk kiest bij sourcing in principe voor (de facto) standaard producten en diensten en wijkt daarvan alleen af met maatwerk als daartoe zwaarwegende argumenten zijn.32

Helder onderscheid tussen kerntaken en perifere taken

Om optimaal te kunnen sourcen is het als eerste van belang dat duidelijk is welke taken en processen met betrekking tot informatievoorziening en ICT («I-taken») tot de kerntaken van de rijksdienst behoren en welke niet. Kerntaken zijn taken binnen kritische bedrijfsprocessen die om wettelijke, politieke, juridische, beveiligings- of andere redenen altijd in eigen beheer moeten worden uitgevoerd. Perifere taken zijn taken die even goed of beter door anderen kunnen worden uitgevoerd. Geconstateerd wordt dat dit onderscheid niet altijd even helder is en hiervoor binnen de rijksdienst verschillende maatstaven worden aangelegd.

Principes hierbij zijn onder andere:

• • Er is een actuele definitie voorhanden van de «I-kerntaken» en de «perifere I-taken» van de rijksdienst. Deze definities worden periodiek geëvalueerd naar aanleiding van ontwikkelingen in de politiek, de Rijksdienst, de overheid, de wetenschap en ICT-branche.

• • I-kerntaken worden in principe niet uitbesteed. Perifere I-taken kunnen onder voorwaarden wel worden uitbesteed.

Concentratie van de uitvoering van generieke perifere I-diensten

Om met sourcing een compactere rijksdienst te bevorderen streeft de rijksdienst ernaar de taken ter uitvoering van generieke I-diensten zodanig te beleggen dat kerntaken geconcentreerd vanuit de centrale rijksdienst worden uitgevoerd in rijksbrede shared services.

Principes hierbij zijn onder andere:

• • De overheid bewaakt de integriteit van de eigen rijksbrede infrastructuur. Daarom zijn onder meer uitgangspunten geformuleerd voor de hantering van architectuurstandaarden.33

• • Eindgebruikers binnen de Rijksoverheid houden voor hun vragen een «single point of contact» (één loket) en worden door (andere) sourcing niet geconfronteerd met verschillende loketten voor verschillende generieke en gemeenschappelijke I-diensten.

• • Het Rijk besteedt bij voorkeur geen generieke diensten uit aan de markt voordat zij deze diensten eerst zelf beheerst. Als desondanks uitbesteden een mogelijkheid is die in beschouwing moet worden genomen, wordt per geval bezien of zelf doen of uitbesteden aan de markt (outsourcen) op grond van haalbaarheid en rendement een alternatief is.

• • De generieke ICT-diensten van het Rijk moeten bekend, beschreven en ontkoppelbaar zijn.

Een eenduidig en transparant keuzeproces

Het streven is alle sourcingstrajecten binnen de Rijksoverheid transparant en beargumenteerd, op basis van solide overwegingen, te laten verlopen. Belangrijke uitgangspunten daarvan zijn de koppeling van sourcing aan organisatiedoelen, het streven naar lagere kosten, concentratie van de bedrijfsvoering en een eenduidig en transparant keuzeproces, waardoor hergebruik wordt gestimuleerd.

Principes hierbij zijn onder andere:

• • Het Rijk hanteert een vast afwegingskader waarin alle nieuwe sourcingstrajecten van generieke ICT binnen het Rijk worden getoetst aan de sourcingsprincipes.

• • Politieke/bestuurlijke en juridische kaders (wet- en regelgeving) ten aanzien van sourcing zijn leidend. Echter zuiver politieke, bestuurlijke en/of juridische keuzes voor uitbesteding gaan ook altijd vergezeld van een business case, opdat duidelijk blijft welke gevolgen beslissingen hebben.

Professionele besturing van sourcing

Om de strategische doelen van het kabinet te kunnen bereiken is het volgens het afwegingskader belangrijk dat de totale sourcing van generieke I-diensten goed centraal bestuurd wordt. Dat betekent dat de rijksdienst de komende jaren haar volwassenheidsniveau wil verhogen op het punt van het management van de sourcing.

Principes hierbij zijn onder andere:

• • Binnen de Rijksdienst wordt professionele regie gevoerd op generieke I-diensten van het Rijk en is er aansluiting op bestaande rijksbrede sturingsgremia en rijksbrede sturingsafspraken.

• • Voor elke dienst is één eigenaar bekend.

• • Voor elk sourcingstraject zijn de randvoorwaarden voor goed opdrachtgeverschap ingevuld, waaronder sturen op resultaat (output) in plaats van op het totstandkomingsproces daarvan (throughput).

Informatiebeveiliging: vertrouwen en beveiliging

De burger moet vertrouwen kunnen hebben in de wijze waarop het Rijk communiceert via digitale media en omgaat met de opslag en het gebruik van digitale gegevensbestanden.

Principes hierbij zijn onder andere:

• • Het Rijk voert actief risicomanagement ten aanzien van de risico’s die ontstaan uit de relatie tussen opdrachtgever en opdrachtnemer. De klassieke informatiebeveiligingsaanpak waarbij inperking van mogelijkheden de boventoon voert maakt plaats voor veilig faciliteren.

• • Informatiebeveiliging is en blijft een verantwoordelijkheid van het lijnmanagement.

• • Methoden voor rubricering en continue evaluatie ervan zijn hanteerbaar om onder- en overrubricering te voorkomen.

• • Naast aandacht voor netwerkbeveiliging meer aandacht voor gegevensbeveiliging.

Van uitbesteden van taken naar afnemen van diensten

Waar leveranciers vroeger veelal technische (deel)producten aanboden die door klanten zelf moesten worden geassembleerd, worden tegenwoordig steeds vaker meeromvattende integrale functionele diensten aangeboden. In het licht van die trend wordt het minder zinvol om bestaande I-taken en -processen van de rijksdienst als zodanig uit te besteden en ligt de toekomst volgens het afwegingskader in het afnemen van functionele diensten.

Principes hierbij zijn onder andere:

• • Programma’s van eisen bij aanbestedingen worden geformuleerd in eisen en wensen ten aanzien van functionaliteit, kwaliteit en kosten.

• • Kaders in aanbestedingen worden rijksbreed zoveel mogelijk gestandaardiseerd.

• • Er moeten heldere afspraken zijn over eventuele onderaanneming door een ICT-dienstverlener en over vervolgsourcing.

5.2.2 Toepassing

Het afwegingskader sourcing moet worden toegepast wanneer bestaande diensten of activiteiten (opnieuw) moeten worden aanbesteed en bij nieuwe ICT-diensten of activiteiten.

Elk sourcingstraject moet, voorafgaande aan een aanbesteding34 worden getoetst aan de hand van de volgende drie vragen:

• 1. Is het doel van een sourcingstraject geformuleerd en voorzien van een onderliggende positieve business case?

• 2. Voldoet het voorgenomen sourcingstraject aan de sourcingsspeerpunten en de sourcingsprincipes?

• 3. Is er een onderbouwde keuze voor de gewenste sourcingsvorm gemaakt?

Uit ons onderzoek komt naar voren dat met de daadwerkelijke toepassing van het afwegingskader nog weinig ervaring is opgedaan, omdat het pas recent (september 2012) is vastgesteld. Dat neemt niet weg dat enkele basisbeginselen al eerder zijn vastgelegd, bijvoorbeeld in de I-strategie, en als uitgangspunt zijn geformuleerd. Dat betreft onder andere het uitgangspunt dat generieke ICT gebundeld wordt uitgevoerd in «shared service organisaties». Tijdens de interviews in het kader van ons onderzoek bleek er ook nog onbekendheid met het instrument te bestaan, vooral bij programmamanagers en projectleiders.

Tijdens ons onderzoek hebben we vastgesteld dat sommige onderdelen van de Rijksdienst, zoals de Raad voor de Rechtspraak en het Ministerie van Defensie, al vóór de vaststelling van het rijksbrede afwegingskader, eigen afwegingskaders voor sourcingsbeslissingen hebben geformuleerd en toegepast.

6 BUSINESS CASES

6.1 Typering

Om het inzicht in en de beheersing van de kosten en baten van ICT-projecten te vergroten, gebruikt de rijksoverheid onder andere het instrument business case. In een business case wordt de onderbouwing (zakelijke rechtvaardiging) van een ICT-project vastgelegd. Het gaat hierbij om een onderbouwing van nut en noodzaak van een project, ondersteund door een kosten-batenanalyse waarin niet alleen financiële, maar ook kwalitatieve voor- en nadelen worden meegewogen.35

Handboek Portfoliomanagement Rijk

Bij het Rijk is het gebruik van business cases verankerd in het systeemontwikkelingsproces. De business cases maken deel uit van een geheel van afspraken rondom grote en risicovolle projecten op Rijksniveau, departementaal niveau en projectniveau. De business cases zijn ook een regulier onderdeel van het portfoliomanagement (zie hoofdstuk 3).

Business cases dienen op grond van het Handboek Portfoliomanagement Rijk (BZK 2011b) de volgende informatie te bevatten:

• 1. een meerjarige kostenanalyse, waarin kosten zijn opgesplitst naar de verschillende projectfasen, inclusief de fase van het beheer;

• 2. een batenanalyse, waarin zowel financiële als eventuele niet-financiële baten zijn opgenomen;

• 3. informatie over de wijze waarop gedurende de looptijd in de financiering van het project zal worden voorzien;

• 4. een marktverkenning en een onderzoek naar soortgelijke bestaande oplossingen bij andere ministeries en bedrijven;

• 5. een alternatievenanalyse (inclusief een nul-alternatief), waarin wordt aangegeven welke alternatieven zijn onderzocht en waarom deze zijn afgevallen;

• 6. een overzicht van de voor het project voorziene contracten, waarbij wordt aangegeven wat de aard van deze contracten is en wat de consequenties zijn voor lopende contracten;

• 7. informatie over de aanbestedingsstrategie.

Realisatie business cases

In de praktijk kan het voorkomen dat de baten die in een business case worden opgevoerd uiteindelijk niet gerealiseerd worden. Voor het beheersen van de kosten is namelijk vaak meer aandacht dan voor het behalen van de baten. Het is daarom van belang de realisatie van de business case en het behalen van de baten te volgen. In het kader van dit batenmanagement is het van belang business cases actueel te houden.

6.2 Toepassing

In het kader van ons onderzoek hebben we de toepassing van business cases onderzocht bij enkele grote en/of risicovolle ICT-projecten uit de Jaarrapportage Bedrijfsvoering Rijk 2011.

Ons onderzoek richtte zich daarbij vooral op de volgende punten:

• • de voorschriften en formats voor het opstellen van business cases (zie § 6.2.1);

• • de toepassing in projecten en projectfasen (zie § 6.2.2);

• • de aansluiting van business cases met het Handboek Portfoliomanagement (zie § 6.2.3).

Tot slot staan we kort stil bij overige ontwikkelingen rond business cases, met name ten aanzien van batenmanagement (zie § 6.2.4).

6.2.1 Voorschriften en formats

Voorschriften

Wij onderzochten allereerst of er departementale voorschriften gelden voor het opstellen van business cases. Daarbij hebben we geconstateerd dat er binnen departementen uiteenlopende voorschriften en richtlijnen bestaan ten aanzien van business cases en kosten-batenanalyses bij grote projecten. Vaak maakt het opstellen van een business case ook deel uit van de toegepaste projectbeheersingsmethodiek. Dat is bijvoorbeeld het geval in de door de overheid veelgebruikte Prince2-methode. In dat geval is de business case een onderdeel van het projectinitiatiedocument (PID).

Formats

Sommige departementen hebben een eigen format of sjabloon opgesteld om het opstellen van business cases te ondersteunen en de presentatie van de resultaten te uniformeren. Soms zijn er bij departementen voorbeelden beschikbaar van business cases van eerder uitgevoerde projecten om het opstellen van nieuwe business cases te vergemakkelijken. Daar waar er formats bij departementen bestaan is het gebruik ervan overigens niet altijd verplicht.

In de praktijk bestaan er veel verschillende vormen van business cases bij de departementen. De indeling van bijgestelde/herijkte versies van business cases komt ook niet altijd overeen met die van de oorspronkelijke versie. Deze vormverschillen bemoeilijken de vergelijkbaarheid van kosten, baten en andere relevante informatie uit de business cases, tussen departementen onderling en tussen de opeenvolgende geactualiseerde versies van business cases.

6.2.2 Projecten en projectfasen

We hebben verder onderzocht in welke projectfase(n) business cases worden opgesteld of bijgesteld. Daarbij is naar voren gekomen dat de onderzochte business cases overwegend bij de start van een project zijn opgesteld. Een enkele organisatie hanteert het voorschrift dat business cases periodiek of per levensfase moeten worden geactualiseerd, maar in het algemeen is een actualisering van een business case tijdens de looptijd van een project een uitzondering. De aanleiding is dan bijvoorbeeld een wijziging in de scope van het project of in de randvoorwaarden.

6.2.3 Aansluiting bij het Handboek Portfoliomanagement Rijk

We hebben onderzocht welke informatie de business cases bevatten en in hoeverre die informatie overeenkomt met de elementen die zijn genoemd in het Handboek Portfoliomanagement Rijk (zie § 6.2.1).

Uit de analyse van de business cases is een uiteenlopend beeld naar voren gekomen. Gebleken is dat er in de onderzochte business cases relatief veel aandacht wordt besteed aan kosten en baten. De overige onderwerpen uit het Handboek Portfoliomanagement Rijk komen minder systematisch aan de orde.

De projectkosten zijn over het algemeen meerjarig gespecificeerd. Daarbij zijn ook de kosten in de beheerfase opgenomen. De kosten van de inzet van eigen personeel zijn echter niet altijd meegenomen in de projectkosten. In de onderzochte business cases komen zowel financiële als niet financiële baten naar voren. De financiële baten zijn meestal ook gekwantificeerd.

Bij het afwegen van kosten en baten kan ook de levensduur van de gerealiseerde ICT-oplossing van belang zijn. De informatie over de levensduur geeft immers inzicht in de verhouding tussen de kosten en baten van een project over de totale looptijd. Wij hebben geconstateerd dat deze levensduur meestal niet is vastgelegd in de business case. Wel is vaak de verwachte terugverdientijd van de investering aangegeven.

Alternatievenanalyses zijn niet altijd opgenomen in de opgestelde business cases. Wanneer dat wel het geval is betreft het vaak het nul-alternatief (de onveranderde situatie). In die gevallen dat er sprake is van alternatieven is er ook een motivering voor het afvallen van alternatieven gegeven.

De overige onderzochte onderwerpen zijn maar bij enkele business cases aangetroffen: informatie over de wijze van financiering, marktverkenningen (of informatie over bestaande oplossingen), voorziene en lopende contracten en een aanbestedingsstrategie. Op deze punten omvatten de beoordeelde business cases niet de elementen die zijn beschreven in het Handboek Portfoliomanagement Rijk. Het is mogelijk dat bepaalde informatie, zoals financiering en aanbestedingsstrategie, in andere documenten zijn beschreven, maar dan is vermelding in de business case of een duidelijke verwijzing achterwege gebleven. Daardoor ontbreekt het totaalbeeld in de betreffende business cases.

6.2.4 Realisatie business cases

Verschillende departementen hebben aangegeven na te denken over het inrichten van batenmanagement, met het oog op de realisatie van business cases en de daarin opgenomen baten. In de gesprekken met de CIO’s van de departementen bleek dat er opkomende aandacht was voor dit onderwerp. Zo is batenmanagement onderwerp van gesprek in de Stuurgroep Grote ICT-projecten en zal bij de projecten van de Compacte Rijksdienst een pilot met betrekking tot batenmanagement worden gestart (Project Compacte Rijksdienst 7: ICT-aanbieder voor de departementen).

Uit de gesprekken met de CIO’s en de beschikbare documentatie blijkt dat de realisatie van de baten uit business cases nog te weinig wordt bewaakt. Omdat de inschatting van realistische baten in de loop van een project kunnen veranderen, zou de business case daarvoor geactualiseerd moeten worden. Daarbij zal uiteraard niet alleen een actualisering van de baten aan de orde zijn, maar ook, als daar aanleiding toe is, van de kosten.

7 ICT-DASHBOARD

7.1 Typering

Het ICT-dashboard is bedoeld om tijdens de looptijd van ICT-projecten (via internet) een overzicht te geven van de ontwikkeling van kosten en doorlooptijd van projecten, waaronder eventuele overschrijdingen van budgetten en planningen. Op Verantwoordingsdag 2011 heeft het Ministerie van BZK de eerste versie van het ICT-dashboard gelanceerd. Dit dashboard bevat informatie uit de jaarlijkse rapportage over grote en risicovolle projecten, die onderdeel is van de Jaarrapportage Bedrijfsvoering Rijk. De projecten in de rapportage worden via de ICT-dashboardwebsite, online gepresenteerd.

In dit hoofdstuk gaan we in op het rapportagemodel, de verstrekte informatie over de projecten en op de betrouwbaarheid daarvan. Om een gemeenschappelijk referentiepunt te hebben, richten wij onze analyse van de verstrekte informatie op de in de Jaarrapportage Bedrijfsvoering Rijk 2011 opgenomen informatie. Deze jaarrapportage heeft het Ministerie van BZK op Verantwoordingsdag 2012 uitgebracht en bevat gegevens per peildatum 31 december 2011.

7.2 Toepassing

7.2.1 Rapportagemodel

Voor de verantwoording over ICT-projecten in de Jaarrapportage Bedrijfsvoering Rijk en in het ICT-dashboard is een rapportagemodel ontwikkeld. Dit rapportagemodel is van toepassing voor grote projecten met een ICT-component van minimaal € 20 miljoen. Vanaf 2010 worden in de jaarrapportage ook projecten opgenomen die een geringer financieel belang hebben (met een ondergrens van in beginsel € 5 miljoen), maar een hoog risicoprofiel hebben. Dit is verankerd in het handboek Portfoliomanagement Rijk. Voor het vaststellen welke kleinere projecten risicovol zijn is een formulier beschikbaar.

Volgens het rapportagemodel moeten de ministeries voor de Jaarrapportage Bedrijfsvoering Rijk informatie aanleveren over de raming en realisatie van de doorlooptijd van een project en van de verwachte levensduur.36 In de rapportage moet ook worden vermeld of projectplannen en reviews zijn opgesteld overeenkomstig in het rapportagemodel vastgelegde criteria.

Wat betreft de kosten moet de rapportage de totale financiële omvang van het project in miljoenen euro aangeven, exclusief beheer- en exploitatielasten. Volgens het oorspronkelijke rapportagemodel uit december 2008 moesten de volgende kostensoorten in de specificatie voorkomen:

• • ingekochte apparatuur en standaard software;

• • extern personeel;

• • intern personeel;

• • bij ontwikkeling en bouw gebruikte hard en software (licentiekosten);

• • implementatiekosten als scholing en voorlichting.

Het handboek Portfoliomanagement Rijk van november 2011 verlangt echter de volgende afwijkende specificatie:

• • hardware en software;

• • ingehuurd extern personeel;

• • intern personeel;

• • uitbesteed werk aan derden;

• • overige projectkosten.37

Het rapportagemodel uit het handboek Portfoliomanagement Rijk van november 2011 schrijft niet voor dat over de baten van een project gerapporteerd moet worden. Wel is in het rapportagemodel vastgelegd dat een projectplan een business case (zakelijke rechtvaardiging)38 moet omvatten, waarvan een analyse van financiële en niet-financiële baten een onderdeel behoort te vormen. In de business case moeten ook de kosten naar projectfase worden gespecificeerd, inclusief de fase van beheer. Volgens het rapportagemodel behoeven de beheerkosten echter niet gespecificeerd te worden in de rapportage over de grote ICT-projecten.

7.2.2 Verstrekte informatie over ICT-projecten

We hebben overwogen of het, naast het presenteren van het totaalbeeld, meerwaarde zou hebben om afzonderlijk de herijkingen39 en bijstellingen40 van recent (na 1 januari 2009) gestarte projecten in beeld te brengen. Dit op grond van de redenering dat de lessen uit onze eerder onderzoeken pas vanaf begin 2009 in de opzet van projecten betrokken kunnen zijn. Wij hebben besloten hiervan af te zien. Bij de recent gestarte projecten doen zich weliswaar minder vaak herijkingen of bijstellingen voor, maar dat kan zijn oorzaak vinden in het nog prille stadium van het project en behoeft niet altijd te wijzen op een betere projectbeheersing.

Projectkosten

In de volgende tabel geven we een overzicht van de gerapporteerde kosten(ramingen) voor alle 49 projecten uit de Jaarrapportage Bedrijfsvoering Rijk naar de stand per 31 december 2011.

Tabel 8 Kostentotalen van grote en risicovolle ICT-projecten

Kostentotalen	in miljoenen €	in % van initieel
Initiële schatting	1.957,86	100
Schatting laatste herijking	2.409,45	123
Actuele schatting	2.409,61	123
Cumulatief gerealiseerd	1.711,70	87

Uit deze kostentotalen blijkt dat het bij de herijkingen voor de 49 projecten in de jaarrapportage 2011 in totaal om een nettobedrag van bijna € 452 miljoen gaat (dit is 23% van de initiële schatting). Het totaal van de actuele kostenschattingen ligt dicht bij de schatting van de laatste herijkingen.

Voor 37 van de 49 projecten in de jaarrapportage over 2011 is er sprake van een herijking met in 31 gevallen een aanpassing van de kostenraming. De volgende tabel geeft nadere informatie over deze herijkingen, waarbij een verhoging of verlaging van de kostenraming aan de orde is.

Tabel 9 Herijkingen kostenramingen van grote en risicovolle ICT-projecten ten opzichte van initiële ramingen

Herijkingen	aantal	in miljoenen €	in %
Herijkingen met aanpassing kostenraming	31	451,59	100
– waarvan kostenverhoging	22	504,01	71
– waarvan kostenverlaging	9	52,42	29

Uit deze tabel blijkt dat een herijking niet altijd betekent dat er sprake is van een toename van de kosten. In ongeveer 30% van de gevallen gaat het om een neerwaartse bijstelling van de projectkosten.

Als we de actuele kostenramingen vergelijken met de initiële ramingen, dan komt naar voren dat er bijstellingen zijn, die nog niet in herijkingen zijn verwerkt. De volgende tabel geeft het totaalbeeld van de bijstellingen ten opzichte van de initiële ramingen.

Tabel 10 Bijstellingen kostenramingen van grote en risicovolle ICT-projecten ten opzichte van initiële ramingen

Bijstellingen	aantal	in miljoenen €	in %
Bijstellingen kostenraming	39	451,57	100
– waarvan kostenverhoging	24	522,88	62
– waarvan kostenverlaging	15	71,13	38

Uit deze laatste tabel blijkt dat de actuele kostenraming van 39 van de 49 projecten in de jaarrapportage over 2011 afwijkt van de initiële raming. Bij 24 projecten, dus bij ongeveer de helft van het totale aantal projecten in de Jaarrapportage Bedrijfsvoering Rijk 2011, is er sprake van een overschrijding van de initiële raming.

Omdat te constateren is dat bij verschillende projecten de actuele kostenraming afwijkt van de raming bij de laatste herijking, hebben wij geanalyseerd hoe vaak dit voorkomt en in welke omvang. De volgende tabel geeft hiervan een overzicht.

Tabel 11 Verschillen tussen actuele kostenramingen van grote en risicovolle ICT-projecten en de ramingen bij de laatste herijking

Verschillen	aantal	in miljoenen €	in %
Verschillen tussen kostenramingen	22	0,16	100
– waarvan kostenverhoging	11	24,19	50
– waarvan kostenverlaging	11	24,03	50

Uit de tabel blijkt dat er bij 22 projecten nieuwere inzichten bestaan over de kostenramingen ten opzichte van de laatste herijking. In de helft van de gevallen is de actuele raming hoger dan bij de laatste herijking en bij de andere helft valt de actuele raming lager uit. Het netto effect op het totaal van de kostenramingen blijkt gering, omdat de positieve en negatieve afwijkingen ten opzichte van de laatste herijking elkaar nagenoeg opheffen (beide ongeveer € 24 miljoen).

Projectdoorlooptijden

De Jaarrapportage Bedrijfsvoering Rijk 2011 geeft niet alleen informatie over de oorspronkelijk geplande doorlooptijden van de 49 daarin opgenomen grote en risicovolle projecten, maar ook van eventuele herijkingen en latere bijstellingen. Wat betreft de herijkingen van de geplande doorlooptijden geeft de rapportage het volgende beeld naar de stand per 31 december 2011.

Tabel 12 Herijkingen doorlooptijden grote en risicovolle ICT-projecten

Aantal herijkingen	37
– waarvan zonder aanpassing doorlooptijd	7
– waarvan met aanpassing doorlooptijd	30
Gemiddelde doorlooptijd (initiële einddatum – startdatum) in dagen	1.357
Gemiddelde herijking doorlooptijd in dagen	668
Gemiddelde herijking doorlooptijd in % van initiële doorlooptijd	49

Oorzaken herijkingen

Projectbaten

Zoals vermeld in § 7.2.1, maken de projectbaten in beginsel geen onderdeel uit van het rapportagemodel en heeft de Tweede Kamer daarom via de motie Van der Burg c.s. verzocht om aanvullende informatie op dit punt. In de Jaarrapportage Bedrijfsvoering Rijk 2011 is als antwoord op deze motie bij verschillende projecten informatie verstrekt over de (verwachte) baten. Bij 29 van de 49 projecten is er enige informatie over de baten verstrekt, maar dit betreft bij 22 projecten uitsluitend kwalitatieve baten. Bij niet meer dan zeven projecten zijn de baten (ook) in kwantitatieve of financiële termen uitgedrukt. De specificatie van deze (verwachte) baten is beperkt en soms is niet duidelijk of het om een totaalbedrag aan baten gaat of een batenbedrag per jaar. Bij een enkel project41 worden de baten uitgedrukt in percentages efficiencywinst en prijsreductie, maar om welke bedragen (per jaar) het gaat is niet aangegeven.

Levensduur na oplevering project

De informatie in de Jaarrapportage Bedrijfsvoering Rijk 2011 over de levensduur in jaren laat een gevarieerd beeld zien. Bij veertien van de 49 projecten is een nauwkeurige schatting van de levensduur gegeven. Bij elf projecten is de verwachte levensduur echter in een ruim interval uitgedrukt, bijvoorbeeld 5 à 10 jaar of 10 tot 20 jaar. Bij twee projecten is aangegeven dat de levensduur langer zal zijn dan bijvoorbeeld 5 of 10 jaar en bij een enkel project is niet meer vermeld dan dat de levensduur «lang» is. Bij acht projecten is vermeld dat de levensduur (nog) niet bekend is en in tien gevallen is er in het geheel geen informatie over de levensduur in de jaarrapportage opgenomen. Bij drie projecten is er geen sprake van een zelfstandige levensduur na oplevering van het projectresultaat, omdat het gaat om aanpassingen aan diverse andere informatiesystemen, die elk een eigen levensduur hebben. Als (een interval voor) de levensduur is aangegeven, gaat het in 19 (ongeveer een op de drie) gevallen om een duur van 10 jaar of langer, met een maximale levensduur van 25 jaar.

Exploitatie-, beheers- en onderhoudskosten

Exploitatie-, beheers- en onderhoudslasten na oplevering van een project, maken in beginsel geen onderdeel uit van het rapportagemodel en daarom is via de motie Van der Burg c.s. ook op dit punt verzocht om aanvullende informatie (zie § 7.2.1). Naar aanleiding van deze motie is in de Jaarrapportage Bedrijfsvoering Rijk 2011 bij een aantal projecten informatie gegeven over deze kosten. Bij een minderheid van de projecten (18 van de 49) is een concreet bedrag genoemd. Bij drie projecten is een vage indicatie gegeven, bijvoorbeeld dat de exploitatiekosten naar verwachting niet hoger zullen zijn dan in de oude situatie, zonder een concreet bedrag te noemen. Bij 23 projecten ontbreekt elke indicatie van de exploitatie-, beheers- en exploitatiekosten. Bij drie projecten is het duidelijk dat er geen zelfstandige exploitatie-, beheers- en onderhoudslasten zullen zijn en bij twee projecten is aangegeven dat deze kosten (nog) niet bekend zijn en/of dat er nog onderzoek naar gedaan wordt. Als er bedragen zijn genoemd, is niet altijd helder of het om een bedrag per jaar gaat of om een totaalbedrag voor een bepaalde periode. Soms is aangegeven dat de kosten van eigen personeel in het bedrag van de exploitatie-, beheers- en onderhoudslasten buiten beschouwing zijn gebleven, maar in de meeste gevallen wordt dit in het midden gelaten.

7.2.3 Betrouwbaarheid en actualiteit dashboardinformatie

De reikwijdte van het onderzoek van de auditdiensten impliceert dat er geen oordeel wordt gegeven over de getrouwheid van het cijfermateriaal in de rapportage.

De RAD heeft een overkoepelend rapport uitgebracht over de analyse van het rapportageproces grote ICT-projecten 2011. De belangrijkste bevindingen uit dit rapport zijn:

• • De tijdigheid en professionaliteit van het rapportageproces laat vooruitgang zien, maar de procesopzet is niet overal vastgelegd.

• • Bij de selectie van projecten is niet altijd het risicoprofiel scoreformulier gebruikt.

• • Het ICT-dashboard wordt tussentijds nagenoeg niet bijgewerkt, bijvoorbeeld bij herijkingen.

• • De aansluiting tussen de projectkosten en de financiële administratie is bij veel departementen een probleem.

• • De communicatie met zelfstandige bestuursorganen over rapportageverplichtingen is niet altijd toereikend.

Tijdens ons onderzoek hebben we bij enkele projecten in de Jaarrapportage Bedrijfsvoering Rijk 2011 onjuistheden vastgesteld in de rapportage over gerealiseerde kosten en verwachte doorlooptijden van projecten. Zo waren bij twee projecten de gerealiseerde kosten over 2011 onvermeld gebleven. Wat betreft de doorlooptijden hebben we bij enkele projecten vastgesteld dat de actueel geschatte einddatum niet strookte met de verwachte einddatum volgens de laatste herijking.

Om inzicht te krijgen in de tussentijdse bijstellingen van de projectinformatie in het dashboard, hebben wij een vergelijking gemaakt tussen de informatie van het ICT-dashboard (naar de stand per 19 november 2012) en de Jaarrapportage Bedrijfsvoering Rijk 2011 met als peildatum 31 december 2011. Daaruit blijkt dat alleen bij het project Leonardo van het Ministerie van VenJ een inhoudelijke aanvulling van de projectinformatie heeft plaatsgevonden. Dit betrof een aanvulling van de informatie over uitgevoerde kwaliteitstoetsen en geen actualisering van kosten of doorlooptijden. In de Jaarrapportage zijn voor Leonardo slechts twee reviews uit 2010 vermeld, terwijl uit de aanvulling blijkt dat er nog zeven andere reviews in de periode 2008–2011 zijn uitgevoerd. Het gaat hier dus om het herstellen van een onvolledigheid in de eerder verstrekte informatie. Daarnaast zijn er nog twee onderzoeken vermeld, die in 2012 zijn uitgevoerd.

8 GATEWAY REVIEWS

8.1 Typering

Tabel 13 Type Gateway Reviews

Type	Omschrijving
Type 0 – Strategie en bereik	De Gateway Review 0 is ontwikkeld voor programma’s en toetst bestaansgrond, aanpak en strategie. Deze Gateway wordt herhaaldelijk uitgevoerd tijdens de looptijd van het programma.
Type 1 t/m 5 – Van doel en rechtvaardiging tot resultaten	De Gateway Reviews 1–5 zijn ontwikkeld voor projecten. In deze reviewtypes wordt tijdens de looptijd de bestaansgrond, aanpak, uitvoering, implementatie en het resultaat getoetst.
Health Check – Organisatiescan	De Health Check kan op ieder moment toegepast worden. In dit reviewtype wordt een aspect van de staande organisatie onderzocht.
Starting Gate – Resultaten	Aan het einde van de beleidsfase kan een Starting Gate toegepast worden om te toetsen of het geplande beleid en uitvoering geschikt en effectief zullen zijn.

8.2 Toepassing

In 2009 heeft de Nederlandse overheid een aantal proefnemingen gedaan met de Gateway Review. Omdat de pilotfase succesvol verliep, heeft het Ministerie van BZK besloten het Bureau Gateway op te richten. Dit bureau ontving in januari 2010 formele accreditatie voor de toepassing van Gateway Reviews en is daarmee de enige licentiehouder in Nederland.

Aanvankelijk beperkte het bureau zich tot ICT-gerelateerde projecten, maar inmiddels wordt deze methode ook toegepast voor niet ICT-gerelateerde projecten, zoals bredere bedrijfsvoeringstrajecten. Bureau Gateway begeleidt reviews en verzorgt ook de opleiding tot reviewer. De totale pool van opgeleide Gateway Reviewers bestaat nu uit ruim 280 personen.

De volgende tabel geeft een overzicht van de Gateway Reviews die de afgelopen vier jaar zijn uitgevoerd.

Tabel 14 Uitgevoerde Gateway Reviews (peildatum 1 september 2012)

Type	2009	2010	2011	2012	Totaal
Type 0 – Strategie en bereik	1	14	17	20	52
Type 1 – Doel en rechtvaardiging	0	0	2	1	3
Type 2 – Voorbereiding en verwervingsstrategie	1	2	1	4	8
Type 3 – Realisatie	0	5	2	0	7
Type 4 – Gereed voor implementatie	1	6	13	6	26
Type 5 – Resultaten	0	0	0	3	3
Health Check – Organisatiescan	1	1	1	2	5
Starting Gate – Resultaten	0	0	0	2	2
Totaal uitgevoerd	4	28	36	38	106

Uit de tabel blijkt dat er in totaal 106 Gateway Reviews zijn uitgevoerd en dat de types 0 en 4 de meest uitgevoerde type Gateways Reviews zijn.

Tot de rolbeschrijving van de CIO behoort dat een CIO audits, reviews en second opinions ondersteunt (BZK, 2008a). Daaronder valt ook de ondersteuning van Gateway Reviews. De CIO Rijk stelt dat voor iedere faseovergang van een groot of risicovol ICT-project een kwaliteitstoets verplicht is, maar dat opdrachtgevers vrij zijn in de keuze voor de methode van de kwaliteitstoets. Geen van de departementale CIO’s schrijft opdrachtgevers voor om voor iedere fase van een project de daarvoor passende Gateway Review uit te voeren. Het merendeel van de CIO’s geeft aan dat het primair de verantwoordelijkheid van de opdrachtgever is om te bepalen of en wanneer een Gateway Review wordt uitgevoerd.

8.2.1 Toepassing in de praktijk

Aan de hand van de Jaarrapportage Bedrijfsvoering Rijk 2011 hebben we geïnventariseerd bij hoeveel grote en/of risicovolle ICT-projecten Gateway Reviews zijn uitgevoerd. Daaruit blijkt dat tot en met 2011 bij 18 ICT-projecten uit de rapportage in totaal 26 Gateway Reviews zijn uitgevoerd.

Tijdens onze interviews met programma- en projectmanagers van ICT-projecten hebben wij navraag gedaan naar de toepassing van Gateway Reviews. Uit onze gesprekken bleek dat bij ongeveer twee op de drie projecten één of meer Gateway Reviews zijn toegepast. Daarnaast bestond bij één project het voornemen om een Gateway Review uit te laten voeren. Bij de overige projecten is aangegeven dat er (nog) geen aanleiding is voor het uitvoeren van een Gateway Review of dat de voorkeur wordt gegeven aan de inzet van andere externe kwaliteitstoetsen.

We zijn bij ons onderzoek één project tegengekomen waarbij het de intentie is om voor alle faseovergangen van het project een daarbij passende Gateway Review uit te voeren (type 1 t/m 5). Deze structurele inzet van Gateway Reviews blijkt echter een uitzondering te zijn. In de door ons gevoerde gesprekken met projectleiders en CIO’s zijn verschillende (combinaties van) redenen genoemd om Gateway Reviews toe te passen.

• • De opdrachtgever heeft signalen opgevangen waaruit blijkt dat er problemen, onzekerheden, onduidelijkheden of weerstanden bestaan binnen het project.

• • Het project staat voor een zeer belangrijke en kritische faseovergang waarvoor de opdrachtgever zichzelf zekerheid wil verschaffen voordat naar de volgende fase wordt overgegaan. De overgang van realisatie naar implementatie en daarmee de overdracht aan de lijnorganisatie is daarbij als een zeer belangrijke faseovergang genoemd.

• • De Gateway Review wordt voor het betreffende project en de betreffende faseovergang als het meest geschikte instrument ervaren.

• • De minister wil de Tweede Kamer inzicht verschaffen in de stand van zaken van het project.

8.2.2 Ervaringen

Uit onze interviews met zowel de CIO’s als de projectleiders van grote en/of risicovolle projecten komt een overwegend positief beeld over Gateway Reviews naar voren. Dit beeld komt grotendeels overeen met de resultaten van de door Capgemini Consulting (2010) uitgevoerde evaluatie van maatregelen ter beheersing van grote ICT-projecten, waarin positieve aandacht was voor het instrument Gateway Review. De CIO’s noemen enkele specifieke kenmerken van het instrument als de belangrijkste verklaring voor hun positieve ervaringen:

• • De inzet van externe reviewers leidt tot frisse inzichten en daarnaast dwingen vreemde ogen.

• • De vertrouwelijkheid van het instrument bevordert een open en veilige uitwisseling van informatie en inzichten.

• • De korte doorlooptijd zorgt voor een snel concreet resultaat.

• • Het reviewteam bestaande uit gelijken (peers) brengt deskundigheid en gelijkwaardigheid met zich mee, waardoor situaties worden herkend, veel kennis en expertise kan worden ingebracht en de acceptatiegraad hoog is;

• • Het niet afrekenende karakter van Gateway Reviews zorgt voor een constructieve en hulpvaardige sfeer, waarin van elkaar geleerd kan worden.

Aanvullend is genoemd dat het toepassen van een Gateway Review er toe heeft geleid dat expliciet werd welke rol externe stakeholders, die buiten de invloedsfeer van het project lagen, spelen bij het realiseren van de projectdoelstellingen, zodat hier vervolgens actie op kon worden ondernomen. Daarnaast is een enkele keer aangegeven dat de Gateway Review functioneert als legitimatie naar de omgeving voor de te nemen maatregelen.

Volgens het hoofd van Bureau Gateway heeft het instrument ertoe geleid dat er meer aandacht is voor het bespreken van een realistische planning en voor de uitvoerbaarheid van projecten. Het gaat echter te ver om een rechtstreeks causaal verband te leggen tussen de toepassing van Gateway Reviews en het succes van projecten in termen van geld en tijd.

Naast de positieve kanten van het instrumenten zijn in de door ons gevoerde gesprekken met de CIO’s en projectleiders ook enkele beperkingen van het instrument genoemd:

• • De korte doorlooptijd en de inzet van externe reviewers maakt het lastig om zeer complexe projecten diepgaand door te lichten.

• • Doordat de review op een bepaald moment wordt uitgevoerd, bestaat het risico dat een onevenwichtig beeld ontstaat waarin recente gebeurtenissen onevenredig veel aandacht krijgen.

• • Aandacht voor technische aspecten ontbreekt veelal.

• • Het uitvoeren van de Gateway Review kost tijd en middelen die ten koste gaan van de tijd en middelen voor het project zelf.

• • De eerste indrukken en eigen ideeën of visies van reviewers kunnen bepalend zijn voor de uiteindelijke conclusies.

• • Het instrument wordt soms pas ingezet wanneer er reeds problemen gesignaleerd zijn en de rapportage biedt dan weinig nieuwe inzichten en heeft ook een beperkte preventieve werking.

In de evaluatie van Capgemini Consulting (2010) signaleert de RAD dat er een spanning kan ontstaan tussen de CIO en de Gateway Reviewers over de vraag wie er verantwoordelijk is voor de kwaliteit van het project. Het uitvoeren van een Gateway Review kan namelijk een extern legitimerend effect hebben waardoor de verantwoordelijkheden van de CIO en de reviewers diffuus kunnen worden. In de evaluatie is ook aangegeven dat enkele CIO’s de Wet Openbaarheid van Bestuur (WOB) als een bedreiging zien voor de vertrouwelijkheid en daarmee het succes van het instrument. In de door ons gevoerde gesprekken met CIO’s is deze bedreiging door één CIO expliciet benoemd.

8.2.3 Opvolging aanbevelingen uit Gateway Reviews

8.2.4 Voorzieningen om gezamenlijk te leren van Gateway Reviews

Uit onze gesprekken met CIO’s en projectleiders blijkt dat het rijksbrede leerproces met name wordt gestimuleerd doordat de Gateways Reviewers, die afkomstig zijn vanuit de gehele overheid, hun ervaringen en expertise meebrengen naar de onderzochte projecten en zij op hun beurt weer ervaringen opdoen tijdens de review. In geen van de door ons gevoerde gesprekken met projectleiders is aangegeven dat zij actief op zoek zijn geweest naar reeds bekende lessen uit eerdere reviews bij andere projecten. Ook bleek bij geen van de departementen, met uitzondering van het Ministerie van Financiën (Belastingdienst), dat er een analyse van geleerde lessen was gemaakt op basis van uitgevoerde Gateway Reviews.

De Belastingdienst heeft op basis van diverse uitgevoerde kwaliteitstoetsen, waaronder Gateway Reviews, tien generieke geleerde lessen geformuleerd. Deze lessen zijn bedoeld voor iedereen die is betrokken bij projecten, zowel het bestuur, algemeen management, opdrachtgevers, projectboardleden, projectmanagers en teamleden. Hiermee tracht de CIO van de Belastingdienst een cultuur te bevorderen waarin bestuur en (project)management met elkaar leren van ervaringen en zoeken naar de succesfactoren voor hun project.

Het document omvat kort samengevat de volgende tien lessen:

• 1. commitment van de top;

• 2. begin with the end in mind;

• 3. een realistische en duidelijke opdracht;

• 4. bestuurder aan het stuur;

• 5. expliciete en efficiënte besluitvorming;

• 6. betrek de uitvoering bij het project;

• 7. creëer een winnend projectteam;

• 8. investeer in samenwerking;

• 9. stimuleer transparantie en tegenspraak;

• 10. bouw onder architectuur.

Bureau Gateway ziet het als één van haar taken om ervaringen en geleerde lessen uit eerder uitgevoerde Gateway Reviews te verzamelen en te delen. Bureau Gateway heeft invulling aan deze rol gegeven door kennisdeling te stimuleren binnen de vaste groep gecertificeerde Gateway Reviewers (community) van Bureau Gateway. Regelmatig worden door Bureau Gateway specifieke activiteiten georganiseerd voor de community zoals ronde tafelbijeenkomsten, thema-sessies of een congres. Deze activiteiten stimuleren en faciliteren het leerproces binnen de community. Doordat de community bestaat uit mensen die werkzaam zijn binnen de gehele overheid wordt hiermee het leerproces binnen de gehele overheid gestimuleerd.

In 2012 heeft Bureau Gateway alle tot op heden uitgevoerde Gateway Reviews geanalyseerd. Uit deze analyse komen in hoofdlijnen de volgende vijf onderwerpen naar voren.

• • Governance

  Meer dan een derde van de aanbevelingen in de Gateway Reviews richten zich op de governance van de programma- en projectorganisatie, de staande organisatie en de onderlinge relaties. Een belangrijke les is onder andere dat er aandacht moet zijn voor de betrokkenheid van de opdrachtgever en het managen van stakeholders.

• • Zakelijke rechtvaardiging

  De financiële doelmatigheid is veelal de basis voor de zakelijke rechtvaardiging van een project, waardoor de niet-financiële resultaten in de bedrijfsvoering en/of taakuitvoering onvoldoende aandacht kunnen krijgen bij het begin van een project.

• • Scope

  Ten aanzien van de scope zijn verschillende generieke lessen te trekken. De scope moet duidelijk en scherp zijn geformuleerd om effectief op resultaat te kunnen sturen en het uitbreiden van de scope gedurende het project brengt risico’s met zich mee.

• • Samenhang en afstemming

  Om samenhang te realiseren tussen projecten/programma’s en aanpalende projecten, respectievelijk eventuele ketenpartners, blijkt bij een groot aantal projecten meer onderlinge afstemming nodig.

• • Fasering en planning

  De reviews tonen regelmatig aan dat er verbeteringen nodig zijn in de fasering en planning van projecten. Er wordt bijvoorbeeld gewezen op een te krappe planning of aanbevolen eerst de tussentijdse projectresultaten te borgen, voordat naar een volgende fase wordt overgegaan.

Bureau Gateway heeft de intentie om de komende jaren de generieke lessen uit Gateway Reviews actief te gaan delen binnen de Rijksoverheid. Bureau Gateway wil hiervoor een gedifferentieerde aanpak hanteren die aansluit bij de verschillende doelgroepen.

BIJLAGE 1 SAMENVATTING LESSEN UIT ICT-PROJECTEN, DEEL A EN B

In het verleden heeft de Algemene Rekenkamer, op verzoek van de Tweede Kamer, verschillende onderzoeken gedaan naar de achtergronden en oorzaken van problemen rond ICT-projecten. Zo hebben we op 29 november 2007 en 1 juli 2008 de delen A, respectievelijk B gepubliceerd van het onderzoek «Lessen uit ICT-projecten bij de overheid». Uit de conclusies en aanbevelingen van deze rapporten zijn lessen te leren voor de aanpak van ICT door het Rijk, die we als volgt kunnen resumeren.

Deel A

Wees realistisch in ambities en zorg voor grip op ICT-projecten:

• • Zie ICT niet als een «quick fix» voor een probleem.

• • Voorkom druk door politieke deadlines.

• • Wees een volwaardige gesprekspartner (voor leveranciers).

• • Breng fasering aan in de besluitvorming.

• • Beslis niet zonder onderbouwing.

• • Maak heroverweging mogelijk tijdens een project.

• • Zorg voor een exit-strategie.

Deel B

• • Zorg voor betrouwbare informatie over ICT-projecten:

  • – Definieer de kostensoorten (materiaal, extern personeel, intern personeel, hard- en software en dergelijke) voor de vastlegging van ramingen en realisaties van ICT-projecten.

  • – Definieer startmoment en eindpunt van het ICT-project en leg bij projecten de verwachte levensduur vast.

  • – Controleer interne en externe rapportages die (mede) op basis van gegevens uit projectadministraties worden samengesteld.

• • Bedenk dat er niet één oplossing is voor de besturing van de informatievoorziening en dat ICT-vraagstukken eigenlijk organisatievraagstukken zijn.

• • Een CIO moet op strategisch niveau een schakelfunctie vervullen tussen de organisatie en de informatievoorziening.

• • Bij de besluitvorming moet ermee rekening gehouden worden dat ICT-projecten moeten passen binnen de projectenportfolio van de organisatie.

• • Onderzoek of de Gateway-methode ook in Nederland bruikbaar is en zo ja, hoe een soortgelijk gezamenlijk leerproces hier kan worden georganiseerd.

• • Zet in op een rijksbrede taak om een uniforme indeling in kostensoorten vast te stellen en een rijksbrede taak of taak per sector voor het stellen van kaders zoals beveiligingsstandaarden, standaarden voor samenwerking tussen ICT-systemen, kaders voor projectbeheersing en voor kwaliteitsbewaking.

BIJLAGE 2 METHODOLOGISCHE VERANTWOORDING

In de inleiding (deel 1; § 1.1) zijn de doelstelling, de probleemstelling en onderzoeksvragen van dit onderzoek genoemd. Deze bijlage geeft een nadere toelichting op de onderzoeksmethode. Daartoe geven we eerst een beschrijving van de voornaamste begrippen en normen en gaan daarna in op de gevolgde onderzoeksaanpak.

Begrippen

CIO	Functionaris die op strategisch niveau de schakelfunctie vervult tussen de (leiding van een) organisatie en de informatievoorziening
Projectportfoliomanagement	In onderlinge samenhang beheren en prioriteren van een verzameling van projecten voor het behalen van specifieke strategische doelstellingen
ICT-haalbaarheidstoets	Product van ICT~Office om de kwaliteit van ICT-projecten bij overheidsorganisaties te verbeteren door in een vroegtijdig stadium de markt te laten reageren op ICT-plannen
IT-governancee	Gezamenlijke verantwoordelijkheid van het bestuur en management van de organisatie en de toezichthouder(s) voor de interne sturing en beheersing van, de externe verantwoording over en het toezicht op de ICT-voorziening1
Afwegingskader sourcing	Methode om te bepalen of werkzaamheden zelf of in samenwerking met anderen worden uitgevoerd of geheel worden uitbesteed
Business case	Onderbouwing (zakelijke rechtvaardiging) van nut en noodzaak van een ICT-project, ondersteund door een kosten-batenanalyse waarin niet alleen financiële, maar ook kwalitatieve voor- en nadelen worden meegewogen
ICT-dashboard	Website met informatie over de ontwikkeling van de kosten en doorlooptijd van projecten uit de jaarlijkse rapportage over grote en projecten met een hoog risico
Gateway Review	Oorspronkelijk door het Britse Office of Government Commerce (OGC) ontwikkelde methode om programma’s en projecten op cruciale beslissingsmomenten van de levenscyclus door te lichten

Waar relevant zullen we ook aansluiten op het begrippenkader dat in eerdere onderzoeken van de Algemene Rekenkamer naar IT-governance en ICT-projecten is gebruikt.

Normen

Voor dit onderzoek hanteren we onder andere IT-governance normen uit het rapport Grip op informatievoorziening: IT-governance bij ministeries.42 Ook zullen de ambities die het Rijk in de I-strategie heeft genoemd als toetsingsnorm worden gebruikt. Gelet op het «lessons learned» karakter van het onderzoek, leggen we als norm aan dat er is geleerd van de lessen uit eerdere onderzoeken. Overigens hebben we de onderzoeksvragen normatief geformuleerd, in de zin dat een bevestigend antwoord wordt verwacht.

Onderzoeksaanpak

Om de onderzoeksvragen te beantwoorden, hebben we in de eerste plaats de toepassing van de sturings- en verantwoordingsinstrumenten bestudeerd aan de hand van beschikbare documentatie. Daarbij hebben we ook rapporten van ander onderzoek betrokken, waaronder enkele rapporten van buitenlandse zusterinstellingen.

Naast bestudering van documentatie, hebben we interviews gehouden met:

• • Directie Informatiseringsbeleid Rijk (DIR) – CIO Rijk;

• • 11 departementale CIO’s/CIO-offices;

• • 16 projectmanagers van grote of hoog risico projecten;

• • hoofd Bureau Gateway;

• • IT auditors Auditdienst Rijk (ADR).

Na verificatie van de bevindingen, hebben we het conceptrapport van ons onderzoek voor bestuurlijk wederhoor voorgelegd aan de minister voor Wonen en Rijksdienst. Zijn reactie en ons nawoord daarop zijn in dit rapport verwerkt (zie deel 1, hoofdstuk 3).

GEBRUIKTE AFKORTINGEN

ADR	Auditdienst Rijk
AZ	Algemene Zaken
BIR	Baseline Informatiebeveiliging Rijksdienst
BZ	Buitenlandse Zaken
BZK	Binnenlandse Zaken en Koninkrijksrelaties
CIO	Chief Information Officer
CRD	Compacte Rijksdienst
DIR	Directie Informatiseringsbeleid Rijk
DGOBR	Directoraat-generaal Organisatie Bedrijfsvoering Rijk
DMS	Document management systeem
DWR	Digitale Werkomgeving Rijk
EBF	Elektronisch Bestellen en Factureren
EZ	Economische Zaken
FM	Facilitair Management
GBA	Gemeentelijke Basisadministratie
ICBR	Interdepartementale Commissie Bedrijfsvoering Rijk
ICCIO	Interdepartementale Commissie Chief Information Officers
ICT	Informatie- en communicatietechnologie
IenM	Infrastructuur en Milieu
IT	Informatietechnologie
IV	Informatievoorziening
KING	Kwaliteitsinstituut Nederlandse Gemeenten
NAO	National Audit Office
OCW	Onderwijs, Cultuur en Wetenschap
OGC	Office of Government Commerce
OT	Overheidstelecommunicatie
Pardex	Passenger Data Exchange
PID	Project Initiatie Document
RAD	Rijksauditdienst
RMS	Record management system
SSC	Shared Service Centre
SSO	Shared Service Organisatie
SZW	Sociale Zaken en Werkgelegenheid
VenJ	Veiligheid en Justitie
VNG	Vereniging van Nederlandse Gemeenten
VWS	Volksgezondheid, Welzijn en Sport
WenR	Wonen en Rijksdienst

LITERATUUR

Algemene Rekenkamer (2006). Grip op informatievoorziening: IT-governance bij ministeries. Tweede Kamer, vergaderjaar 2005–2006, 30 505, nrs. 1–2. Den Haag: Sdu.

Algemene Rekenkamer (2007). Lessen uit ICT-projecten bij de overheid – deel A. Tweede Kamer, vergaderjaar 2007–2008, 26 643, nr. 100. Den Haag: Algemene Rekenkamer.

Algemene Rekenkamer (2008). Lessen uit ICT-projecten bij de overheid – deel B. Tweede Kamer, vergaderjaar 2007–2008, 26 643, nr. 130. Den Haag: Algemene Rekenkamer.

Algemene Rekenkamer (2011). Open standaarden en opensourcesoftware bij de rijksoverheid. Tweede Kamer, vergaderjaar 2010–2011, 32 679, nrs. 1–2. Den Haag: Sdu.

Algemene Rekenkamer (2012). Rijksbreed bedrijfsvoeringsonderzoek in het kader van het verantwoordingsonderzoek 2011 – Achtergronddocument Informatiebeveiliging en vertrouwensfuncties. Den Haag: Algemene Rekenkamer.

Audit Scotland (2012). Managing ICT contracts. Edinburgh: Audit Scotland.

Binnenlandse Zaken en Koninkrijksrelaties (2008). Brief van de minister van BZK van 26 juni 2008 over Informatie- en communicatietechnologie (ICT). Tweede Kamer, vergaderjaar 2007–2008, 26 643, nr. 128. Den Haag: Sdu.

Binnenlandse Zaken en Koninkrijksrelaties (2008a). Brief van de minister van BZK van 12 december 2008 over Informatie- en communicatietechnologie (ICT). Tweede Kamer, vergaderjaar 2008–2009, 26 643, nr. 135. Den Haag: Sdu.

Binnenlandse Zaken en Koninkrijksrelaties (2010). Brief van de minister van BZK van 29 januari 2010 over Informatie- en communicatietechnologie (ICT). Tweede Kamer, vergaderjaar 2009–2010, 26 643, nr. 148. Den Haag: Sdu.

Binnenlandse Zaken en Koninkrijksrelaties (2011a). Brief van de minister van BZK van 3 februari 2011 over Informatie- en communicatietechnologie (ICT). Tweede Kamer, vergaderjaar 2010–2011, 26 643, nr. 172. Den Haag: Sdu.

Binnenlandse Zaken en Koninkrijksrelaties/DGOBR (2011b). Handboek Portfoliomanagement Rijk versie 2.0. Den Haag: BZK.

National Audit Office (2011). Initiating successful projects. London: NAO.

National Audit Office (2011a). Governance for Agile Delivery. London: NAO.

Tweede Kamer (2011). Motie van het lid Van der Burg c.s. Tweede Kamer, vergaderjaar 2011–2012, 33 000 VII, nr. 15. Den Haag: Sdu.

Tweede Kamer (2012). Parlementair onderzoek ICT-projecten bij de overheid. Tweede Kamer, vergaderjaar 2011–2012, 33 326, nr. 1. Den Haag: Sdu.

Tweede Kamer (2012a). Verslag van een algemeen overleg over de vernieuwing van de rijksdienst. Tweede Kamer, vergaderjaar 2011–2012, 31 490, nr. 98.

Victorian Ombudsman (2011). Own motion investigation into ICT-enabled projects. Melbourne: Victorian government.