IT Governance is een afgeleide van Corporate Governance en dient te verzekeren dat IT de juiste dingen doet, passend bij de organisatiedoelen. Een doorkijk richting toekomst laat zien dat het IT Governance vraagstuk zich steeds meer ontwikkeld tot maatschappelijk vraagstuk.
Definities
De term IT Governance is geïntroduceerd in 1993. Een paar actuele definities van IT Governance zijn:
- “A process used to monitor and control key information technology capability decisions – in an attempt – to ensure the delivery of value to key stakeholders in an organization”;[i]
- “A formal framework that provides a structure for organizations to ensure that IT investments support business objectives”;[ii]
- “Defined as the processes that ensure the effective and efficient use of IT in enabling an organization to achieve its goals”;[iii]
- “As a subset discipline of corporate governance, focused on information and technology (IT) and its performance and risk management”[iv]
Proces of raamwerk?
De definities zijn weinig concreet en laten de nodige ruimte voor interpretatie en invulling. Sommige definities noemen IT Governance een proces, andere definities refereren aan een raamwerk. Wat de definities wel gemeen hebben zijn de raakvlakken met de algemene besturing van een organisatie, de relatie tussen IT-doelen en bedrijfsdoelen en besluitvorming betreffende IT.
Vanuit mijn functie van informatiemanager/IT manager uit de periode 1991 – 2001 herken ik dat het gebruik van Pc’s en laptops, het inrichten van enterprise resource planning (ERP) en business intelligence vroegen om een IT-beleid (IT Governance) dat paste bij het bedrijfsbeleid. Het bedrijfsbeleid was gecertificeerd volgens de ISO9001 standaard en vanuit deze standaard werden steeds meer vragen gesteld over IT. De introductie van ITIL om beheer en onderhoud van IT te structureren was te zien als een onderdeel van IT Governance. Evenals het inrichten van beveiliging conform de code voor informatiebeveiliging, nu beter bekend als de ISO-norm 27001.
Normatief kader
IT Governance was dus in de beginjaren vooral een middel om structuur te geven aan de inrichting en het gebruik van IT en de afstemming ervan op de bedrijfsdoelen. Dit laatste noemt men Corporate Governance. Corporate Governance en IT Governance werden gaandeweg steeds meer ingezet als een soort normatief kader voor goed of degelijk bestuur. De introductie van bijvoorbeeld SOx-wetgeving in 2002, bedoeld om deugdelijk bestuur ‘af te dwingen’, heeft dit flink bevorderd.
Internationale bedrijven (met vestigingen in de Verenigde Staten) moesten SOx-compliant zijn. Dit gold ook voor de IT-systemen die aan allerlei SOx-normen dienden te voldoen. IT Governance en compliancy werden onlosmakelijk met elkaar verbonden. Raamwerken zoals CobiT om IT Governance in te richten werden steeds populairder. Evenals maturity modellen zoals Capability Maturity Model (voor softwareontwikkeling) en het INK managementmodel . Met deze modellen werd de (IT-)volwassenheid van een organisatie gemeten. Het volwassenheidsniveau was te zien als een graadmeter van goed bestuur.
IT Governance blikt naar buiten
Met de introductie van internet, email en social media werd de blik van IT Governance meer naar buiten gericht. Gebruikers werden geconfronteerd met richtlijnen voor fatsoenlijk gebruik van IT. Verkeerd gebruik kan immers het imago van een organisatie beschadigen. Met het toenemende aanbod van internettoepassingen werd het vraagstuk van IT governance steeds ingewikkelder. Er ontstond een nieuw aandachtsgebied van IT Governance namelijk Internet Governance. Hierbinnen was/is er meer aandacht voor internetgebruik van mensen met een handicap. Inmiddels is er een versie 2.1 beschikbaar.
Nepnieuws
IT is een middel geworden waarmee veel geld is te verdienen. Anno 2019 zijn bedrijven die veel persoonlijke data van mensen verzamelen via het internet zoals Google, Microsoft, Apple en Facebook, in geld uitgedrukt, de meest waardevolle bedrijven ter wereld. Verspreiden van nepnieuws gebeurt regelmatig en cybersecurity is een dominant thema.
Daarnaast zijn ook de verschillende privacy schendingen regelmatig in het nieuws en is de machtspositie en het machtsmisbruik van de grote databedrijven steeds vaker een reden voor hoge boetes. Inzet en gebruik van IT door organisaties gebeurt lang niet altijd in de geest van waar Corporate Governance en IT Governance voor staan. In mei 2018 is speciale privacy wetgeving (GDPR/AVG) binnen de Europese Unie geïntroduceerd om privacy van burgers te beschermen. Waar Corporate Governance en IT Governance tekort schieten is wetgeving noodzakelijk om dit te compenseren.
Ethische kwesties
Wat is de toekomst van IT Governance? IT is inmiddels doorgedrongen tot in de haarvaten van onze samenleving. En er zijn veel soorten van Governance die in meer of mindere mate raakvlakken hebben met IT. Strikt genomen dient er afstemming te zijn tussen IT Governance en deze andere vormen van Governance. Zo is voor toepassingen met kunstmatige intelligentie inmiddels een nieuwe vorm van Governance beschreven: AI Governance.
Binnen dit gelaagde model is plaats gemaakt voor ethische kwesties zoals het beschermen van grondrechten van mensen. IT Governance is als onderwerp in de jaren 1990 – 2000 relatief klein en intern een organisatie begonnen gericht op goed gebruik van IT en inmiddels uitgegroeid tot een veelomvattend maatschappelijk vraagstuk.
Leon Dohmen is voorzitter van de interessegroep Onderzoek en
Onderwijs bij de Koninklijke Nederlandse Vereniging van
Informatieprofessionals
[i] https://cio-wiki.org/wiki/IT_Governance
[ii] https://www.cio.com/article/2438931/governance/governanceit-governance-definition-and-solutions.html
[iii] https://www.gartner.com/it-glossary/it-governance/
[iv] https://en.wikipedia.org/wiki/Corporate_governance_of_information_technology
