Risicobeheersing van kritieke IT systemen vanuit de bestuurskamer

Update van de Nederlandse Corporate Governance Code

Op 20 december 2022 is de geactualiseerde versie van de Nederlandse Corporate Governance Code, beter bekend als de Code Tabaksblat, in werking getreden. Deze code is een richtsnoer voor het effectief besturen en beheersen van beursgenoteerde bedrijven. In de geactualiseerde versie worden nu expliciet risico’s in de informatie- en communicatietechnologie die verbonden zijn aan de strategie en de activiteiten van de vennootschap en de daaraan verbonden onderneming(en) genoemd als concrete zaken waarover het bestuur van een beursgenoteerd bedrijf moet rapporteren. Tot nu toe werd dit vaak aan het operationele of tactische niveau overgelaten dat direct met de ICT bezig is. Hieronder een aantal tips van IDC Metri om dit naar het strategische niveau van de bestuurskamer te trekken.

De Corporate Governance Code noemt concreet risico’s op het gebied van cybersecurity, leveranciers- en ketenafhankelijkheden, data protectie en risico’s verbonden aan nieuwe technologieën en veranderende businessmodellen, zoals op het gebied van ethisch verantwoorde toepassing van nieuwe technologieën (bijvoorbeeld Responsible AI).

Cybersecurity en dataprotectie zijn onderwerpen die vooral aandacht verdienen in de software die specifiek voor de vennootschap is ontwikkeld. Voor de standaard software die de vennootschap afneemt van commerciële partijen staan die partijen als eerste aan de lat om te zorgen dat de software en data veilig zijn. Voor de specifiek voor de vennootschap ontwikkelde software bent u zelf verantwoordelijk. IDC Metri kan u inzicht verschaffen in de risico’s die u loopt op het gebied van cybersecurity en dataprotectie. Zo weet u waar de vennootschap staat en kunt u gericht maatregelen nemen om uw veiligheidspositie te verbeteren.

Bij IDC Metri zien we dat steeds meer van onze klanten er voor kiezen om hun software naar de cloud te brengen, omdat het steeds complexer wordt om de eigen infrastructuur veilig te houden en te voorkomen dat data wordt gestolen of gegijzeld. Maar in hoeverre is uw software klaar voor de cloud? Ook daarin kunnen we u inzicht geven en u voorzien van een roadmap met kosteninschatting om uw software naar de cloud te brengen. Zo kunt u zich focussen op de zaken waarin de vennootschap zich kan onderscheiden en hoeft u geen investeringen te doen in het veilig houden van de ondersteunende infrastructuur.

Nu het tempo van verandering steeds hoger wordt is het van groot belang dat uw vennootschap wendbaar blijft. IDC Metri spreekt regelmatig bestuurders die ervaren dat met name de aanpasbaarheid en overdraagbaarheid van hun software hen beperkt in de wendbaarheid om zaken te doen. Bij IDC Metri hebben we bijna twintig jaar ervaring in het in beeld brengen van aspecten die de wendbaarheid van uw software kunnen belemmeren. Daarbij gaan we verder dan alleen het toekennen van sterren of een rapportcijfer, maar kunnen we u met behulp van onze technology partners ook een concrete roadmap bieden om de wendbaarheid te verbeteren.

Hoewel niet als risico benoemd in de Corporate Governance Code zien we dat voor verreweg de meeste bestuurders die wij spreken duurzaamheid een belangrijke rol speelt. Het is nog niet heel gebruikelijk om ook software over de as van duurzaamheid te beoordelen, maar als uw vennootschap daar klaar voor is kunnen we u helpen om in beeld te brengen hoe efficiënt uw software omgaat met cloud resources in de vorm van een Green IT index. Dat is niet alleen duurzaam, maar ook goed voor uw ICT budget.

De oplossingen die IDC Metri kan bieden worden toegesneden op de vraag en de mate van risico die uw vennootschap loopt. De Corporate Governance Code geeft ruimte om de risicobeheersing toe te snijden op de omvang en het risico van de vennootschap en we helpen u graag daarin een optimale keuze te maken.

Wil je meer weten?

Waarom is het verbeteren van de security en code kwaliteit zo belangrijk voor overheidsorganisaties?

Het belang van ISO 5055 als uitbreiding op ISO 25010 voor het geautomatiseerd meten van software code voor overheidsorganisaties.

De digitale weerbaarheid van de overheid moet sterker. Maar hoe krijgt u dat voor elkaar? Veel overheidsorganisaties geven op dit moment aandacht aan het beter inrichten van Lifecycle Management (LCM). Inzicht in de technische staat van applicaties is een goed startpunt om de kwaliteit en de security te verbeteren en plannen te maken voor de toekomst. Het inventariseren van de omvang en de technische staat van de applicaties in het portfolio is een belangrijke stap, want deze factoren bepalen voor een groot deel de onderhoudskosten. Om goede toekomstplannen te kunnen maken is deze informatie van groot belang.  

Hoe maakt de overheid de technische staat van een applicatie inzichtelijk?

Binnen de overheid wordt er vaak gesproken over de International Standardization Organization (ISO) 25010 standaard als het gaat om het inzichtelijk maken van de technische staat van een applicatie. Deze ISO standaard heeft in 2011 de oude standaard 9126 vervangen en kijkt naar 2 aspecten: de productkwaliteit en de geschiktheid voor gebruik. Onder ISO 25010 worden kenmerken als functionele geschiktheid, prestatie-efficiëntie, uitwisselbaarheid, bruikbaarheid, betrouwbaarheid beveiligbaarheid, onderhoudbaarheid en overdraagbaarheid beschreven. Er zijn verschillende technologieën beschikbaar op de markt die deze kenmerken geautomatiseerd kunnen meten en die kunnen beoordelen in welke mate een applicatie voldoet aan deze kenmerken. Deze technologieën meten de applicatie source code geautomatiseerd door en produceren dan een of meerdere dashboards waarop scores op de ISO 25010 kenmerken getoond worden. Dat klinkt prima, maar het is geen garantie voor succes.  

Hoe zit het met de ontwikkeling en het onderhoud van moderne applicaties?

Een nadeel van veel technologieën is dat de analyse op code niveau wordt uitgevoerd. Bestand na bestand wordt gekeken naar zaken als complexiteit en security. Moderne applicaties bestaan echter uit vele verschillende componenten, lagen, files, frameworks, etc. Als we naar applicaties kijken vanuit een architectuur oogpunt, dan ziet dat eruit als het voorbeeld in de volgende figuur.  

Architectuur overzicht app

Figuur 1: voorbeeld architectuur overzicht van een applicatie

Zoals u waarschijnlijk al doorhad, is de complexiteit groot, mede door de vele aanroepen tussen de verschillende onderdelen. Uit onderzoek blijkt dat veel (tot wel 60%) van de productieincidenten van applicaties worden veroorzaakt door foutieve aanroepen tussen componenten. Deze incidenten zijn moeilijk te reproduceren en op te lossen en leveren mede daarom de meeste downtime op. Het is daarom belangrijk om de kwaliteit van applicaties te meten op codeniveau en op systeemniveau. Een voorbeeld van goede code, maar een matig systeem, staat in de volgende figuur.

goede code slecht systeem

Figuur 2: voorbeeld van goede code, maar een slecht systeem

De man in de figuur wil de pinautomaat gebruiken. Hoewel op codeniveau alles in orde lijkt, is het toch niet mogelijk de pinautomaat te gebruiken, omdat er bijvoorbeeld een incident is opgetreden in een van de slechte aanroepen in het systeem.

Om dit probleem te tackelen is er in 2021 een uitbreiding gekomen op de ISO 25010 standaard. Dit is de ISO/IEC 5055 standaard voor het geautomatiseerd meten van software code kwaliteit. Deze standaard schrijft voor dat er heel specifiek moet worden gekeken naar overtredingen van goede codeerstandaarden en architectuur standaarden. Er zijn duizenden regels vastgelegd in vele verschillende standaarden en best practices, zoals bijvoorbeeld van OWASP, CWE, NIST, CISQ en OMG. Deze regels zijn dingen die je moet doen, of juist niet moet doen bij het ontwikkelen en onderhouden van de applicatie. Een voorbeeld van een van de duizenden regels: „Avoid SQL injection through API requests“. Dit is een van de belangrijke regels op security gebied en een overtreding van deze en vergelijkbare regels levert een groot risico op voor de applicatie, en mogelijk voor de hele organisatie. Uiteindelijk zijn er altijd mensen betrokken bij applicatie ontwikkeling en onderhoud en dus kunnen er altijd issues zijn, ook als de mensen heel goed zijn.

Human error

Figuur 3: software development is mensenwerk, en niemand kent alle duizenden regels uit z’n hoofd, ook Dave niet! (Bron: https://www.jklossner.com/)

Wat is het voordeel van het geautomatiseerd meten van software code kwaliteit?

Het voordeel van de ISO 5055 manier van het onderzoeken van software kwaliteit is dat het ook mogelijk wordt om heel specifiek in de code aan te tonen waar een regel is overtreden, waarom dat een mogelijk kritiek issue is en hoe dit eventueel opgelost kan worden. Dit zorgt ervoor dat het maken van aanpassingen een stuk gemakkelijker wordt. De ISO 5055 standaard maakt het dus mogelijk om de software kwaliteit vast te stellen op codeniveau en op systeemniveau. Door vervolgens de gevonden issues gericht te verbeteren, worden de risico’s in de applicatie snel verminderd en wordt de technische kwaliteit snel verbeterd. Dit kan er in het kader van Lifecycle management weer toe leiden dat toekomstplannen worden aangepast omdat de technische staat van de applicaties wordt verbeterd en de onderhoudskosten omlaag gaan.

Hoe doen we dit bij IDC Metri?

Bij IDC Metri voeren we regelmatig codekwaliteit onderzoeken uit waarbij we CAST technologie inzetten die de code op zowel ISO 25010 als ISO 5055 meten. Het ontwikkelteam krijgt heel specifiek inzicht in de gevonden issues en we geven onze klanten een concreet verbeterplan waarbij het doel is met zo weinig mogelijk inspanning zoveel mogelijk kwaliteitswinst te halen.

Het management kan vervolgens de voortgang monitoren op het management dashboard, waar de trends staan in de scores per applicatie, zodat er een duidelijk beeld is wat de technische staat is van de applicaties en de trends hierin, o.a. als basis om keuzes te kunnen maken in het kader van Lifecycle management. Dit ziet u terug in onderstaande figuur. Het voordeel van de CAST technologie is dat we ook geautomatiseerd de omvang meten in Automatische functiepunten (AFP). Dit stelt ons in staat om ook financiële benchmarks en adviezen te geven op basis van de meer dan 15000 data punten van applicaties en projecten in onze database.

source code
rule documentation

Figuur 4: voorbeeld van het developer dashboard: waar zit de fout, waarom is het een fout en hoe kan deze worden opgelost

 

Meer weten? Kom dan naar onze webinar voor overheidsinstellingen

 

Op donderdag 26 januari om 16.00 uur organiseren we een webinar waar we ingaan op hoe we dit doen en waarbij we Frans Struijk, directeur IV Facilitair Bedrijf bij het UWV, hebben gevraagd om te laten zien hoe wij het UWV geholpen hebben in een specifieke case, waarbij ook een bekende system integrator betrokken was. Inschrijven kan hieronder.

Aanmelden voor Webinar Security binnen overheden 26 januari

Webinar: Hoe vermijd je security issues in applicaties? (voor de overheid)

Datum: 26 januari 2023

Tijd: 16.00-16.45

Locatie: online via Zoom

Hoe heeft IDC Metri samen met partner CAST zicht kunnen bieden aan management op de risico’ t.a.v. de standaarden ISO 25010, ISO 5055 en andere? We laten het u zien aan de hand van een case bij de centrale overheid.

Sommige leveranciers hebben in de afgelopen jaren een dusdanig grote footprint in de Nederlandse overheid opgebouwd, dat ze inmiddels een begrip geworden zijn. Zo ook op het gebied van software risico en kwaliteit assessments. Toch is het goed om af en toe opnieuw te inventariseren wat de verschillende oplossingen op de markt zijn en de waarde die zij leveren. IDC Metri, tesamen met haar partner CAST – wereldwijd marktleider op dit gebied – bieden een state of the art dienst aan op dit gebied waarbij management zicht krijgt op de risico’ t.a.v. de standaarden ISO 25010, ISO 5055 en andere. Daarbij helpen we de teams met een dashboard waarop de gevonden kritieke fouten staan, de reden dat deze kritiek zijn, en hoe deze opgelost kunnen worden. Hands-on verbetering en directe kwaliteitsverbetering en risico verlaging voor de applicatie. Tijdens dit webinar willen we u graag laten zien op welke wijze we dit doen, en ook een succes case vanuit de centrale overheid presenteren.

Nu IDC Metri samen met PWC en Accenture de SIMA-mantel gegund heeft gekregen, opent dat de mogelijkheid om ons mee te nemen in uw selectietrajecten.

Aanmelden voor Webinar Security binnen overheden 26 januari

De impact van Corona binnen IT-organisaties

Metri Inhuurtarieven impact

De Coronacrisis, een pandemie, iedereen heeft het erover en ondergaat de gevolgen en de impact die het met zich meebrengt. Het effect van Corona is ook binnen de IT-sector merkbaar. Mensen worden gevraagd zoveel mogelijk thuis te werken en binnen te blijven. Dit vraagt niet alleen veel van de mensen zelf, maar ook van de IT die zij gebruiken om dagelijks met elkaar te communiceren, te werken en te ontspannen. Met de start van het veelvoudig thuiswerken, piepten veel IT-systemen en IT-infrastructuur door het extra gebruik van alle thuiswerkers. Systemen gingen regelmatig uit de lucht en IT-infrastructuren moesten worden opgeschaald. Organisaties staan onder druk om een stabiele omgeving te bieden. Wat is daarvoor nodig en wat is de verandering binnen de organisatie?

Het belang van een stabiele IT-omgeving

Door de onzekere periode is het vertrouwen in IT hoog en van groot belang voor de continuering van de business processen. Dit zet (piek)druk(te) op de IT-omgeving van een organisatie. De IT van een organisatie is grofweg in 2 stromen in te delen. Run-IT en Change-IT. De Run-IT omvat alle beheer- en operationele werkzaamheden van de IT-systemen, infrastructuur en security. Change-IT omhelst alle verandering en nieuwe functionaliteit/(verbeter) initiatieven op de IT-omgeving. Om de stabiliteit van de IT-omgeving te beheersen, krijgt de Run-IT/beheer prioriteit boven de Change-IT/nieuwe initiatieven.

Binnen de Run-IT moet de capaciteit en beschikbaarheid van het netwerk/de infrastructuur bijgehouden en opgeschaald worden. Ook de beveiliging van de IT-omgeving is misschien wel belangrijker dan ooit. Want hoe ga je om met gevoelige data op thuiswerkplekken en hoe beveilig je de IT-omgeving? Het snel op moeten schalen zet druk op IT-omgevingen. Het MOET snel en het MOET nu. Hierbij komen essentiële zaken als veiligheid, ontwerp en uitvoering mogelijk in het gedrang. Zo ook bij het ontwikkelen van de Corona-App. De ontwerpers van de app hadden de opdracht gekregen een app te maken, waarmee de contacten van potentiële besmette personen in kaart worden gebracht en daarmee het risico op n besmetting. Wat bleek? Door snel te moeten ontwikkelen, werden ontwerpfouten gemaakt en was er bij een enkele app een data lek.

Door de vraag naar stabiliteit en continuïteit, krijgt de Change-IT minder aandacht. Waar organisaties meer op Run-IT moeten focussen, is Change-IT in veel gevallen gewoon “business as usual”, maar wordt er ook gemakkelijker met deadlines geschoven. Op deze wijze proberen organisaties te voorkomen dat een stabiele omgeving overhoop raakt, met alle gevolgen van dien. Deze tijd biedt voor organisaties met een stabiele IT-omgeving juist ruimte voor innovatie.

Het belang van het hebben van een goede IT-architectuur of het hebben van een (meedenkende) IT-partner is niet alleen essentieel voor het hebben van een stabiele IT-omgeving, maar helpt ook bij het veilig opschalen van je IT-organisatie. Het helpt organisaties de onzekere tijden door, draagt bij aan de o zo nodige stabiele omgeving en creëert rust.

Continuïteit en de flexibele schil

Waar in veel sectoren wordt bezuinigd op de inhuur van externen, is dit binnen de IT over het algemeen minder van toepassing. Dit komt doordat de continuering van de business nu sterk afhankelijk is van IT en er binnen IT dus eerder meer werk is bijgekomen, dan dat er kan worden afgeschaald. Er is sprake van een piekvraag. Rollen gericht op het in standhouden van de omgeving (Run-IT) zijn in deze tijd erg in trek. Denk aan technisch specialisten, beheer rollen of incident management. De vraag naar deze rollen is dan ook in veel sectoren gewoon hetzelfde gebleven of zelfs (tijdelijk) gestegen. Ondanks de focus op de Run-IT van een organisatie, heeft dit nu geen effect op de uurtarieven van bovengenoemde en soortgelijke rollen. Als deze situatie langer aanhoudt, is een tariefswijziging te verwachten.

Waar in de Run-IT een piekvraag is ontstaan, geldt dit niet voor de activiteiten gericht op Change-IT van een organisatie. Organisaties zetten de investeringen in IT tijdelijk stil. Dit heeft effect op de rollen gericht op de Change-IT. Denk hierbij aan projectmanagement, change management en adviseurs. Veelal worden lopende trajecten wel voortgezet, maar worden er minder nieuwe projecten geïnitieerd. Om deze reden stagneert de vraag naar deze rollen. Gezien het effect van Corona op de IT-organisatie, veelal, nog niet zichtbaar is, heeft dit nu geen effect op de uurtarieven van bovengenoemde en soortgelijke rollen. Als deze situatie langer aanhoudt, is een tariefswijziging te verwachten.

Het belang van IT tijdens de crisis is evident. De verwachting is dan ook dat IT-budgetten ook de komende tijd niet zomaar gekort worden. De opgaande tariefbeweging van de hoogconjunctuur zal dus niet zomaar omslaan in een dalende voor de IT.

Samengevat zal de impact van de Coronacrisis maar in beperkte mate invloed hebben op de flexibele schil binnen de IT-markt. Zo zal tijdelijk de vraag naar rollen binnen de Run-IT groeien en de daaraan gerelateerde werkzaamheden toenemen. De vraag naar rollen omtrent de Change-IT functie zal tijdelijk stagneren en mogelijk wat afvlakken. Dit alles om een stabiele IT-omgeving te creëren en de gebruikers ongelimiteerd IT te bieden. Zo lopen de bedrijfsprocessen door en kan er gefocust worden op wat echt belangrijk is in deze tijden: gezondheid.

Wat kan Metri voor uw organisatie betekenen?

Metri kan uw bedrijf ondersteunen in het professionaliseren van de IT binnen uw organisatie. Dit kan middels het aan- of uitbesteden van uw IT. Metri helpt bij het ontwikkelen van de strategie tot aan het contracteren van een geselecteerde leverancier. Ook kan Metri helpen uw verschillende applicaties te verbeteren middels advies en de productiviteit en kwaliteit van ontwikkelteams te meten. Tot slot kan Metri helpen met de tariefstelling van de externe inhuur, middels het uitvoeren van een benchmark op de inhuurtarieven.

We horen graag waar we u mee kunnen helpen. 

Besparen op IT kosten: 10 tips van Metri

Wie wil er nu overbodige kosten? Niemand. Toch worden ze bij vele bedrijven gemaakt. Terwijl besparen makkelijker is dan u denkt, als je het in één keer goed aanpakt met de juiste partijen aan tafel. En dan gaat het soms maar om een uur werk per dag en voor je het weet heb je een maandelijks overschot van soms duizenden euro’s gerealiseerd. Dat is snel verdiend. Metri helpt je graag op weg naar een gezonder uitgavepatroon en een enorme besparing op de IT-kosten, zodat er ook nog eens gespaard kan worden of nieuwe investeringen gedaan kunnen worden. Kortom: aan de slag!

Naar de tips

Superduperhyperhybrid cloud governance. Maar dan simpel.

Als u door de wolken de hemel niet meer ziet, troost u dan: u bevindt zich in goed gezelschap. Met de komst van cloud computing vliegen nieuwe en veelbelovende termen zoals hybrid cloud, cloud orchestration, cloud brokerage en multicloud ons om de oren. Wat betreft cloudbuzz words mag het wél wat minder.

Overigens is cloud governance net zo’n buzz woord. Want is het echt zoveel anders dan IT governance dat een aparte term noodzakelijk is? En wat moet je nu als IT-organisatie nog in huis hebben om cloud-diensten optimaal te gebruiken? Op deze plek maken we dat duidelijk.

We gaan daarbij uit van onderstaand schema waarmee we willen benadrukken dat de business altijd bovenaan staat, data steeds belangrijker wordt voor de business, de IT-architectuur zich ontwikkelt van lagen naar ‘stacks’, en de sourcing van deze stacks steeds meer, en nog heel lang, een mix zal zijn van on-premise, outsourced en cloud.

Business first

Business en IT zijn steeds meer verweven en vaak is IT onmisbaar voor de business, waardoor enthousiaste IT’ers soms uit het oog verliezen dat de business op de eerste plaats komt. De business zelf is van oudsher afgestemd op (combinaties van) klanten/markten, producten/diensten en/of marktontwikkelingen die op hun beurt op gang zijn gekomen dankzij (informatie-)technologie.

Het schema geeft één ‘end-to-end bedrijfsproces’ (een begrip uit het vorige millennium) weer, bijvoorbeeld order-to-cash, purchase-to-pay of record-to-report. Zo’n E2E-proces is onder te verdelen in sub-processen (order-to-cash bijvoorbeeld in verkoop, productie, levering, facturatie en dunning) die steeds vaker (deels) uitgevoerd worden door business partners of door slimme, krachtige algoritmes die as-a-service worden afgenomen en waarmee in real time data wordt uitgewisseld om veeleisende consumenten te bedienen en hippe Ubers-van-vul-hier-uw-branche-in voor te zijn.

Data second

Het belang van data, data-analyse en het ontstaan van nieuwe verdienmodellen op basis van data is niet te missen. In het vorige millennium kon het nog voorkomen dat ERP-implementatieprojecten vergaten rapportages op leveren. Vandaag de dag zijn data en algoritmes niet weg te denken uit het bedrijfsproces.

Sterker nog, in het reguliere bedrijfsproces blijkt vaak data ‘gratis’ beschikbaar die van belang zijn voor het voorspellen van de business of het opstarten van bedrijfsprocessen van business partners. Bijvoorbeeld de slimme bolders in de haven die dankzij sensoren zelf detecteren dat een schip de trossen lost en vertrekt, een belangrijk signaal voor de baggeraars die dan op die plek net even terecht kunnen om slib en zand te baggeren.

IT-architectuur van laagjes naar stacks

We schreven in ons blog over Charlotte uitgebreid dat de traditionele IT-architectuur, bestaande uit ‘lagen’ voor netwerk, infrastructuur en applicaties, steeds meer overgaat in ‘stacks’. Dat illustreren we in ons schema waarin ieder bedrijfsproces beschikt over een eigen ‘stack’, die bovendien uit veel meer dan de genoemde drie laagjes bestaat.

Natuurlijk, we kunnen een discussie starten over de definitie van de genoemde lagen, de afbakening, de precieze volgorde en/of het aantal, maar daarmee zouden we voorbij gaan aan de boodschap: het zijn er meer, ze zijn minder ‘breed’ en ze moeten koppelen met andere stacks. Ze ondersteunen namelijk één E2E-bedrijfsproces. Gelukkig kan koppelen op bijna alle niveaus en elke optie kent specifieke voor- en nadelen op het gebied van latency, throughput, scalability, etcetera.

Dit is het IT-domein waar een continue stroom van technische ontwikkelingen en nieuwe diensten nieuwe wegen openen en de laatste IT-strategie hopeloos ouderwets doen lijken. Heb je net je applicatie refactored om historische transactiedata weg te schrijven naar goedkopere storage en dan blijken stretched databases dat automatisch voor je te doen. Jammer van de inspanning? Toch de moeite waard? Om die vraag te beantwoorden, moet je diep de materie in. Op het gebied van IT, rekening houdend met compliance, security en privacy. En prijsmodellen. En de te verwachte ontwikkelingen om een goede sourcing-mix te kiezen.

Overgangsperiode

Die sourcing-mix omvat bijna altijd alle bekende vormen van sourcing, omdat we nog in een overgangsperiode zitten. Gelukkig wordt sourcing ook eenvoudiger, want de gevestigde cloud-aanbieders hebben een strak afgebakende dienst, wijken niet af van hun processen en onderhandelen niet over hun service levels. Het is dus de kunst om met alle beschikbare bouwblokken iets moois te maken, met dat verschil dat de steentjes van Lego, Playmobil, Meccano, K’nex, Kapla, Clics en Magformers zijn. Best ingewikkeld, totdat API’s te hulp schieten, of, om het over een andere boeg te gooien: ontwikkelingen ontstaan als software defined data centers, software defined storage en krachtige tools voor cloud orchestration en cloud brokerage. Hoezo leveranciers in kaart brengen? Op de spot market voor compute en storage doe je met iedereen zaken!

Meer fuzz dan antwoorden in dit verhaal, maar het is dan ook een teaser. Op elk van de onderwerpen gaan we later dieper in. En u kunt via een simpele reply onderstaand, invloed uitoefenen op de onderwerpen en aandachtspunten![/vc_column_text][/vc_column][/vc_row]

Regie in de keten, maar hoe dan?

Jawel, de kogel is door de kerk. De klant gaat zijn IT uitbesteden. Hij heeft het roer overgedragen aan een deskundige leverancier. Een zorg minder én een zorg erbij. Want de klant weet: een van de grootste uitdagingen is nu het aansturen van de leverancier. De regie van de business IT alignment moet strak in orde zijn. We weten dat een leverancier om een specifieke sturing vraagt. En niet alleen de relatie met de leverancier is belangrijk, ook het contract moet goed worden bewaakt, om alle beloofde business cases te realiseren. Maar hoe?

De klant laat zich goed informeren. De meeste deskundigen, inclusief zijn eigen interne auditdienst, pleiten voor het inrichten en versterken van de processen. Maar hij heeft ook gehoord van moderne ideeën als Organisatie 3.0. Daar wil de klant toch meer van weten.

Hij duikt in de rijke organisatietheorie. Hij richt zich op ‘de taakgerichte organisatie’. Frederick Taylor kwam daar ooit mee, Henri Fayol parachuteerde de tijdsbewaking om de productiviteit nog hoger te brengen. Mét de hiërarchische lagen. Het scheiden van het denken en het doen (de baas denkt, jij voert uit) is ook nu nog het belangrijkste principe in organisaties. En dat is niet zo vreemd, want veel van deze organisatorische principes vinden hun grondslag in de militaire krijgsleer, een van de oudste organisatievormen van mensen. De taakgerichte organisatie heeft ook lang bestaan en is op onderdelen ook nu nog niet verdwenen. Mijn opa wist er alles van, als constructeur bij Rijkswaterstaat.

Toch ontstond er een roep om verandering, vooral door een toenemende internationalisatie. Er ontstond behoefte aan betere communicatiemiddelen, meer controle op afstand. Dus bedacht men de processen en de proces gestuurde organisatie. In de ICT-wereld zijn die vooral bekend geworden door de IT Infrastructure Library (ITIL), maar ook door de verbetermethode Business Process Redesign. En zo ontstonden allerlei nieuwe organisatievormen, functies en rollen. De processen kwamen daar ‘overheen’ te liggen. Met de welbekende vaagheden tot gevolg, want ga maar eens uitleggen op een verjaardagsfeestje dat je configuratiemanager in de ICT bent. Het klinkt heel belangrijk, maar grote kans dat je in no-time alleen in die keuken staat.

Maar er zijn ook nieuwe inzichten. Want de eerder genoemde internationalisatie is voor velen globalisatie geworden. Dat is weer een stap verder. En voor de moderne communicatiemiddelen is dat al geen uitdaging meer. Want iedereen kan altijd en overal online zijn.

En dan is er nog een ander inzicht met grote gevolgen: er is een groeiend besef dat arbeid waarde moet toevoegen aan het individu, zodat het individu met zijn bijdrage waarde toevoegt aan het bedrijf. Medewerkers worden niet meer gezien als productiemiddelen, maar als ‘enablers’. En willen zo ook gewaardeerd worden. Saskia van Uffelen, CEO van Bull in België, zei na het plotse overlijden (hartfalen) van een van haar werknemers: “We kunnen niet méér vragen van onze werknemers. Hun reserves zijn op.” Van Uffelen, die leiding geeft aan 350 werknemers, wil het  nu anders aanpakken. Dat betekent niet dat winst maken niet meer belangrijk is, benadrukt ze. Tegen Het Nieuwsblad zegt ze: “Vroeger werd het bedrijf gemanaged door de financiële man. Cijfers en resultaten, daarmee motiveerden we ons personeel. Nu lukt dat niet meer. Niet de cijfers, maar het welzijn van de werknemers staat nu centraal. Want wie niet gelukkig is op het werk, is ook niet efficiënt.”

Daarom wordt het belangrijk om opnieuw te zoeken naar andere verdelingen. En gelukkig zijn die er in de ‘servicegerichte organisatie’. Niet meer organiseren op taken, noch op processen, maar rondom diensten die worden geleverd in de waardeketen. Zodat mensen weer betrokken zijn bij hetgeen ze werkelijk voortbrengen. Niet om de bonus te verdienen, maar om waarde toe te voegen en gerespecteerd te worden.

Albert van Dijk, Director Sourcing METRI Group
Follow METRI on Twitter @CornelissePaul