Risicobeheersing van kritieke IT systemen vanuit de bestuurskamer

Update van de Nederlandse Corporate Governance Code

Op 20 december 2022 is de geactualiseerde versie van de Nederlandse Corporate Governance Code, beter bekend als de Code Tabaksblat, in werking getreden. Deze code is een richtsnoer voor het effectief besturen en beheersen van beursgenoteerde bedrijven. In de geactualiseerde versie worden nu expliciet risico’s in de informatie- en communicatietechnologie die verbonden zijn aan de strategie en de activiteiten van de vennootschap en de daaraan verbonden onderneming(en) genoemd als concrete zaken waarover het bestuur van een beursgenoteerd bedrijf moet rapporteren. Tot nu toe werd dit vaak aan het operationele of tactische niveau overgelaten dat direct met de ICT bezig is. Hieronder een aantal tips van IDC Metri om dit naar het strategische niveau van de bestuurskamer te trekken.

De Corporate Governance Code noemt concreet risico’s op het gebied van cybersecurity, leveranciers- en ketenafhankelijkheden, data protectie en risico’s verbonden aan nieuwe technologieën en veranderende businessmodellen, zoals op het gebied van ethisch verantwoorde toepassing van nieuwe technologieën (bijvoorbeeld Responsible AI).

Cybersecurity en dataprotectie zijn onderwerpen die vooral aandacht verdienen in de software die specifiek voor de vennootschap is ontwikkeld. Voor de standaard software die de vennootschap afneemt van commerciële partijen staan die partijen als eerste aan de lat om te zorgen dat de software en data veilig zijn. Voor de specifiek voor de vennootschap ontwikkelde software bent u zelf verantwoordelijk. IDC Metri kan u inzicht verschaffen in de risico’s die u loopt op het gebied van cybersecurity en dataprotectie. Zo weet u waar de vennootschap staat en kunt u gericht maatregelen nemen om uw veiligheidspositie te verbeteren.

Bij IDC Metri zien we dat steeds meer van onze klanten er voor kiezen om hun software naar de cloud te brengen, omdat het steeds complexer wordt om de eigen infrastructuur veilig te houden en te voorkomen dat data wordt gestolen of gegijzeld. Maar in hoeverre is uw software klaar voor de cloud? Ook daarin kunnen we u inzicht geven en u voorzien van een roadmap met kosteninschatting om uw software naar de cloud te brengen. Zo kunt u zich focussen op de zaken waarin de vennootschap zich kan onderscheiden en hoeft u geen investeringen te doen in het veilig houden van de ondersteunende infrastructuur.

Nu het tempo van verandering steeds hoger wordt is het van groot belang dat uw vennootschap wendbaar blijft. IDC Metri spreekt regelmatig bestuurders die ervaren dat met name de aanpasbaarheid en overdraagbaarheid van hun software hen beperkt in de wendbaarheid om zaken te doen. Bij IDC Metri hebben we bijna twintig jaar ervaring in het in beeld brengen van aspecten die de wendbaarheid van uw software kunnen belemmeren. Daarbij gaan we verder dan alleen het toekennen van sterren of een rapportcijfer, maar kunnen we u met behulp van onze technology partners ook een concrete roadmap bieden om de wendbaarheid te verbeteren.

Hoewel niet als risico benoemd in de Corporate Governance Code zien we dat voor verreweg de meeste bestuurders die wij spreken duurzaamheid een belangrijke rol speelt. Het is nog niet heel gebruikelijk om ook software over de as van duurzaamheid te beoordelen, maar als uw vennootschap daar klaar voor is kunnen we u helpen om in beeld te brengen hoe efficiënt uw software omgaat met cloud resources in de vorm van een Green IT index. Dat is niet alleen duurzaam, maar ook goed voor uw ICT budget.

De oplossingen die IDC Metri kan bieden worden toegesneden op de vraag en de mate van risico die uw vennootschap loopt. De Corporate Governance Code geeft ruimte om de risicobeheersing toe te snijden op de omvang en het risico van de vennootschap en we helpen u graag daarin een optimale keuze te maken.

Wil je meer weten?

Waarom is het verbeteren van de security en code kwaliteit zo belangrijk voor overheidsorganisaties?

Het belang van ISO 5055 als uitbreiding op ISO 25010 voor het geautomatiseerd meten van software code voor overheidsorganisaties.

De digitale weerbaarheid van de overheid moet sterker. Maar hoe krijgt u dat voor elkaar? Veel overheidsorganisaties geven op dit moment aandacht aan het beter inrichten van Lifecycle Management (LCM). Inzicht in de technische staat van applicaties is een goed startpunt om de kwaliteit en de security te verbeteren en plannen te maken voor de toekomst. Het inventariseren van de omvang en de technische staat van de applicaties in het portfolio is een belangrijke stap, want deze factoren bepalen voor een groot deel de onderhoudskosten. Om goede toekomstplannen te kunnen maken is deze informatie van groot belang.  

Hoe maakt de overheid de technische staat van een applicatie inzichtelijk?

Binnen de overheid wordt er vaak gesproken over de International Standardization Organization (ISO) 25010 standaard als het gaat om het inzichtelijk maken van de technische staat van een applicatie. Deze ISO standaard heeft in 2011 de oude standaard 9126 vervangen en kijkt naar 2 aspecten: de productkwaliteit en de geschiktheid voor gebruik. Onder ISO 25010 worden kenmerken als functionele geschiktheid, prestatie-efficiëntie, uitwisselbaarheid, bruikbaarheid, betrouwbaarheid beveiligbaarheid, onderhoudbaarheid en overdraagbaarheid beschreven. Er zijn verschillende technologieën beschikbaar op de markt die deze kenmerken geautomatiseerd kunnen meten en die kunnen beoordelen in welke mate een applicatie voldoet aan deze kenmerken. Deze technologieën meten de applicatie source code geautomatiseerd door en produceren dan een of meerdere dashboards waarop scores op de ISO 25010 kenmerken getoond worden. Dat klinkt prima, maar het is geen garantie voor succes.  

Hoe zit het met de ontwikkeling en het onderhoud van moderne applicaties?

Een nadeel van veel technologieën is dat de analyse op code niveau wordt uitgevoerd. Bestand na bestand wordt gekeken naar zaken als complexiteit en security. Moderne applicaties bestaan echter uit vele verschillende componenten, lagen, files, frameworks, etc. Als we naar applicaties kijken vanuit een architectuur oogpunt, dan ziet dat eruit als het voorbeeld in de volgende figuur.  

Architectuur overzicht app

Figuur 1: voorbeeld architectuur overzicht van een applicatie

Zoals u waarschijnlijk al doorhad, is de complexiteit groot, mede door de vele aanroepen tussen de verschillende onderdelen. Uit onderzoek blijkt dat veel (tot wel 60%) van de productieincidenten van applicaties worden veroorzaakt door foutieve aanroepen tussen componenten. Deze incidenten zijn moeilijk te reproduceren en op te lossen en leveren mede daarom de meeste downtime op. Het is daarom belangrijk om de kwaliteit van applicaties te meten op codeniveau en op systeemniveau. Een voorbeeld van goede code, maar een matig systeem, staat in de volgende figuur.

goede code slecht systeem

Figuur 2: voorbeeld van goede code, maar een slecht systeem

De man in de figuur wil de pinautomaat gebruiken. Hoewel op codeniveau alles in orde lijkt, is het toch niet mogelijk de pinautomaat te gebruiken, omdat er bijvoorbeeld een incident is opgetreden in een van de slechte aanroepen in het systeem.

Om dit probleem te tackelen is er in 2021 een uitbreiding gekomen op de ISO 25010 standaard. Dit is de ISO/IEC 5055 standaard voor het geautomatiseerd meten van software code kwaliteit. Deze standaard schrijft voor dat er heel specifiek moet worden gekeken naar overtredingen van goede codeerstandaarden en architectuur standaarden. Er zijn duizenden regels vastgelegd in vele verschillende standaarden en best practices, zoals bijvoorbeeld van OWASP, CWE, NIST, CISQ en OMG. Deze regels zijn dingen die je moet doen, of juist niet moet doen bij het ontwikkelen en onderhouden van de applicatie. Een voorbeeld van een van de duizenden regels: „Avoid SQL injection through API requests“. Dit is een van de belangrijke regels op security gebied en een overtreding van deze en vergelijkbare regels levert een groot risico op voor de applicatie, en mogelijk voor de hele organisatie. Uiteindelijk zijn er altijd mensen betrokken bij applicatie ontwikkeling en onderhoud en dus kunnen er altijd issues zijn, ook als de mensen heel goed zijn.

Human error

Figuur 3: software development is mensenwerk, en niemand kent alle duizenden regels uit z’n hoofd, ook Dave niet! (Bron: https://www.jklossner.com/)

Wat is het voordeel van het geautomatiseerd meten van software code kwaliteit?

Het voordeel van de ISO 5055 manier van het onderzoeken van software kwaliteit is dat het ook mogelijk wordt om heel specifiek in de code aan te tonen waar een regel is overtreden, waarom dat een mogelijk kritiek issue is en hoe dit eventueel opgelost kan worden. Dit zorgt ervoor dat het maken van aanpassingen een stuk gemakkelijker wordt. De ISO 5055 standaard maakt het dus mogelijk om de software kwaliteit vast te stellen op codeniveau en op systeemniveau. Door vervolgens de gevonden issues gericht te verbeteren, worden de risico’s in de applicatie snel verminderd en wordt de technische kwaliteit snel verbeterd. Dit kan er in het kader van Lifecycle management weer toe leiden dat toekomstplannen worden aangepast omdat de technische staat van de applicaties wordt verbeterd en de onderhoudskosten omlaag gaan.

Hoe doen we dit bij IDC Metri?

Bij IDC Metri voeren we regelmatig codekwaliteit onderzoeken uit waarbij we CAST technologie inzetten die de code op zowel ISO 25010 als ISO 5055 meten. Het ontwikkelteam krijgt heel specifiek inzicht in de gevonden issues en we geven onze klanten een concreet verbeterplan waarbij het doel is met zo weinig mogelijk inspanning zoveel mogelijk kwaliteitswinst te halen.

Het management kan vervolgens de voortgang monitoren op het management dashboard, waar de trends staan in de scores per applicatie, zodat er een duidelijk beeld is wat de technische staat is van de applicaties en de trends hierin, o.a. als basis om keuzes te kunnen maken in het kader van Lifecycle management. Dit ziet u terug in onderstaande figuur. Het voordeel van de CAST technologie is dat we ook geautomatiseerd de omvang meten in Automatische functiepunten (AFP). Dit stelt ons in staat om ook financiële benchmarks en adviezen te geven op basis van de meer dan 15000 data punten van applicaties en projecten in onze database.

source code
rule documentation

Figuur 4: voorbeeld van het developer dashboard: waar zit de fout, waarom is het een fout en hoe kan deze worden opgelost

 

Meer weten? Kom dan naar onze webinar voor overheidsinstellingen

 

Op donderdag 26 januari om 16.00 uur organiseren we een webinar waar we ingaan op hoe we dit doen en waarbij we Frans Struijk, directeur IV Facilitair Bedrijf bij het UWV, hebben gevraagd om te laten zien hoe wij het UWV geholpen hebben in een specifieke case, waarbij ook een bekende system integrator betrokken was. Inschrijven kan hieronder.

Aanmelden voor Webinar Security binnen overheden 26 januari

Webinar: Hoe vermijd je security issues in applicaties? (voor de overheid)

Datum: 26 januari 2023

Tijd: 16.00-16.45

Locatie: online via Zoom

Hoe heeft IDC Metri samen met partner CAST zicht kunnen bieden aan management op de risico’ t.a.v. de standaarden ISO 25010, ISO 5055 en andere? We laten het u zien aan de hand van een case bij de centrale overheid.

Sommige leveranciers hebben in de afgelopen jaren een dusdanig grote footprint in de Nederlandse overheid opgebouwd, dat ze inmiddels een begrip geworden zijn. Zo ook op het gebied van software risico en kwaliteit assessments. Toch is het goed om af en toe opnieuw te inventariseren wat de verschillende oplossingen op de markt zijn en de waarde die zij leveren. IDC Metri, tesamen met haar partner CAST – wereldwijd marktleider op dit gebied – bieden een state of the art dienst aan op dit gebied waarbij management zicht krijgt op de risico’ t.a.v. de standaarden ISO 25010, ISO 5055 en andere. Daarbij helpen we de teams met een dashboard waarop de gevonden kritieke fouten staan, de reden dat deze kritiek zijn, en hoe deze opgelost kunnen worden. Hands-on verbetering en directe kwaliteitsverbetering en risico verlaging voor de applicatie. Tijdens dit webinar willen we u graag laten zien op welke wijze we dit doen, en ook een succes case vanuit de centrale overheid presenteren.

Nu IDC Metri samen met PWC en Accenture de SIMA-mantel gegund heeft gekregen, opent dat de mogelijkheid om ons mee te nemen in uw selectietrajecten.

Aanmelden voor Webinar Security binnen overheden 26 januari

IT Cost Management Summit

In de sfeervolle omgeving van de Philharmonie in Haarlem deelden experts uit binnen- en buitenland hun ervaringen op het gebied van het begroten en beheersen van IT-kosten.

De aftrap werd verzorgd door Joop Schefferlie, president van de IPMA, één van de grootste organisaties voor projectmanagement. Veel van de veranderingen in de maatschappij komen tot stand in de vorm van projecten. Tegenwoordig vertegenwoordigen projecten al bijna 40% van alle economische activiteiten. De gemiddelde student in het hoger onderwijs krijgt echter niet meer dan drie weken onderwijs in projectmanagement. Het succes van een project is in grote mate afhankelijk van het leiderschap in een project. Een goede projectmanager moet in staat zijn om de juiste expertise om zich heen te verzamelen.

Meer informatie

Daniel Saroff van IDC liet zien dat te pessimistisch begroten en zeker te optimistisch begroten een grote invloed heeft op het uiteindelijke resultaat van een IT ontwikkelproject. Veel agile projecten begroten vooral de hoeveelheid werk, maar houden te weinig zicht op welk deel van het werk echte waarde brengt. Hierdoor neem het risico toe dat een te groot deel van het budget besteed wordt aan zaken die geen waarde toevoegen en er aan het einde van het budget onvoldoende product is voor een geslaagde businesscase. Daarvoor is meer budget en tijd nodig. Door gericht metrieken te gebruiken en deze te volgen kunnen negatieve ontwikkelingen op tijd worden gesignaleerd en aangepakt voor ze problemen worden.

Meer informatie

Paul Marston van SPA ging in op de positieve kanten van agile: het in kleine teams werken aan concrete resultaten met regelmatige terugkoppeling. Dit lijkt niet te matchen met traditioneel projectmanagement dat draait om het uitvoeren van een plan. Maar ook al ben je flexibel, moet je nog steeds plannen en begroten. We moeten af van het idee dat we een volledige en complete begroting moeten maken, maar laten we ook voor het plan en de begroting beginnen met een Minimum Viable Product.

Meer informatie

Megan Jones van ICEAA presenteerde de Cost Estimation Body of Knowledge for Software (CEBoK-S) die de organisatie later dit jaar als een zelfstandig kennisdomein zal worden gelanceerd. Het begroten van software kent een aantal zaken die specifiek zijn voor het softwaredomein. Deze komen bovenop de algemene onderwerpen die al onderdeel zijn van de al bestaande CEBoK. In de loop van volgend jaar wordt het mogelijk om als software cost estimator gecertificeerd te worden.

Meer informatie

Koos Veefkind van de Belastingdienst deelde de ervaringen van de Belastingdienst in het voorspelbaar maken van hun IT projecten. Van het portfolio van bijna een half miljoen functiepunten wordt jaarlijks ruim 10% gewijzigd. Omdat de Nederlandse belastingwetgeving zo complex is, is ook het IT-landschap van de Belastingdienst complex. De opsplitsing van de Belastingdienst in drie delen, maakt het beheer van dit landschap niet eenvoudiger. Om betrouwbaar te kunnen leveren worden projecten kleiner gemaakt, zodat er altijd binnen 12 maanden een Minimum Viable Product wordt opgeleverd. Daarnaast wordt gebruik gemaakt van de historische productiviteitsgegevens om te bepalen hoe realistisch een afgegeven doorlooptijd is.

Meer informatie

Amritpal Singh Agar van The Cost of Everything podcast heeft over de hele wereld mensen geïnterviewd die de kosten hebben bepaald van de meest uiteenlopende zaken van het maken van films tot de bouw van kernreactoren. Wat hieruit naar voren komt is dat de meeste van deze mensen toevallig in deze rol terechtgekomen zijn. Hoe verschillend hun achtergrond ook is en wat ze begroten, de overeenkomst is dat ze nieuwsgierig zijn naar het verhaal achter de cijfers.

Meer informatie

Paul Hussein van de EU Securities & Markets Authority (ESMA) is al 10 jaar betrokken bij de uitbesteding van de IT van ESMA. ESMA heeft geen on-premise IT en het onderhoud is voor 100% uitbesteed. Als EU agentschap staat het IT-budget drie jaar van tevoren vast. De verhouding tussen instandhouding en vernieuwing binnen ESMA is 60:40. Als de onderhoudskosten stijgen betekent dit dat er minder geld is voor vernieuwing. Om de kosten voor de IT voorspelbaar te houden werkt ESMA met een catalogusprijs voor de vernieuwing en het onderhoud van hun IT-systemen. Daarvoor werd gebruik gemaakt van IFPUG functiepunten. Voor hun nieuwe cloud-native dataplatform maakt ESMA nu gebruik van COSMIC functiepunten om de catalogusprijzen op te baseren. Voor  verschillende projecten en systemen zijn verschillende categorieën gedefinieerd op basis van omvang en complexiteit.

Meer informatie

Emmanual Mary van Unison nam ons mee in het domein van software cost estimating in de automobielindustrie. De verwachting is dat in 2030 de kosten voor software 50% van de totale productiekosten van een auto zullen uitmaken. Hoewel het belang groot is, blijft software nog een ondergeschoven kindje. In de auto industrie is er nog een wijdverbreid geloof dat software niet te begroten is. Als de autoproducenten grip willen krijgen op de kosten van de software moeten ze met een omvangsmaat gaan werken om kosten te kunnen begrijpen, vergelijken en controleren. Op basis van patronen kan snel een goede inschatting worden gemaakt.

Meer informatie

How to Measure Business Value for Agile Teams

Webinar | On-Demand

IT-teams die Agile hebben ingevoerd, profiteren van snellere leveringscycli en flexibelere systemen. Ondanks de verbeterde mogelijkheden die Agile bedrijven brengt, heeft IDC Metri, de leider in het helpen van organisaties om de volledige waarde van hun IT-functies te realiseren, ontdekt dat de meeste bedrijven een aanzienlijke sprong in de prestaties zouden zien als ze kwantitatieve beoordelingstechnieken zouden toepassen om Agile-inspanningen te beheren.

Bekijk de webinar om meer te leren over deze processen en hoe eenvoudig het is om ze te implementeren terwijl u strategische begeleiding krijgt rond:

  • Hoe voorspelbaarheid, controle en zichtbaarheid te krijgen in high-profile Agile projecten
  • Hoe het monitoren en beoordelen van Agile teams budgetten kan beheersen, leveringssnelheid en kwaliteit kan verhogen en een minimum viable product kan garanderen
  • Hoe het inbouwen van kwantitatieve prestatiemaatstaven in leverancierscontracten leidt tot betere kosten, kwaliteit en prestaties van externe ontwikkelpartners
  • Wanneer het schalen en leveren van Agile praktijken van vitaal belang is voor zakelijk succes, wilt u de inzichten van IDC Metri niet missen over hoe u uw bottom line beter kunt beïnvloeden door de volledige waarde van Agile ontwikkeling te realiseren.
Watch Webinar

Het belang van Performance Measurement

Dit rapport is het resultaat van het afstudeeronderzoek van Jelle Snijder in samenwerking met Metri, de organisatie die hem heeft begeleid bij dit onderzoek. De titel van de thesis is: “A reconceptualization of uncertainty in enterprise-wide IT-projects to understand its challenges and responses”.

Grote IT-projecten gaan nog steeds vaak mis. Uit recent onderzoek is gebleken dat slechts 5% van de grote IT-projecten succesvol zijn in termen van kwaliteit, budget en tijd. Een belangrijke reden voor dit falen kan worden herleid tot de hoge mate vanonzekerheid waarmee dit soort projecten vaak te maken hebben, denk hierbij aan omgevings- en milieu onzekerheid, politieke onzekerheid, economische onzekerheid of aan de opkomst van nieuwe technologieën. Bovendien neemt de mate van onzekerheid alleen maar toe in het huidige turbulente business klimaat en een wereld waar pandemieën en klimaatproblematiek het speelveld domineren.

Dat deze onzekerheden niet helemaal nieuw zijn, blijkt uit de transitie die gaande is naar agile manieren van werken. Waar men voorheen in een waterval approach lineair toewerkte naar het eindproduct, acht de agile methodiek het accepteren vanwijzigingen belangrijker dan het strikt volgen van een plan waarmee het inspeelt op veranderende requirements. Dit is een aspect dat hoort bij het omgaan met onzekerheid, maar het schiet nog tekort in het overzien van de daadwerkelijke consequenties van deze veranderingen op de organisatie en het managen hiervandoor de decision makers.

Zeven vooraanstaande bedrijven uit de Nederlandse markt hebben deelgenomen in een multiple case studie om onzekerheid opnieuw te conceptualiseren om zo een beter begrip te krijgen van de uitdagingen en reacties in grote IT-projecten. Hierbij is een model gebruikt dat naar onzekerheid kijkt op drie niveaus: Als eerste de state uncertainty wat gaat om het onvermogen om veranderende elementen uit de business omgeving te voorspellen, als tweede de effect uncertainty wat het onvermogen om de invloed die deze veranderende elementen uit de businessomgeving hebben op de organisatie te voorspellen omvat en als derde de response uncertainty waarbij het gaat om het uitblijven van inzichten in hoe te reageren op de veranderende elementen uit de business omgeving en wat de consequenties zijn vandeze reacties.

In dit onderzoek beschrijven we de manier waarop we zien dat de markt omgaat met onzekerheid en hoe dit verbeterd kan worden door middel van het invoeren van performance measurement technieken.

Verder lezen

Wil je meer weten?

Vul onderstaand formulier in om zelf een afspraak in te plannen voor een vrijblijvend gesprek. Kom je er niet uit? Bel ons dan op 020 655 1777.

Omgaan met verandering

Als je een liefhebber bent van T-shirts voor nerds herken je vast de tekst op dit shirt. En je had misschien niet eens door dat de tekst nét iets anders is dan de tekst die je dacht te herkennen. Heb je geen idee wat de boodschap van dit T-shirt is, raad ik je zeker aan door te lezen.

Deze tekst is gebaseerd op het vermogen van de menselijke geest om de cijfers in de tekst te vervangen door de letters die er hadden moeten staan. Onze hersenen kunnen bijvoorbeeld ook woorden lezen als de eerste en laatste letters op hun plaats staan en de andere letters door elkaar zijn gehusseld. Deze vermogens zijn onderdeel van wat de menselijke intelligentie noemen.

Onze intelligentie biedt ons de mogelijkheid om om te gaan met verandering. En deze mogelijkheid is nu harder nodig dan ooit, omdat onze wereld steeds sneller verandert. De overstap van landbouw naar handel heeft ons duizenden jaren gekost. Toen duurde het nog ruim drie eeuwen voordat de industriële revolutie startte en twee eeuwen voordat de automatisering begon. Minder dan dertig jaar geleden begonnen we met digitalisering en kunstmatige intelligentie. Al deze veranderingen hebben een steeds grotere invloed op ons dagelijks leven en al deze veranderingen hebben een steeds disruptiever effect op de manier waarop we leven, werken en zaken doen. En IT speelt daarin een steeds belangrijker wordende rol.

Gebruik de data

Alle IT die wij inzetten genereert data. Dat begon al in de tijd van de automatisering. In het digitaliseringstijdperk ontwikkelen we IT om de data te interpreteren en ons te helpen te begrijpen waar de wereld om ons heen naartoe gaat en daarin beslissingen te nemen. En we zijn heel goed in staat om de data die IT genereert te gebruiken. Kijk maar naar de ontwikkelingen op het gebied van kunstmatige intelligentie en autonome voertuigen. Maar er is één soort data waar we niet (genoeg) van profiteren. Dat is de data over de IT zelf. Wat weten we eigenlijk van de IT die ons ondersteunt? Hoe gezond is die IT? Hoe goed is die IT in staat om onze al maar toenemende wensen te ondersteunen?

IT-Intelligence

Dat is wat we IT-Intelligence noemen. Daarmee kunnen we helpen om een kijkje te nemen onder de motorkap van de IT om te zien of de software nog wel is opgewassen tegen de uitdagingen van vandaag de dag. De software kan alle onderstaande vragen beantwoorden als je op de goede manier naar de software kijkt. En de antwoorden kunnen je helpen beslissen of je met deze software verder kunt of op zoek moet naar alternatieven.

  • Hoe betrouwbaar is de software? Is het voldoende goed gestructureerd om te blijven draaien wanneer het nodig is? Kan het worden opgeschaald als het succes van een organisatie daarom vraagt?
  • Hoe veilig is de software? Is het ontworpen op basis van veilige ontwerpprincipes? Verifieert de software de juiste autorisaties door de hele architectuur heen? Kunnen delen worden geïsoleerd die mogelijk geïnfecteerd zijn met ransomware? Voldoet de software aan de AVG en andere privacyvoorwaarden?
  • Hoe goed presteert de software? Kan alle data nog steeds op tijd verwerkt worden en op het juiste moment gepresenteerd? Reageert de software snel genoeg voor eindgebruikers of klanten of raak je ze kwijt doordat ze te lang moeten wachten? En past het kostenniveau nog wel bij je bedrijfsvoering?
  • Hoe onderhoudbaar is de software? Kan het eenvoudig worden aangepast als zich nieuwe wensen voordoen? Of kost iedere wijziging eerst een diepgravende analyse en vervolgens een stevig testtraject voordat nieuwe features in gebruik genomen kunnen worden? Lijkt de software op een spaghettibrei of is het zo net gestructureerd als lasagne?
  • Hoe energiezuinig is de software? Deze vraag wordt steeds belangrijker als de portfolio naar de cloud verhuist en op basis van verbruik wordt afgerekend.

Stel de juiste vraag voor het beste antwoord

Als je alle antwoorden hebt op de vragen hierboven, heb je het beste uitgangspunt om je IT goed te positioneren voor de toekomst. Metri kan helpen om de antwoorden te vertalen naar maatregelen op basis van de doelen en prioriteiten van de organisatie.

Neem contact op en we laten je graag zien hoe we anderen de weg gewezen hebben.

En mocht je nog steeds moeite hebben met het T-shirt:

IT-Intelligence is the ability to adapt to IT-change.

Follow the facts

Follow The Money

In de loop van dit coronajaar ontstond commotie. Een ietwat haastig opgesteld contract voor de levering van 100 miljoen mondkapjes bleek toch niet helemaal in elkaar te zitten zoals was voorgespiegeld, en daarnaast bleken deze ook nog eens ongebruikt in het magazijn te liggen vanwege tekortschietende kwaliteit. De researchorganisatie Follow The Money (FTM) kwam met de onthulling naar buiten dat de ondernemers achter de deal flink verdiend hadden, in tegenstelling tot wat er in de media bericht werd. Een vervelende situatie waarbij de overheid met lege zakken en handen vol mondkapjes van slechte kwaliteit bleef zitten.

“When in doubt, follow the money!” is de slogan van FTM, en dat werkt. Talloze organisaties en personen zijn in het verleden onderworpen aan de onderzoeksjournalistiek van FTM en kwamen negatief in het nieuws. Alles wat je doet (maar zeker ook wat je niet doet) laat financiële sporen na. Vaak kan op deze manier -zeker in een situatie van gebrekkige vastlegging- een goede schets gemaakt worden van wat er is gebeurd of juist wat niet.

Zo ook in de IT; iedereen kent de voorbeelden van projecten die veel te lang duren of een legacy applicatie/suite die alle energie en geld uit de (IT) organisatie zuigt. Vaak is het dan heel behulpzaam om deze ongemakken te kwantificeren en inzichtelijk te maken. Naast dat een dergelijk overzicht je in staat stelt om de uitgaven te spiegelen aan de strategie, vormt het een bruikbare bron voor het opstellen van vervolgstappen. Niet gebaseerd op onderbuikgevoel maar op data.

En dat is waar we bij Metri voor staan: When in doubt follow the facts! Goed onderbouwd advies op basis van marktdata stelt je in staat om weer echt in de regie te komen. Of dit nu op basis is van een benchmark van een (IT) contract, de doorrekening van de private cloud omgeving of een 360⁰ evaluatie van de sourcing strategie; data is het fundament van iedere organisatie. Data geeft je inzicht in waar je nu staat, en alleen als je dat weet kun je bepalen waar je heen wilt en hoe je dat wilt realiseren.

Daarom kijken wij bij Metri ook niet alleen in de achteruitkijkspiegel, maar ook vooruit. Op basis van markstandaarden -en ontwikkelingen is namelijk ook heel goed te zeggen waar de markt heen gaat, en wat de ontwikkelingen per domein zijn. Ook zorgt de recente acquisitie van Metri door IDC voor een enorme verbreding van het researchpotentieel op het gebied van trends in de markt.

Nu moet enkel nog de brug geslagen worden tussen de huidige situatie en wat het moet zijn. Ook daar onderscheidt Metri zich als vendor agnostische bemiddelaar op het gebied van onder andere leveranciersselectie en contractmanagement. Uitgevoerd door een gedreven groep specialisten met veel kennis van de materie, maar uiteindelijk allemaal gebouwd op het fundament wat wij data noemen.   

Wil je meer weten?

Vul onderstaand formulier in om zelf een afspraak in te plannen voor een vrijblijvend gesprek. Kom je er niet uit? Bel ons dan op 020 655 1777.

Metri adviseert pensioeninstelling over kosten van IT-programma

Na vele jaren onderhandelen ligt er dan eindelijk een nieuw pensioenakkoord. Voor de pensioensector is dat echter pas het begin: de invoering van het nieuwe stelsel zal de komende jaren een megaklus zijn voor de verschillende branchepartijen. Zo ook voor TKP Pensioen. Metri hielp de pensioenuitvoerder met het verkrijgen van inzicht in de omvang van de benodigde ICT-aanpassingen.

Het in 1988 opgerichte TKP verzorgt de pensioenuitvoering voor 23 fondsen en ruim 3,7 miljoen Nederlanders. Daarmee is TKP één van de grootste pensioenuitvoeringsorganisaties van Nederland.

Om het ICT-landschap van TKP voor te bereiden op het nieuwe pensioenstelsel wordt gewerkt aan een groot overkoepelend programma. Voordat dit van start gaat heeft het management objectief en onderbouwd inzicht nodig in de te verwachten kosten en doorlooptijd van de ICT-aanpassingen, om de stakeholders te kunnen informeren.

Dit overzicht wordt verkregen via software cost estimation, oftewel het vaststellen van de omvang van dat wat gerealiseerd moet worden en het bepalen van een realistische productiviteit waarmee men dit kan realiseren. De omvang wordt vastgesteld in zogeheten functiepunten, de enige internationale standaard voor het kwantificeren van functionele omvang.

TKP heeft zelf een indicatieve functiepuntanalyse opgesteld op basis van de logische entiteiten in het domeinmodel dat aan de basis ligt voor de realisatie. Vanwege de omvang, de complexiteit en het belang van de operatie, wilde TKP deze analyse laten toetsten door een gespecialiseerde externe partij. De pensioenuitvoerder schakelde Metri in, een IT-adviesbureau gespecialiseerd in vraagstukken op het gebied van IT intelligence, benchmarking en sourcing.

Metri werd gevraagd om (1) een ‘expert opinion’-validatie te geven op de high-level schattingen van TKP, (2) een extern bruikbare, onderbouwde en betrouwbare prognose op te stellen ten aanzien van doorlooptijd en kosten op dit programma en (3) een intern advies te geven om vanuit metrieken de voorspelbaarheid, bestuurbaarheid en de effectiviteit van agile teams te borgen.

De begroting die Metri heeft opgeleverd betreft (onder meer) een validatie van de indicatieve FPA, een productiviteitsanalyse, de toegepaste begrotingsparameters, de minimale, te verwachten en maximale begroting voor wat betreft uren, kosten en doorlooptijd, de benodigde uren gespecificeerd per functie/rol, antwoord op verschillende scenario’s, en advies ten aanzien van de metrics die kunnen worden ingezet om de voortgang van het project objectief te monitoren en de mogelijkheden om vroegtijdig bij te sturen.

“Metri heeft deze opdracht in een zeer korte doorlooptijd uitgevoerd”, laat het bureau weten. “De opgeleverde begroting verschaft TKP het benodigde inzicht in de minimum, de meest waarschijnlijke en de maximum te verwachten kosten en doorlooptijd. Hiernaast heeft Metri het effect van bepaalde scenario’s aangegeven en een monitorinstrument geadviseerd waarmee TKP het programma kan besturen om het resultaat binnen de gestelde bandbreedtes te houden en eventueel vroegtijdig bij te sturen als dit nodig is.”

Bron: Consultancy.nl

Bruut!

Metri

De foodies onder ons hebben het vast meegekregen: in een totaal onwerkelijk en geplaagd jaar voor de horeca zijn afgelopen week de Michelin-sterren weer uitgereikt. En wat ik zo mooi vond: Hans van Wolde, de eigen-wijze Rotterdamse chef van het nieuwe BRUT172 in het Limburgse Mergelland, krijgt er meteen twee.

Als voormalige CEO van het succesvolle Beluga aan de Maas gooide hij – op de voet gevolgd door een crew docusoap-ers in de spotlight van RTL – met alles wat hij had en met alle kwetsbaarheid van dien zijn roer om. Waarom? Vanuit de overtuiging dat het tijd was voor iets nieuws, vanuit de visie dat de lat letterlijk en figuurlijk nog hoger kon worden gelegd (172NAP) en vooral omdat hij het gewoon zo wilde en in zijn hoofd had.

Ik weet niet hoe u dat ziet, maar voor mij getuigt dat van ontzettend veel lef en is dat “bruut” ondernemerschap in de meest positieve zin.

Van een leien dakje ging het allemaal niet, of juist wel, afhankelijk van hoe je het bekijkt. In de gehele renovatie en verbouwing van de monumentale schuurboerderij stapelden de tegenslagen zich harder op dan de bakstenen muren in het gebouw en moest door de vondst van asbest onder de pannen de hele zaak letterlijk ontmanteld worden. Niet de gerechten, maar kosten rezen de pan uit. Met creativiteit, veerkracht en een totaal omgekeerde portemonnee kwam het uiteindelijk af, en hoe! Maar binnen een week na de opening was daar de eerste lockdown en horecasluiting: Prettige wedstrijd.

Als liefhebber en bewonderaar van de sterrenchef is het leuk en inspirerend dit verhaal te delen, maar natuurlijk komt er ook nog een aap uit de mouw in de vorm van een dieperliggende bedoeling: Zou het niet mooi zijn als meer ondernemers en bestuurders in private of publieke organisaties een vergelijkbare bevlogenheid laten zien?

Zeker in mijn vak, de IT, lijken de ambities nog wel eens teruggeschroefd met zwaar getemperde verwachtingen en aan fatalisme grenzende overtuigingen rondom realisatiekracht. Helemaal gek is dat niet: kijk maar eens in de media naar de aaneenschakeling van berichtgeving over mislukte aanbestedingen, digibeten in de boardroom, datalekkende apps en miljoenen verslindende softwareprojecten in een waterval van tegenslag. “Leg je er maar bij neer!” zo lijkt de boodschap.

Bij Metri geloven we dat er een alternatief is en dat de IT-functie belangrijker en strategischer is dan ooit. We hebben er onze missie van gemaakt om met de kracht van feitelijke data en regie op IT deze complexe materie inzichtelijk bestuurbaar te maken voor de professional in het veld tot en met de boardroom, ongeacht of dit je vak is en ongeacht of de uitvoering intern of bij een partner belegd is. We zijn er voor iedereen die geen genoegen meer neemt met middelmatigheid of krappe ‘voldoende’ in de IT, maar voor het onderste uit de kan gaat, een grensverleggende visie op de kaart wil zetten en larderen met innovatie op een bedje van daadkracht. Om toch maar even in culinaire termen te blijven spreken.

Te mooi om waar te zijn? Nee, dit kan echt. We kunnen je er vol passie alles over vertellen. Het liefst bij Brut, zo gauw het weer kan. En in de tussentijd? Food for Thought!

Wil je meer weten?

Vul onderstaand formulier in om zelf een afspraak in te plannen voor een vrijblijvend gesprek. Kom je er niet uit? Bel ons dan op 020 655 1777.

De kosten van slechte softwarekwaliteit

Quality Software

Onlangs kwam het rapport ‘The Cost of Poor Software Quality in the USA 2020’ onder mijn aandacht, en ik was er behoorlijk onder de indruk van. Daarin staat dat organisaties tegenwoordig worstelen met de balans tussen snelheid van ontwikkeling en de kwaliteit van de applicaties en het onderhoud ervan. Omdat softwarekwaliteit vaak wordt beschouwd als ‘impliciet OK’, of ‘moet goed zijn omdat we alle bugs die we in al onze tests hebben gevonden hebben verwijderd’, wordt softwarekwaliteit en het effect ervan op de kosten voor onderhoud in de praktijk niet op grote schaal gemeten.

Het rapport toont aan dat de kosten van slechte software kwaliteit in de VS meer dan 2 biljoen dollar is. De meeste van deze kosten zijn gerelateerd aan productie-incidenten en het verlies van business als gevolg daarvan. Echter, daarnaast wordt 260 miljard US Dollar besteed aan mislukte IT-projecten. In de meeste gevallen is er onvoldoende aandacht voor kwaliteit en vaak worden deze projecten ook te optimistisch geschat.

Hoewel de bedragen in Nederland gelukkig veel lager liggen, worden dezelfde uitdagingen geconfronteerd als in de VS. Veel organisaties hebben een agile manier van werken gekozen, waarbij er de focus ligt op het zo snel mogelijk leveren van de meeste bedrijfswaarde. Het kwaliteitsaspect wordt vaak gedekt door tests en ontwikkelaarstools die op codeniveau meten, zoals bijvoorbeeld het veelgebruikte SonarQube. Dit zijn goede maatregelen, maar meestal niet voldoende. Het is belangrijk om te meten op systeemniveau, waarbij alle verbindingen tussen componenten, modules en lagen worden geanalyseerd. Bij Metri gebruiken we technologie om de kwaliteit van software op systeemniveau objectief te meten, tegen alle internationale normen en best practices. We rapporteren dit op managementniveau en bieden bruikbare inzichten aan ontwikkelaars: waar in de code kritische schendingen worden ontdekt, waarom dit kritieke schendingen zijn (met referentie naar de betreffende standaard of best practice) en vaak ook hoe deze op te lossen. Op deze manier kan het management inzicht krijgen in de trends in kwaliteit en bijbehorende risico’s en kunnen ontwikkelaars de code op een systematische en gerichte manier verbeteren, waardoor de systeemkwaliteit wordt verhoogd tegen weinig mogelijk inspanning.

De algemene aanbevelingen van het Consortium for IT Software Quality (CISQ) voor 2021 en daarna blijven de nadruk leggen op preventie. De beste aanpak is om zwakke punten en kwetsbaarheden in software zo snel mogelijk te detecteren en te corrigeren, bij voorkeur daar waar ze zijn geïnjecteerd, om de aangerichte schade en kosten voor het repareren te beperken. Meer specifiek  worden de volgende aanbevelingen gedaan voor softwareontwikkelingsorganisaties:

  • Vermijd ontwikkeling standaarden van lage kwaliteit en pas veilige coderingsstandaarden toe.
  • Erken de inherente moeilijkheden van het ontwikkelen van software en gebruik effectieve tools om te helpen omgaan met deze problemen.
  • Zorg voor een vroege en perdiodieke analyse van de ontwikkelde broncode om kritieke schendingen, zwakke punten en kwetsbaarheden vroegtijdig op te sporen.
  • Meet structurele kwaliteitskenmerken, zoals Robuustheid, Efficiency, Security, Onderhoudbaarheid en Overdraagbaarheid.
  • Focus op de evaluatie van opgenomen componenten (bijvoorbeeld open source) en platforms die onbekende zwakke punten of kwetsbaarheden kunnen hebben.
  • Verkrijg meer informatie over de typische kwetsbaarheden en misbruikbare zwakke punten die zijn toe te schrijven aan bepaalde programmeertalen.
  • Gebruik de best practices voor het beheer van een legacy-systeem – vooral als het gaat om het kennismanagement van hoe het systeem intern werkt. Benchmarking van de software risico’s en kwaliteit is een goede plek om te beginnen.
  • Vermijd mislukte projecten door deze professioneel te begroten door gecertificeerde Software Cost Estimators.
  • Besteed aandacht aan gedefinieerde kwaliteitsdoelstellingen en meet deze doelstellingen gedurende de hele levenscyclus van het project.
  • Investeer slim in verbeteringen in de kwaliteit van de software op basis van CPSQ-nummers.
  • Focus op de verschillende resultaten van goede versus slechte softwarekwaliteit in uw organisatie  en relevante benchmarkorganisaties. Door te proberen CPSQ te verbeteren, zullen andere economische doelgebieden worden beïnvloed, bijvoorbeeld eigendomskosten, winstgevendheid, menselijke prestatieniveaus, innovatievermogen en de effectiviteit van uw bedrijfskritieke IT-systemen.

Het klinkt misschien ongelofelijk, maar de diensten die Metri biedt als onderdeel van haar IT Intelligence propositie dekken eigenlijk al deze aanbevelingen.

Het is interessant om te zien dat CISQ een factor 5 tot 10 verschil ziet tussen goed presterende teams en slecht presterende teams, vergelijkbaar met de resultaten die Metri ook waarneemt in de Agile Team Performance Monitor studies die we hebben uitgevoerd. CISQ analyseerde de verschillen tussen de top 10% performers en de onderste 10% organisaties die ze bestudeerden. Wanneer u dieper in de gegevens graaft, is de duidelijke reden de toepassing van bepaalde kwaliteit en proces best practices.  

De belangrijkste enablers voor het bereiken van de beste kosten, planning en kwaliteitsprestaties zijn:

  1. Een goed gedefinieerd, maar aanpasbaar ontwikkelingsproces
  2. Uitstekende begrotingsmethoden (zie de Metri Cost Estimation suite: link)
  3. Projectmanagement discipline
  4. Uitstekende medewerker vaardigheidsniveaus
  5. Kwaliteitsvisie
  6. Focus op klanttevredenheid
  7. TQM managementcultuur
  8. Foutpreventie
  9. Voortgang en kwaliteit meten

Metri helpt haar klanten bij het implementeren van deze key enablers, terwijl ze verbeteringen en de voordelen meet. In bijna elke organisatie zal een verhoogde focus op kwaliteit resulteren in een lagere Total Cost of Ownership, vooral wanneer softwarefouten op een gerichte en kostenefficiënte manier worden opgelost.

Wil je meer weten?

Vul onderstaand formulier in om zelf een afspraak in te plannen voor een vrijblijvend gesprek. Kom je er niet uit? Bel ons dan op 020 655 1777.

Breng vaart in verandering

”Als zaken onder controle lijken, ga je niet hard genoeg.” Een beroemde quote van racelegende Mario Andretti. In deze tijden is de noodzaak tot innoveren sterker dan ooit. Het tempo gaat dan ook omhoog. Organisaties nemen meer risico’s bij het veranderen. Maar hoe neem je dan toch de bestuurlijke verantwoording?

Veel bedrijven kiezen voor een agile én business-centric aanpak. Dit soort veranderingen kost alleen veel tijd en geld. Daarnaast zijn de risico’s hoog. Of de benodigde middelen en fondsen zijn niet altijd voorhanden, waardoor veranderingen weer langer op zich laten wachten – tot zover de analogie met de racewereld.

Metri ziet drie trends die de digitale transformatie aanjagen: agile softwareontwikkeling, het centraal zetten van de klant en business-centric IT. Als je deze drie zaken in balans weet te houden, kun je werkelijk innoveren.

Agile softwareontwikkeling

Agile softwareontwikkeling is een krachtig instrument om te focussen op klantwaarde. En hieraan zo snel mogelijk in kleine iteraties te werken. Het nadeel: de kosten. Te vaak is agile duurder dan traditionele methodes. Dat komt niet alleen door de vaak steile leercurve. Een belangrijke oorzaak zit in de multidisciplinaire werkwijze en de vaagheid van de requirements van de klant of gebruikers. Agile vergt ook aandacht voor doelmatigheid, non-functionals en compliance. Saai natuurlijk vanuit business-oogpunt, maar essentieel om de kosten onder controle te houden en voor de bestuurlijke verantwoording (‘responsibility’).

Zet de klant centraal

De klant centraal stellen is tegenwoordig een populaire kreet. De stem van de klant is essentieel in het ontwikkelen van betere diensten. Maar niet ieder product heeft evenveel input van klanten nodig. Vooral nieuwere producten zijn daar gevoelig voor. In de reguliere productcyclus van 1. innovatie; 2. productontwikkeling; 3. marktontwikkeling; 4. stabilisatie (‘cash cow’) en 5. afbouw, is de stem van de klant vooral aan het begin van deze cyclus belangrijk. Andere KPI’s zijn echter minstens zo essentieel.

IT moet de business centraal zetten

Dan kom ik op de derde trend: IT moet de business centraal stellen. Traditionele, op supply and demand gebaseerde besturingsmodellen zijn soms te log. Als ‘demand’ de voorzijde is van het proces, dan is ‘supply’ de achterkant. En die achterkant weet niet altijd goed wat de business wil. De (management)lagen ertussen filteren en kleuren de demand-boodschap. Vaak is dat goed, maar het heeft ook nadelen. Agile zet de business in het midden – en zo zijn we weer terug bij de eerste trend. De echte product owner is zelf verantwoordelijk voor een product line of een marktgebied. Hij of zij kent de klant en het product goed en weet wat er moet gebeuren. Wederom is dit excellent aan de voorkant van een productcyclus. Maar pas op, bij veel klanten zien we ‘proxy’ product owners die zelf niet verantwoordelijk zijn voor een product line of marktgebied. En daarmee heb je in agile een complexe demand-supply-keten geïntroduceerd.

De spagaat van IT

IT bevindt zich in een meervoudige spagaat. Enerzijds moeten dagelijks stabiliteit, continuïteit en veiligheid worden geleverd tegen marktconforme kosten. Anderzijds zijn verandersnelheid, commercieel inzicht en innovatie vereist. Hoe neem je als CxO hier je bestuurlijke verantwoordelijkheid? Hoe krijg je inzicht in alle KPI’s, hoe stuur je op een juiste balans hierin? En hoe krijg je inzicht in de effectiviteit van getroffen maatregelen?

Er bestaan geen echte shortcuts naar innovatie. Stap niet in de valkuil om alleen op één van de genoemde KPI’s te sturen. Alleen agile, alleen de klant centraal stellen of alleen business-centric IT is niet genoeg. Breng alle productlijnen in beeld. Alle belangen moeten in balans zijn; niet één model is leidend. Bepaal per productlijn de juiste stuurvariabelen. En bestuur IT aan de hand van al die stuurvariabelen. Ingewikkeld? Zeker weten. Maar het is de enige manier om alle belangen te dienen zonder de doelen uit het oog te verliezen.

Om je hierbij te ondersteunen, heeft Metri een omgeving waarin je zowel je innovatieplannen kunt plotten, de resultaten (‘business benefits’) kunt vastleggen als de actuele stand en de effecten van doorgevoerde maatregelen kunt monitoren. Deze kun je vervolgens visualiseren voor de CFO en CEO, zodat veranderingen de broodnodige vaart krijgen.

Wil je meer weten?

Vul onderstaand formulier in om zelf een afspraak in te plannen voor een vrijblijvend gesprek. Kom je er niet uit? Bel ons dan op 020 655 1777.