Iedereen maakt fouten, maar als een CIO het verprutst, kunnen de gevolgen verwoestend zijn voor de aanstichter, maar ook voor de hele IT-afdeling en onderneming.
IT-governance moet goed gedefinieerd zijn, duidelijk worden begrepen en worden geleid door principes die de missie, visie en strategie van uw organisatie weerspiegelen, adviseert Donna Bales, hoofdonderzoeksdirecteur bij Info-Tech Research Group. “Goed bestuur moet individuen delegeren en in staat stellen om gedefinieerde resultaten te leveren die de richting van de organisatie ondersteunen.”
Ondanks de inspanningen van CIO’s zijn er echter een bijna eindeloos aantal valkuilen op het gebied van IT-governance. Het is vooral belangrijk om de volgende zeven veelvoorkomende fouten in de gaten te houden die zelfs de meest voorzichtige IT-leider kunnen bijten.
1. Geen gelijke tred houden met veranderende zakelijke prioriteiten
Bedrijfspraktijken en prioriteiten verschuiven vaak om tegemoet te komen aan opkomende technologieën, klantverwachtingen en eisen op het gebied van product- en servicelevering. “Het is van cruciaal belang dat het bestuur tegelijkertijd verandert om op één lijn te blijven en effectief te blijven”, waarschuwt Bales. “Organisaties herkennen dit vaak niet [need] en zelden het bestuur willen veranderen als het eenmaal op zijn plaats is.”
De governance moet worden ontworpen met aanpasbaarheid in het achterhoofd om ervoor te zorgen dat IT in lijn blijft met de bedrijfsdoelstellingen, voortdurend waarde levert en de organisatie effectief beschermt tegen potentiële risico’s, zegt Bales. “Effectieve governance zorgt ervoor dat de juiste technologie-investeringen op het juiste moment worden gedaan om organisatorische veranderingen te ondersteunen en succesvolle bedrijfsresultaten mogelijk te maken”, voegt ze eraan toe.
Governance moet deel uitmaken van het DNA van uw organisatie – het is essentieel om uniek te zijn voor uw organisatie, zegt Bales. “Uw bestuursstructuur moet dynamisch zijn en [designed to] identificeer triggers die een herziening kunnen oproepen, en de effectiviteit ervan moet constant worden gemeten, zodat deze relevant blijft.”
2. Slechte risicoplanning
CIO’s lanceren vaak strategische initiatieven zonder alle risico’s volledig in overweging te nemen. “Dit leidt tot het toevoegen van governance als een bijzaak in plaats van het gebruik van een governance-methodologie als een integraal onderdeel van een risicobeheerprogramma”, zegt Scott Perry, principal voor crypto- en digitale vertrouwensdiensten bij Schellman, een wereldwijde cybersecurity-beoordelaar. “Tegen die tijd zijn bestuursstructuren overhaast en verliezen risicobeperkende maatregelen hun effectiviteit.”
Maar al te vaak worden kritische initiatieven door CIO’s doorgevoerd zonder volledig te begrijpen of het systeem in staat zal zijn om zijn strategische doelstellingen te bereiken. “Dit kan risico’s met zich meebrengen, zoals technische kwetsbaarheden, uptimebeperkingen, onjuiste continuïteit en afwijzing van klanten”, waarschuwt Perry. Het is essentieel om deze risico’s vroeg in het proces goed te identificeren en ze aan te pakken met een georganiseerd proces voor risicobeperking als onderdeel van een algemeen governanceprogramma.
Perry stelt voor om een toezichtprogramma in te stellen dat risicobeoordeling omvat, governancevereisten die zijn vastgesteld om beheersbare risico’s te beperken, en interne en externe auditprogramma’s om de effectiviteit van de naleving van de governancevereisten te meten. Hij raadt ook aan een restrisico-evaluatie uit te voeren om eventuele resterende risicoblootstellingen te bepalen, evenals een programma-feedbacklus.
3. Onvoldoende operationeel zicht
Hoewel de meeste CIO’s al een volledig en gedetailleerd governanceplan hebben opgesteld, missen veel IT-leiders de operationele zichtbaarheid die nodig is om de acceptatie en praktijk van hun organisatie van specifiek governancebeleid en -mandaten te beoordelen. Hoewel veel CIO’s denken dat alle bedrijfsleiders gemakkelijk toegang hebben tot IT-governancebeleid en dit begrijpen, is dat echt niet zo, zegt Azadeh Dardras, Edge Center of Excellence-directeur voor business en IT-adviesbureau Capgemini Americas.
In veel gevallen werkt de IT-organisatie geïsoleerd, zegt Dardras. “Als je de context en resultaten van je bestuursbeslissingen niet begrijpt, kan je beleid een negatief effect hebben op het bedrijf”, waarschuwt ze. Als IT-governance niet alle essentiële belanghebbenden bereikt en betrekt, met name teamleden die binnen de bedrijfssegmenten van de onderneming werken, kunnen belangrijke beslissingen worden genomen zonder volledige en juiste overweging. “Dit kan ernstige gevolgen hebben voor het werk van de betrokken teams en uiteindelijk voor het bedrijf als geheel”, merkt Dardras op.
4. IT-governance niet volledig op één lijn brengen met enterprise-governance
IT-leiders streven er vaak naar om projecten zo snel mogelijk af te ronden om aan een bepaalde zakelijke behoefte te voldoen. “Hierdoor kunnen ze de bestuursteams van hun bedrijf, zoals juridische zaken, compliance en informatierisicobeheer, niet goed betrekken”, waarschuwt Brian Mannion, Chief Legal and Data Protection Officer bij Aware, leverancier van platformen voor inzichten en gegevensbeheer.
Om een mogelijke verkeerde afstemming van governance te voorkomen, moeten CIO’s hun IT-vertegenwoordigers aanmoedigen om routinematig samen te werken met hun tegenhangers op het gebied van enterprise governance. Op tactisch niveau moeten IT- en enterprise-governanceteams elkaar regelmatig informeren over nieuwe tools, evenals over nieuwe en verbeterde functies die zijn ontworpen voor bestaande tools. De teams moeten ook mogelijke oplossingen voor geïdentificeerde risico’s voorstellen en coördineren.
Er moet een standaardset van minimale controles worden vastgesteld en overeengekomen, stelt Mannion voor. “Eindelijk, [enterprise] bestuursteams moeten voldoende en technologiegericht personeel hebben om IT te ondersteunen”, zegt hij.
5. Methoden uit het verleden gebruiken om toekomstige vooruitgang te meten
Veel ondernemingen blijven hun IT-governance baseren op kosten- en prestatie-service level agreement (SLA)-statistieken. Helaas zijn deze statistieken meestal achterblijvende indicatoren.
IT-governance moet zich richten op leidende indicatoren en de investeringen en uitgaven van morgen weerspiegelen, stelt Prashant Kelker, partner voor digitale strategie en oplossingen van het wereldwijde technologieonderzoeks- en adviesbureau ISG. Een voorlopende indicator is een voorspellende meting. Voorlopende indicatoren zijn onder meer omzetgroei, omzet per klant, winstmarge, klantbehoud en klanttevredenheid.
6. Gegevens behandelen als een afvalproduct
Het is geen geheim dat data een zeer gewaardeerd bezit is geworden. Voor veel informatiegestuurde ondernemingen is data hun meest waardevolle bezit. Toch blijft een verrassend aantal organisaties data behandelen alsof het niets meer is dan een afvalproduct, stelt Chethan Laxman, digital transformation executive bij Apexon, een professionele dienstverlener op het gebied van digitale engineering in Silicon Valley.
Naarmate gegevens steeds meer de besluitvorming sturen en digitale innovaties meer bedrijfsprocessen automatiseren, worden gegevenswaarde en integriteit belangrijker. “Alle organisaties, ongeacht hun grootte of sector, moeten overschakelen van het beschouwen van gegevens als een onhandige kostenpost naar een bedrijfsmiddel dat betrouwbaar, toegankelijk, veilig en bruikbaar is”, zegt Laxman. “Nadat ze hebben geïnvesteerd in data en analyse, moeten bedrijfs- en IT-leiders nu dringend zorgen voor goed bestuur om hun doelen van operationele efficiëntie, verhoogde groei en verbeterde klantervaring te bereiken.”
7. Bedreigingen van binnenuit over het hoofd zien
De externe/hybride werkomgeving – in combinatie met een record hoog personeelsverloop – heeft bedreigingen van binnenuit tot een enorm risico voor organisaties van alle soorten en maten gemaakt.
Hoewel alle soorten bedreigingen van binnenuit potentieel schadelijk zijn, kunnen kwaadwillende werknemers en insiders die samenwerken met externe aanvallers bijzonder schadelijk zijn. “In feite besteden bedrijven gemiddeld $ 644.852 aan elk insider-incident”, zegt Kris Lahiri, CSO bij Egnyte, leverancier van contentbeveiligings- en governanceplatforms.
Lahiri stelt voor om een holistische benadering van IT-governance te hanteren, waarbij prioriteit wordt gegeven aan gegevensbeveiliging, best practices voor netwerkbeveiliging worden geïmplementeerd en cybereducatie voor gebruikers wordt gemaximaliseerd. Hij zegt dat het ook belangrijk is om diep inzicht te hebben in zowel gestructureerde als ongestructureerde gegevens om een effectief programma voor contentbeheer op te bouwen. “Als je de gegevens niet kunt zien, kun je ze niet goed beheren”, zegt Lahiri.
Lahiri raadt ook aan gegevensweergaven te centraliseren om te begrijpen welke inhoud wordt geopend en door wie. “Hierdoor kan de organisatie kwaadaardige activiteiten detecteren door alledaags gebruikersgedrag en -patronen te herkennen.”
