Gateway-review van grote ICT-projecten bij de Rijksoverheid

Gateway-review van grote ICT-projecten bij de Rijksoverheidd
Het Bureau Gateway van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties voert Gateway-reviews uit van grote ICT-projecten, met als doel de slagingskans van dergelijke projecten te vergroten. ICT-projecten bij de Rijksoverheid verlopen namelijk vaak moeizaam. Er is sprake van vertraging, overschrijding van budgetten en gebrekkige functionaliteit. De auteur zet uiteen wat de relatie is tussen de Gateway-methode en andere methoden voor risicomanagement.
De Rijksoverheid is verantwoordelijk voor de opstelling, uitvoering en handhaving van nationale wetgeving. Hiertoe is de Rijksoverheid onderverdeeld in elf ministeries, waar in totaal circa 250.000 personen werkzaam zijn. ICT is van groot belang voor het effectief en efficiënt functioneren van de Rijksoverheid. Dit is niet alleen van belang voor de interne bedrijfsvoering, maar ook voor het realiseren van informatiesystemen met een externe werking. Hierbij kan worden gedacht aan de systemen van de Belastingdienst, verkeersinformatiesystemen en het elektronisch patiëntendossier. Deze systemen hebben een landelijke dekking, kennen een groot aantal gebruikers en vergen omvangrijke budgetten voor bouw, onderhoud en exploitatie. De bouw van dergelijke systemen verloopt meestal moeizaam. Vertraging, overschrijding van budgetten en gebrekkige functionaliteit zijn veelvoorkomende verschijnselen. In 2009 heeft dit geleid tot een rapportageplicht aan het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. In eerste instantie beperkte het ministerie van BZK zich tot registratie van de voortgangsrapportages en doorgeleiding hiervan naar het parlement. Toen deze procedure werd uitgevoerd, ontstond behoefte aan meer inzicht in problemen, mogelijkheden en risico’s. Om dit inzicht te verkrijgen werd bij het ministerie van BZK het Bureau Gateway opgericht. Dit bureau beschikt over een licentie op de Gateway-review, die door de Engelse overheid is ontwikkeld om de slagingskans van grote ICT-projecten te verbeteren. Eigenaren van grote ICT-projecten kunnen dit bureau verzoeken een review uit te voeren. Gateway wordt toegepast bij projecten met een minimale omvang van 5 miljoen euro. Ten behoeve van de uitvoering van een Gateway-review wordt een reviewteam ingesteld bestaande uit een vijftal hooggekwalificeerde professionals die op peer-to-peerbasis de review uitvoeren.
Een Gateway-review wordt in een week uitgevoerd om ongewenste beïnvloeding van betrokkenen te voorkomen. Allereerst vindt een intake plaats. Vervolgens wordt de documentatie bestudeerd. Ook worden diepte-interviews gevoerd met circa 25 sleutelfunctionarissen. Een peer to-peerbenadering vergroot de kans op succesvol risicomanagement. Inbreng van vereiste deskundigheid is dan mogelijk, terwijl ook ongewenste vermenging van belangen wordt voorkomen. In dit artikel wordt onderzocht wat de relatie is tussen Gateway en andere methoden voor risicomanagement. De belangrijkste conclusie is dat Gateway het accent legt op strategische, economische en bestuurlijke aspecten, terwijl bij risicomanagement van kleine en middelgrote ICT-projecten ook aandacht wordt besteed aan sociale, technische en organisatorische aspecten.
ICT-projecten bij de Rijksoverheid
De Rijksoverheid telt sinds het aantreden van het kabinet-Rutte elf ministeries. Deze verschillen sterk wat betreft taken, omvang en informatievoorziening. Informatie vervult echter een cruciale rol bij alle ministeries. Regelmatig is de bouw aan de orde van zeer grote systemen, zeker als het gaat om voorzieningen gericht op de Nederlandse samenleving zoals het elektronisch patiëntendossier en de verschillende basisregistraties. Ministeries zijn autonoom en bepalen naar eigen inzicht de inrichting van hun informatievoorziening. Vier ministeries zijn verreweg het grootste, te weten Financiën met de Belastingdienst, Defensie met de krijgsmachtdelen, Veiligheid en Justitie met de justitiële inrichtingen en het Openbaar Ministerie, en Binnenlandse Zaken en Koninkrijksrelaties met de politie (zie figuur 1). In de periode 2000 tot 2013 zullen 65 zeer grote ICT-projecten worden uitgevoerd met een gemiddelde projectomvang van 60 miljoen euro.
 
Figuur 1. Grote ICT-projecten bij de Rijksoverheid (ministerie van BZK, 2011)
 
De grote ICT-projecten van het Rijk hebben een stimulerend effect op het gebruik van ICT-voorzieningen in de maatschappij. Het benaderen van websites van de overheid voor het verkrijgen van informatie, het aanvragen van vergunningen en het indienen van belastingaangiften is de gewoonste zaak van de wereld.
Slagingskans ICT-projecten
De slagingskans van ICT-projecten is al jarenlang laag. Uit de jaarlijks uitgebrachte ICT Barometer van Ernst & Young blijkt dat het aantal succesvolle ICT-trajecten beperkt is. Een tiental jaren geleden was het aantal succesvolle trajecten heel beperkt, te weten circa een vijfde van het aantal gestarte projecten. Tegenwoordig is de score beter, maar nog steeds voor verbetering vatbaar. Ongeveer een derde van het aantal gestarte projecten kan als succesvol worden beschouwd. Een derde kan als mislukt worden beschouwd omdat niet de beoogde doelen worden gerealiseerd en een derde heeft geen duidelijke toegevoegde waarde. De Standish Group (2009) heeft geconstateerd dat er een relatie bestaat tussen de omvang van een ICT-project en de kans op succesvolle realisatie. Een project met een investeringsbudget van 100.000 euro heeft een slagingskans van 50 procent, een project met een budget van 500.000 heeft een slagingskans van 25 procent en een project met een budget van enkele miljoenen euro’s heeft vrijwel geen slagingskans. Hoe groter een ICT-project is, des te kleiner is de kans op succesvolle realisatie. De kans op succesvolle realisatie is groter naarmate de ICT-voorziening beter binnen de bestaande architectuur past. Wanneer gebruik kan worden gemaakt van bestaande kennis, opgebouwde ervaring en aanwezige voorzieningen, neemt de kans toe dat het ICT-project wordt gerealiseerd conform beoogde doelstellingen, afgesproken budget en vastgestelde deadlines. Soms is zelfs mede- of hergebruik mogelijk van bestaande voorzieningen. Dit vergroot de kans op succesvolle realisatie. Hoe meer een nieuwe voorziening afwijkt van reeds bestaande en in gebruik zijnde voorzieningen, des te groter wordt de kans op risico’s. Onderzoek van Ernst & Young laat zien dat verschillende mogelijkheden worden onderkend om de slagingskans van ICT-projecten te vergroten, zoals blijkt uit het overzicht in figuur 2.
Figuur 2. Verbetermogelijkheden van ICT (Ernst & Young, 2011)
 
Managers hebben meestal een achtergrond in economie, rechten of techniek. Dat maakt het voor de meeste managers bijzonder lastig om hun verantwoordelijkheden op ICT-gebied adequaat in te vullen. Zij hoeven zich echter niet voor alle aspecten van hun ICT-voorzieningen even verantwoordelijk te voelen. Het eigenaarschap van ICT-voorzieningen kan namelijk naar enkele aspecten worden onderverdeeld: het fysieke aspect, het conceptuele aspect en het logische aspect. De fysieke eigenaar is degene die fysiek in zijn gebouw verantwoordelijk is voor het goed functioneren van het informatiesysteem. De conceptuele eigenaar is degene die het systeem heeft bedacht en ontwikkeld. De logische eigenaar is degene die het systeem nodig heeft voor het uitoefenen van zijn verantwoordelijkheden, de functionaliteit bepaalt en de kosten ervan betaalt. Het conceptuele en het fysieke eigenaarschap kunnen worden overgedragen aan anderen. Het logische eigenaarschap is inherent een onderdeel van de verantwoordelijkheden van een manager van een organisatie. Naarmate een ICT-voorziening groter is, ligt het meer voor de hand het fysieke en het conceptuele eigenaarschap te scheiden van het logische eigenaarschap en over te dragen aan een externe gespecialiseerde instantie. Dit ligt zeker voor de hand bij zeer grote ICT-projecten, waarvan in dit kader sprake is. Daarmee wordt de problematiek verbonden aan het eigenaarschap van een ICT-project beperkt. In het kader van governance spelen kritieke prestatie-indicatoren (KPI’s) een belangrijke rol. Hierbij kan worden gedacht aan sociale, technische, organisatorische, economische en bestuurlijke aspecten. Met deze KPI’s zijn herkenbare stakeholders verbonden. Met het sociale aspect zijn bijvoorbeeld de gebruikers te associëren, zoals gegevensinbrengers, gegevensverwerkers en gegevensraadplegers. Het technische aspect is herkenbaar in functies als projectleider, systeemontwerper, informatieanalist en programmeur. Het organisatieaspect kan worden teruggevonden bij de bestaande ICT-organisatie verantwoordelijk voor onderhoud en exploitatie, zoals netwerkbeheerder, applicatiebeheerder en databasebeheerder. Het economische aspect moet breed worden geïnterpreteerd. Hierbij spelen disciplines zoals control, hrm, huisvesting, EDP-auditing en informatiearchitectuur een rol. Bestuurlijke aspecten kunnen worden teruggevonden bij de afdelingsmanager, concernmanager en vertegenwoordigers van de medewerkers. Bij heel grote ICT-projecten gaat het om de hoofdlijnen en minder om de technische details. Overleg zal zich dan toespitsen op bestuurlijke, economische en strategische aspecten en zal vooral plaatsvinden op managementniveau.
Per levensfase van ICT-voorzieningen komen verschillende aspecten aan de orde. De initiatiefase vormt het begin en wordt gekenmerkt door het reserveren van budgetten voor de uitvoering van daadwerkelijke activiteiten wellicht een jaar later. Reeds dan is het zinvol vast te stellen in hoeverre de gepresenteerde ideeën realistisch zijn en kan risicoanalyse helpen om tot optimale invulling van het project te komen. Vervolgens breekt een fase aan van planvorming, waarin concreet het informatieplan wordt opgesteld, op grond waarvan feitelijke bouw gaat plaatsvinden. Wanneer is ingestemd met dit plan, kan de bouw van start gaan. In deze fase is sprake van een groot aantal uiteenlopende disciplines en wordt veel geld besteed aan hardware, software en diensten. Na voltooiing van de bouw breekt de gebruiksfase aan, gekenmerkt door exploitatie, beheer en onderhoud. Deze fase kan zich uitstrekken over vele jaren. Wanneer een informatiesysteem deel uitmaakt van een keten, moet opname in deze keten plaatsvinden. Uiteindelijk kan een organisatie besluiten de zorg voor een systeem volledig extern te beleggen. Dit is de outsourcingfase. Een check op risico’s aan het begin van iedere nieuwe fase kan bijdragen aan succesvolle realisatie van die fase. Bij heel grote ICT-projecten mag worden verwacht dat zij grote invloed hebben op hun omgeving, niet alleen in functionele zin, maar ook in technische, personele en fysieke zin. Het is in dergelijke situaties wellicht zinvol om het accent te leggen op strategische, bestuurlijke en economische aspecten. De overige aspecten worden in sterke mate bepaald door het project en zijn daarmee volgend.
Uitvoering van risicomanagement
Risicomanagement kan op verschillende wijzen worden uitgevoerd: door de manager, de projectleider, de controller, de EDP-auditor, een externe expert en op interactieve wijze. Aan elk van deze benaderingswijzen zijn voor- en nadelen verbonden (zie figuur 3). Managers zijn erin geïnteresseerd dat de geïnvesteerde gelden zo snel mogelijk tot beoogde resultaten leiden. Zij hebben in het algemeen echter weinig kennis van zaken als het gaat om ICT. Hierdoor kunnen zij geen prioriteiten stellen, geen verbanden leggen met andere ontwikkelingen en ICT-professionals slecht begrijpen. Managers kiezen er dan ook vaak voor de projectleider te vragen een risicoanalyse te maken. Deze weet alles van het traject en moet dat zonder al te veel moeite kunnen. Dat is een begrijpelijke maar onjuiste gedachte. Een projectleider heeft namelijk belang bij continuering van een project. Hoe langer een project duurt, des te beter is het inkomen van de projectleider. Dit leidt tot een te positieve weging van goed onderkende risico’s. Ook een controller, bij wie de verantwoordelijkheid berust voor het beschikbaar stellen van budgetten, kan een toets uitvoeren. Kennis van ICT ontbreekt echter meestal, waardoor resultaten van een toets gebrekkig zijn. Dat geldt niet voor een EDP-auditor. Deze functionaris wordt echter meestal pas bij een traject betrokken na afronding ervan. Dan zijn verstandige constateringen weliswaar interessant, maar zij voegen weinig toe. Ook een externe expert kan worden verzocht een analyse uit te voeren. Deze interviews voegen weinig toe. Bovendien werkt dit proces vertragend en leidt het niet tot begrip. Een interactief proces verdient de voorkeur. Bij vertegenwoordigers van de stakeholders is vereiste kennis en inzicht aanwezig.
Figuur 3. Verschillende risicoanalysemethoden
 
De risico’s die zich het meest blijken voor te doen, zijn persoonsgebonden. Het betreft de manager, de projectleider en de gebruiker. Deze hebben ieder hun specifieke tekortkomingen die het succes van een project ernstig in de weg kunnen staan. Hierbij kan worden gedacht aan het feit dat managers vaak slecht in staat zijn de relatie te leggen tussen ICT-projecten en andere veranderingen binnen hun organisatie. Bovendien hebben zij meestal weinig kennis op ICT-gebied, waardoor zij moeilijk prioriteiten kunnen stellen. Ook kunnen er als gevolg van ICT veranderingen optreden in de pikorde binnen een organisatie. Dit beïnvloedt relaties en niet iedere manager kan hier goed mee omgaan. Voor de projectleider geldt dat hij altijd eigenbelang heeft bij continuïteit van het project. Zijn risicowaardering zal dan ook altijd zodanig zijn dat continuïteit gewaarborgd is. Bovendien weet niet iedere projectleider goed in te schatten wat het belang is van ICT voor het primaire proces. De gebruiker heeft vaak angst voor verandering. Dat kan leiden tot verlies van zijn functie, status of autonomie. Ook zijn de meeste gebruikers niet blij met allemaal externen in de organisatie die hun werk overnemen of aanleiding zijn voor extra werk. Het mensgebonden karakter van deze factoren maakt risicomanagement lastig. Hoe de genoemde aspecten zichtbaar worden en hoe ze worden opgelost zijn belangrijke vragen. Bovendien zijn de manager en projectleider cruciaal voor het project. Bij zeer omvangrijke en complexe projecten is de interactieve risicoanalyse dan ook niet toereikend. Het is dan verstandig een peer-to-peerbenadering te hanteren. Managers en projectleiders worden dan op gelijkwaardig niveau aangesproken door ervaren en hoogwaardige tegenspelers.
Gateway-review
Ook in andere landen worden informatiesystemen gemaakt bedoeld voor de maatschappij als geheel. In die landen worden dezelfde problemen ervaren als in Nederland. In Engeland heeft men om die problemen het hoofd te bieden de Gatewaymethode ontwikkeld. Deze methode is bedoeld voor omvangrijke en complexe ICT-projecten met een omvang van minimaal 5 miljoen euro. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft een licentie op deze methode verkregen. Eigenaren van informatiesystemen die aan de gehanteerde criteria voldoen, kunnen het Bureau Gateway van BZK verzoeken een review op hun systeem uit te voeren. Sinds 2009 worden jaarlijks enkele tientallen reviews door Gateway verzorgd.
Naarmate een review eerder in de levensloop van een ICT-project wordt uitgevoerd, zijn er meer mogelijkheden tot bijstelling. ICT-projecten doorlopen namelijk verschillende levensfasen en naarmate de ontwikkeling verder is gevorderd, is het moeilijker om bijstellingen in een project aan te brengen. Voorafgaand aan of na voltooiing van een levensfase kan een Gateway-review plaatsvinden om vast te stellen of voortzetting op succesvolle wijze mogelijk is.
Voor iedere review wordt een reviewteam samengesteld. Een dergelijk team bestaat uit hooggekwalificeerde functionarissen die ervaring hebben met soortgelijke trajecten en affiniteit hebben met het onderwerp. Dit team telt meestal vijf professionals en heeft een week ter beschikking voor het uitvoeren van de review. Dit zeer korte tijdsbestek is van belang om te voorkomen dat betrokkenen bij de review te veel contact hebben over het onderwerp, met ongewenste beïnvloeding van de betrokkenen als gevolg.
Het team bestudeert de beschikbare documentatie. Voorts wordt de governance bezien. In een week tijd worden diepte-interviews gehouden met circa 25 betrokken sleutelfunctionarissen. Dit is een zware opgave, maar een dergelijk korte periode is van belang om onderlinge beïnvloeding te voorkomen. De uitkomsten van het onderzoek zijn confidentieel. Jaarlijks voert het Bureau Gateway een dertigtal onderzoeken uit. Deze resultaten leiden tot vermindering van risico’s, vergroting van de kans op succesvolle realisatie en lagere kosten. Analyse van de aspecten die tijdens een Gatewayreview aan de orde komen, laat zien dat het accent sterk ligt op strategische, bestuurlijke en economische aspecten. Gateway onderscheidt namelijk de volgende invalshoeken: strategische beoordeling van programma’s, zakelijke rechtvaardiging, verwervings-en veranderingsstrategie, investeringsbeslissing, gereed voor dienstverlening, evaluatie en resultaten.
Bij strategische beoordeling wordt aandacht besteed aan vragen als ‘waarom moeten we het programma leveren?’ en ‘waarom moet het nu?’ Ook de strategische aansluiting bij andere geplande programma’s of projecten is van belang. Tevens speelt de brede organisatorische of openbaresectorstrategie een rol. De belangrijkste belanghebbenden komen aan de orde, alsmede de factoren die tot succes leiden. Het realiteitsgehalte van de planning is cruciaal, evenals het inzicht in risico’s en de wijze waarop hiermee kan worden omgegaan. De beschikbaarheid van financiële, personele en materiële middelen kan niet worden verwaarloosd. De planning van vereiste beheerreviews speelt ook een rol. In het verlengde hiervan vindt de zakelijke afweging plaats. De businesscase staat hierbij centraal. Stemmen de belanghebbenden in met het project? Het identificeren van de kritieke succesfactoren en de gewenste voordelen is eveneens van belang. Zijn verschillende alternatieven bestudeerd alvorens tot een optimale keuze te komen? Ook de betrokkenheid van marktpartijen komt hierbij aan de orde.
Naast deze aspecten speelt de verwervings- en veranderingsstrategie een rol. Het realiteitsgehalte van inschattingen, planningen en veronderstellingen komt hierbij naar voren. Ook de betrouwbaarheid van leveranciers is van belang. De vereiste deskundigheden moeten in voldoende mate aanwezig zijn. Hierbij gaat het ook om de commerciële expertise voor het aansturen van de leverancier. De investeringsbeslissing vereist ook aandacht. In de loop van een project verschuiven de beelden namelijk ten aanzien van kosten en baten. Met enige regelmaat dient te worden vastgesteld of deze nog met elkaar in evenwicht zijn. Dit geldt ook voor de doelstellingen, die ook kunnen veranderen tijdens de loop van het project. Implementatie van faciliteiten vereist een zorgvuldige benadering, ook van belanghebbenden. Op een gegeven moment gaat de dienstverlening van start. Er moeten financiele en juridische afspraken zijn gemaakt met de leverancier. Er moet in testen zijn voorzien om vast te stellen of de dienstverlening plaatsvindt zoals beoogd. Geven de opgedane ervaringen aanleiding tot het trekken van lessen? Wanneer het systeem correct functioneert en de projectfase afgesloten is, breekt het moment aan voor evaluatie. Vragen als ‘hoe liepen de processen?’ en ‘zijn alle betrokkenen ook daadwerkelijk geïnformeerd’ spelen hierbij een rol.
De aspecten die in een Gateway-review aan de orde komen, zijn zonder meer belangrijk. Het is echter de vraag of deze voldoende zijn. Bij ICT-projecten worden in het algemeen vijf KPI’s onderscheiden, namelijk sociaal, technisch, organisatorisch, economisch en bestuurlijk. Bij Gateway wordt blijkbaar weinig aandacht besteed aan de sociale, technische en organisatorische componenten. Bij heel grote projecten, waarvan sprake is in Gateway-reviews, zijn deze componenten wellicht minder relevant. Dergelijke projecten hoeven niet per se in de bestaande architectuur te worden opgenomen. Dat geldt zowel voor technische als personele aspecten. Alles wordt speciaal gecreëerd voor het nieuwe informatiesysteem. In dergelijke situaties kan blijkbaar worden volstaan met strategisch en bestuurlijk getinte aspecten.
Na iedere review vindt een evaluatie plaats van de ervaringen van de leden van het reviewteam en die van de betrokkenen bij het onderzochte project. Deze evaluaties laten zien dat zowel reviewers als gereviewden de review als positief hebben ervaren. Beide partijen blijken tijdens het proces nieuwe ideeën en ervaringen op te doen. De opgedane ervaringen zijn zo positief dat het aantal belangstellenden voor een review gestaag groeit. Niet alleen bewijst Gateway zijn nut voor heel grote projecten, maar naar verwachting ook voor de veelheid van projecten die net wat kleiner zijn dan de huidige ondergrens. Ook kan het bereik van de methode worden uitgebreid naar andere overheden. Thans zijn het projecten van de Rijksoverheid die aan bod komen. Er zijn natuurlijk ook projecten bij provincies en gemeenten die dermate groot en complex zijn dat zij voor een Gateway-review geschikt zijn.
Conclusies
Karakter van Gateway-review
Enkele tientallen projecten passeren jaarlijks de revue. Het accent ligt hierbij op strategische, economische en bestuurlijke aspecten. De dominantie van de desbetreffende projecten is zo groot dat zij bepalend zijn voor de sociale, technische en organisatorische randvoorwaarden.
Kosten en baten
De kosten van Gateway zijn beperkt, zij omvatten de kosten van het bureau Gateway en de kosten van deelnemers aan het reviewteam en de diepteinterviews. De baten zijn echter fors. Als slechts in een klein deel van de gevallen mislukking kan worden voorkomen, heeft dit al een impact van vele miljoenen euro’s.
Toepasbaarheid
Momenteel zijn enkele tientallen reviews met succes uitgevoerd op rijksniveau. De resultaten van het Gateway-proces zijn vertrouwelijk. De evaluaties laten echter zien dat zowel reviewers als gereviewden de Gateway-review positief waarderen. Het ligt in de rede de grens voor Gateway te verlagen en de review ook open te stellen voor andere overheden, zoals provincies, gemeenten en waterschappen.
Reviewer Prof. Chris Verhoef
Literatuur
Chapman, C. & S. Ward (2003). Project Risk Management: Processes, Technique and Insights. Hoboken: John Wiley. Clinger Cohen Act.
COBIT Steering Committee (1995). Framework Control Objectives for ICT and Related Technology. Information Systems Audit and Control Foundation, Illinois.
Ernst & Young (2009). ICT Barometer 2009.
Ernst & Young (2011). ICT Barometer 2011.
Kurzweil, R. (1998). The Age of Spiritual Machines. New York: Viking.
Looijen, M. (1998). Information Systems: Management Control and Maintenance. Den Haag: Sdu.
Sarbanes Oxley Act.
Standish Group (2009). CHAOS Summary 2009.
Vries, E.B. de (2011). Creating Value in Organizations. Den Haag: Sdu.
Wheelen, T.L. & J.D. Hunger (2008). Strategic Management and Business Policy. Londen: Pearson Education.
Eli de Vries is senior strateeg bij het ministerie van Infrastructuur en Milieu. E-mail: eli.devries@minienm.nl.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag