De beoordelingen van grote ICT-projecten door het BIT zijn niet mals. Projecten blijken niet goed doordacht, beginnen te groot, complexe risico’s worden te veel ‘naar achteren’ geschoven, of men worstelt met de agile-aanpak. Bureaumanager Cokky Hilhorst wil graag de expertise van het BIT inzetten zodat er een constructief gesprek ontstaat over de haalbaarheid van een project. “Kom bij ons langs!”
Cokky Hilhorst, sinds begin 2016 bureaumanager van het Bureau ICT-Toetsing: “Men ervaart het BIT-advies soms als een openbaar functioneringsgesprek”
Het Bureau ICT-Toetsing (BIT) werd halverwege 2015 opgericht nadat de commissie-Elias concludeerde dat de grote ICT-projecten van het rijk wel erg vaak uit de bocht vlogen. De kritiek op de opzet was niet mals. Het zou een ‘BIT zonder bite’ worden, een nieuwe ambtelijke entiteit die niet het recht kreeg bij de grote en kostbare ICT-projecten op de ‘stopknop’ te drukken. Inmiddels heeft het BIT een vijftiental adviezen verstrekt, over bijvoorbeeld projecten als Omgevingsloket 3.0, Zelfbediening Justitiabelen, eID en Vernieuwing C2000. De opdrachtgevers worden vaak niet gespaard, met termen als ‘uitvoering niet goed doordacht’, ‘geen solide business case’ of ‘tijdpad zeer krap’. De departementen zijn nog steeds eindverantwoordelijk voor de projecten, maar een stevig openbaar BIT-advies is moeilijk in de wind te slaan. Dat merkt ook Cokky Hilhorst, sinds begin 2016 bureaumanager van het Bureau ICT-Toetsing, die het steeds drukker krijgt. Momenteel zitten er tien BIT-adviezen in de pijplijn.
Zijn er al nieuwe ICT-rampen voorkomen sinds de instelling van het BIT?
“Toen het BIT werd gestart, was er veel scepsis. ‘Hoe kan het nu dat een partij van tevoren gaat kijken of een project wel of niet slaagt?’ Er waren hoge verwachtingen en mensen die er negatief tegenover stonden. Nu denk ik dat het BIT er wel staat. We hebben de kennis en expertise om die toetsen op hoog niveau te doen. De departementen en het BIT moeten nog een beetje aan elkaar wennen. We hebben als BIT wel een positie doordat adviezen naar de Kamer gaan. Dat geeft verantwoordelijkheid. Ik denk dat de adviezen die we nu hebben afgegeven heel serieus worden opgepakt. Dit blijkt uit evaluerende gesprekken met de opdrachtgevers een paar maanden nadat ze een advies hebben gehad. En die gesprekken zijn over het algemeen positief. Zij zeggen: door het BIT gaan we van tevoren beter nadenken. Dus of we rampen hebben voorkomen? We geven stevige adviezen en het is aan de departementen die ter harte te nemen en daarmee zelf aan de slag te gaan.”
En doen ze dat ook?
“Uit de bestuurlijke reacties op de adviezen blijkt toch vaak dat ze veel uit het advies overnemen. Die verantwoordelijkheid ligt bij de departementen en die volgen we daarbij in principe ook niet. Maar als we de indruk krijgen dat men gewoon op hetzelfde spoor doorgaat, dan kunnen we wel nog een keer langskomen. En natuurlijk maken we weerstand mee. Het is vaak een stevige risico-opsomming die we maken. Maar tegelijkertijd zijn die risico’s inherent aan ICT-projecten.”
Ingewikkelde risico’s worden vaak naar achteren geschoven
De kritiek in de adviezen is vaak pittig, met flink wat risicofactoren. Merkt u dat komst van het BIT met vrees tegemoet wordt gezien?
“Soms wel. In principe vindt een ambtenaar het nooit prettig om zijn eigen minister in verlegenheid te brengen. Een BITadvies is over het algemeen kritisch. En een minister heeft dan wat uit te leggen, dus dat ligt gevoelig. Tegelijkertijd zie je ook dat departementen die vaker gebruik maken van BIT-adviezen zeggen dat het heel goed werkt omdat ze juist vooraf beter gaan nadenken over hoe het in elkaar moet zitten en wat het BIT ervan zou vinden. De wijze waarop ze met het BIT omgaan varieert per departement. Het BIT-advies wordt door sommige opdrachtgevers ervaren als een soort openbaar functioneringsgesprek vooraf. Als je eenmaal op een rijdende trein van een project zit, is het veel moeilijker om bij te sturen, terwijl als je vooraf een BIT-toets doet op versie 0.9 van een projectplan, het veel makkelijker is om nog dingen aan te passen. En omdat het openbaar is, is het niet als een rapport van welke externe partij dan ook, waarbij je kunt zeggen ‘we zien wel of we er wat mee doen’.”
Is er al een rode draad te herkennen in wat er bij de tot dusver onderzochte projecten foutgaat?
“We zijn erover aan het nadenken of we daar al iets zinnigs over kunnen zeggen. Een belangrijke constatering is hoe dan ook: projecten met een grote IT-component zijn inherent risicovol. Bij de onderzochte projecten zie je dat vaak de ingewikkelde risico’s naar achteren worden geschoven, terwijl je die juist zoveel mogelijk naar voren zou moeten halen om te zorgen dat ze ook daadwerkelijk kunnen worden opgelost om een werkend product of een werkbare situatie te realiseren. Ik merk ook dat we bij de overheid worstelen met het onderwerp agile. Ooit was het adagium ‘we lossen dat werkendeweg wel op’. Dat zie je nu vervangen worden door ‘we werken agile, dus we plannen niet zoveel’. Maar agile werken wil niet zeggen dat je zonder plan en goede overdenking te werk moet gaan.”
In het najaar van 2016 is het BIT zelf geëvalueerd. Het BIT komt daar goed uit, maar een kritiekpunt was wel dat het beter af zou zijn met een grotere kern van toetsmanagers. Onderschrijft u dat?
“Ik kan me dat punt wel voorstellen. We hebben een club van maximaal vijftien mensen. Naast mijzelf zijn dat zijn vier vaste toetsmanagers met generieke expertise, vijf mensen vanuit overheid of I-interim Rijk die kunnen rouleren, en vijf externe deskundigen. Je moet een bepaald referentiekader handhaven vanwaaruit je kijkt. Daarin is diversiteit heel belangrijk, om de discussie aan te kunnen gaan. Vanuit die gedachte van het vaste referentiekader kan het lastig zijn als tien van die vijftien mensen steeds in en uitvliegen. Dan moet je ze continu weer op vlieghoogte krijgen. Maar dat betekent niet dat je die externe expertise niet nodig hebt. Ik zorg er in ieder geval voor dat de externe expertise die we inzetten per toets kan verschillen. Als het over datacentermigratie gaat, zorgen we ervoor dat er een datacenterspecialist op wordt gezet. Specifieke expertise is ook wel nodig, want we doen C2000, een basisvoorziening bij Defensie, het communicatiesysteem voor de luchtverkeersleiding, de rationalisatie van systemen bij het UWV. Als er experts in de markt zijn die de software van de systemen bij XYZ heel goed kennen, zorg ik dat die expertise in het team komt als er een toets aankomt. Maar een toetsmanager moet natuurlijk wel de generieke ICT-specialist zij die dat allemaal kan aansturen en het dan met aanvullende expertise kan oplossen.”
“Ik denk dat we ons nu meer op de opvoedkundige werking van het BIT kunnen gaan richten.”
Een ander punt uit de evaluatie was dat de opvoedende werking van het BIT nog te beperkt zou zijn. Hoe kan dat beter?
“De afgelopen periode hebben we gefocust op het neerzetten van het BIT en het kwalitatief goed uitvoeren van toetsen. Ik denk dat we ons nu meer op die opvoedkundige werking van het BIT kunnen gaan richten. Ik hoor mensen bij departementen waar ze vaker BIT-toetsen hebben al zeggen dat het BIT zijn schaduw vooruit werpt. Het feit dat er een BIT is en heel specifiek naar ICT-projecten wordt gekeken heeft al zijn werking. Maar we gaan meer doen. Er komt een jaarrapportage van alle adviezen van het BIT en ik denk dat we daar wel de thema’s aan gaan toevoegen die wij zien. We willen ook een bijeenkomst organiseren voor de CIO-offices van de departementen waar we op de positieve ontwikkelingen binnen de overheid gaan focussen, naar het voorbeeld van het Franse BIT. Die hebben eens in het jaar een dag voor CIO’s waar ze de pareltjes presenteren of de leuke thema’s naar voren halen. Bij het BIT hebben we ook onze eigen maandelijkse bijeenkomsten. We zijn echt bezig met het vergroten van de algemene kennis bij de departementen.”
Een BIT-toets is doorgaans niet de enige beoordeling. Doorkruisen bijvoorbeeld de Gateway-reviews de BIT-toetsen niet?
“Er is wel samenloop. Je hebt het oordeel van de CIO, de Haalbaarheidstoets van Nederland ICT, je hebt de Audit Dienst Rijk, de Algemene Rekenkamer en de Gateway review. Wij hebben daarin aangegeven dat het een samenspel is. Het is prima als de partij die wordt getoetst een algemene informatiesessie organiseert, waar bijvoorbeeld de Rekenkamer en de CIO-offices bij zitten, zodat ze minder last hebben van de druk op de agenda’s door toezicht. Dat moet in goede samenspraak gebeuren met de opdrachtgever. En projecten kunnen natuurlijk ook gewoon doorlopen terwijl wij aan het toetsen zijn. Het verschilt per departement. Sommige doen eerst een CIO-oordeel en daarna een BIT-toets, maar bijvoorbeeld het ministerie van SZW doet eerst een BIT-toets en daarna pas het CIO-oordeel zodra er iets bekend is. Dat is wel een verstandige lijn. Gateway en BIT zijn wel verschillend. Een Gateway review is echt een peer review in korte tijd. Het is onze taak om als BIT echt naar het IT-DNA van zo’n project te kijken: groeit dit kindje uit tot een leuke volwassene? Dat is een andere rol. Bij een Gateway review van bijvoorbeeld een datacenter-migratie kun je niet kijken naar welk type besturingssystemen er staat; bij een BIT-toets wel. Gateway reviews duren vier dagen en zijn gebaseerd op documentatie en gesprekken. Wij kunnen veel dieper graven als we dat nodig vinden.”
Het is onze taak om als BIT te bekijken: groeit dit kindje uit tot een leuke volwassene?
Hoe moet het BIT zich nu verder ontwikkelen?
“Het BIT wordt nu gezien als iets spannends; er is wel wat angst over de risico’s die naar boven komen. Ik zou het prettig vinden als er meer een cultuur ontstaat van transparantie waarin het als prettig wordt ervaren dat het BIT er ook naar kijkt: risico’s horen bij innovatie. Omdat je dan in ieder geval de garantie hebt dat een externe partij er nog op een kwalitatief goede wijze naar kijkt, voordat je het project echt ingaat. Dus dat het meer als een positieve aanvulling op het project wordt gezien dan als een spannende test. Dus ik zou zeggen: wees niet bang en kom bij ons langs. Iedereen die met ICT te maken heeft weet dat ICT nooit op zichzelf staat en dat aan de ontwikkelingen waarin ICT een grote rol speelt nu eenmaal inherent risico’s verbonden zijn. Het is alleen maar nuttig om een partij als de onze – met zoveel expertise aan boord – te vragen of wij een goede kwaliteitstoets kunnen doen. En start vooral klein en haal die risico’s naar voren.”
Leuk interview, zo krijgt het BIT een gezicht. Heb een aantal rapporten van het BIT gelezen en ik vond het sterke rapporten: scherp, kritisch, compact en constructief met goede adviezen.
Maar heeft het effect? Ik herinner me een rapport over het BRP (basisregistratie personen) project en dat was een welhaast vernietigend rapport. Ik heb ook de reactie vanuit het project en de minister gelezen. Samenvattend was de reactie, BIT bedankt, we nemen het mee, alles gaat op rolletjes en het BIT geeft zijn zegen. Hoe een kritisch rapport strandt in de organisatiecultuur en de politieke realiteit. Het BIT moet dus maar hopen dat er iets mee gedaan wordt.
Heb ook kritiek. Zo miste ik in de rapporten die ik las een technische component. Niet onbelangrijk.
Het BIT is er voor om te toetsen maar ik zou ook graag eens lezen wat de visie van het BIT op ICT en overheid is. Een visie is gewenst. Dat is het beeld dat wat mij betreft naar voren komt uit het eindrapport van de commissie Elias. De ICT cultuur bij de overheid (en niet alleen de overheid) is er een waarbij tot in essentie alles uitbesteed wordt. De uitbestedings cultuur. Van management tot uitvoering of een audit als het weer eens niet lekker loopt: alles wordt extern betrokken. Is het dan gek dat ICT met de overheid aan de loopt gaat en het bakken met geld kost? Externe partijen hebben andere belangen.
Wat mij betreft neemt de overheid zelf inhoudelijke en technische verantwoordelijkheid als het om ICT gaat. Jammer dat er met deze constatering van het commissie Elias niets is gedaan. Ik hoop dat het BIT daar ooit nog eens aandacht aan besteedt.
Goed interview, maar toch een paar opmerkingen.
In het interview staat dat de nijging bestaan het plan “BIT-proof” te maken. Echter, goedkeuring door het BIT is geen garantie voor projectsucces. Het risico bestaat dat bij het alsnog falen van een project, een deel van de schuld op het BIT afgewenteld gaat worden.
Een fundamentele weeffout is dat het BIT zich beperkt tot het project, en de risico’s voor de typische projectmaatstaven: kosten, kwaliteit en doorlooptijd. De echte maat voor succes zijn Total Lifecycle Cost, de business fit en de aanpasbaarheid van de informatiesystemen en -infrastructuren. Sturen en toetsen op deze aspecten doet de ‘agile-problemen’ verdwijnen als sneeuw voor de zon…
Leuk interview. Ik ben zelf betrokken geweest bij een tweetal onderzoeken (aan de onderzochte kant) en was onder de indruk van de effectieve audittechniek van de onderzoekers. Ik geloof in het heilzame karakter van een dergelijk orgaan. Ik vind het dan ook jammer dat het BIT in z’n huidige vorm niet wordt voorgezet.
Dat sluit verbeterpunten niet uit. Met Louis Kossen zou ook ik graag zien dat techneuten wat meer aan het woord komen in de adviezen. Bestuurders mogen dan wel verantwoordelijk zijn, maar aan het eind van de dag zijn het de techneuten die moeten zorgen voor correcte data, veilige ontsluiting, aanpasbare dienstverlening en wat dies meer zij. Veel grote technische risico’s heeft het BIT niet gezien in de projecten die ik zelf ken. Dat heeft een geloofwaardigheidsprobleem bij de onderzochte partijen veroorzaakt.
Naast de gebruikelijke dingen zou ik in BIT-adviezen graag beantwoord willen zien:
* is de juiste deskundigheid in positie om de klus te klaren?
* is het professionele gedrag in en om “het project” aanwezig om vertrouwen te kunnen hebben in een goede afloop van het traject?