Podium

Opheffen BIT is risico én kans voor Rijks IT

Er komt vooralsnog geen verlenging voor het Bureau ICT-Toetsing (BIT), die in opdracht van de Tweede Kamer, grote rijksbrede IT-projecten vooraf en tijdens de looptijd controleert. De kennis en ervaring wordt de komende twee jaar overgebracht naar de CIO Offices van ministeries zelf. Deze vrijblijvende verplaatsing van de controlefunctie lijkt op het eerste gezicht desastreus. Tegelijkertijd biedt het ook tal van nieuwe kansen voor versteviging van grootschalige IT-programma’s bij de Rijksoverheid.

Beeld: Pixabay / FrankMagdelyns1

De positie van BIT als waakhond, die grote lopende en nieuwe projecten op onafhankelijke wijze screent, krijgt geen verlenging. Dat blijkt uit de ‘Strategische I-agenda Rijksdienst 2019-2021’ die minister Kasja Ollongren van BZK enkele weken terug naar de Tweede Kamer stuurde. Op zich is dit geen verrassende ingreep. Vanaf de start was bepaald dat BIT een tijdelijke organisatie is. Toch heeft deze bijna terloopse opmerking veel stof doen opwaaien, en terecht.

Gouden greep

Het was destijds een gouden greep om een derde lijn van controle toe te voegen met als enige belang de Tweede Kamer te informeren hoe grote IT-projecten werkelijk verlopen. Het was de belangrijkste aanbeveling van de commissie Elias vijf jaar terug. BIT zou tussen de 5 en 7 jaar nodig hebben om een cultuuromslag te bewerkstelligen in de opzet en aansturing van grote Rijks IT-programma’s. Meerdere onderzoeken van BIT toonden aan dat zelfs tweede lijn controles van onafhankelijke externe adviesbureaus lang niet altijd de faalfactoren van projecten boven water kregen. Zowel in vraagstelling als in de antwoorden daarop bleven in dit soort onderzoeken tal van kritische vragen onderbelicht. Er is een levensgroot risico dat de praktijk van op feiten gebaseerde en onafhankelijke feedback zoals het BIT dat doet sterk verwatert als het ondergebracht wordt bij departementale CIO offices.

Als de onderzoeken van het BIT iets duidelijk hebben gemaakt, dan is het wel dat onafhankelijk kijken naar ICT-projecten van doorslaggevend belang is voor de slagingskans. Het verschil tussen succesvolle en falende ICT-projecten zit hem erin dat in de eerste lijn, bij het programmamanagement zelf, voldoende controlemechanismes aanwezig zijn om op basis van feiten programma’s bij te sturen. Die zijn er nu vaak niet. Veelal heeft een externe leverancier onder aansturing van een ingehuurde projectmanager een te grote vrijbrief om het functioneren van een programma te beoordelen. Beiden hebben een te groot belang bij het doorgaan van het project om onafhankelijk naar de faalfactoren te kijken. Want vergis je niet: voor flink bijsturen heb je een kritische blik nodig en de nodige moed. Een voorbeeld waar het advies van BIT deze effecten had was het schrappen van het Multi Regelingen Systeem van de SVB. Een falend nieuw systeem werd niet in productie genomen en de ontwikkeling gestaakt. In plaats daarvan werd er teruggevallen op de bestaande, bewezen functionerende systemen. Is het te verwachten dat de onafhankelijke kijk vanuit een opdrachtgever zelf komt in plaats van een onafhankelijk opererende waakhond?

Basis op orde

Die kans wordt een stuk groter als de CIO offices vanuit een gezamenlijke basis gaan werken, waarbij tot op detailniveau gestandaardiseerde meetinformatie aanwezig is over productiviteit, kwaliteit en voortgang van programma’s. Succesvolle projecten hebben met elkaar gemeen dat er veel aandacht is voor de betrouwbaarheid van het systeem. Eén van de verdiensten van het BIT is dat ICT-projecten kleiner worden. Hierdoor veranderen de systemen op een meer gecontroleerde manier en blijft de betrouwbaarheid beter gewaarborgd. Maar het echt kijken naar de betrouwbaarheid van de code van systemen is nog geen gemeengoed. Bij software betekent dit dat je specialisten naar de code van applicaties laat kijken. De klantorganisaties, die deze moeite nemen, hebben een aanzienlijk grotere kans op goed werkende, samenhangende en robuuste ICT, blijkt regelmatig uit de adviespraktijk van Metri die dit soort controles veelvuldig uitvoert.

We staan niet alleen in deze mening. Professor Chris Verhoef, hoogleraar informatiesystemen aan de VU, waarschuwde voor een terugval als BIT als onafhankelijke waakhond opgeheven wordt. Toen hij de Tweede Kamer recent adviseerde over dit voorgenomen besluit, onderstreepte hij de zegeningen van een orgaan dat feitelijk en onomfloerst het parlement informeert over de risico’s van overheids IT-investeringen. Ook Verhoef noemde de transparantie op detailniveau waar BIT regelmatig op hamerde van levensbelang om de geformuleerde doelstellingen van betrouwbare, goedwerkende en samenhangende ICT voor elkaar te krijgen. Als je het aantal defecten in een applicatie per tijdseenheid consequent meet, krijg je een goed beeld van de betrouwbaarheid van het systeem en de risico’s die in deze applicatie zitten.

Juist door gedetailleerd te kijken in een breed aantal programma’s kunnen rijksoverheden leren van hun fouten en de juiste dingen doen om de betrouwbaarheid van software en data te verbeteren. Die kennis en kunde zou geborgd moeten zijn. De transparantie waar BIT regelmatig voor pleitte is juist op detailniveau van levensbelang om de geformuleerde doelstellingen van betrouwbare, goedwerkende en samenhangende ICT voor elkaar te krijgen. Dit moet doorlopend gebeuren en op een methodische manier die idealiter breed gedeeld wordt binnen de Rijksoverheid.

Deskundigheid

Zo’n centrale en gedeelde aanpak van het portfoliomanagement is niet terug te vinden in de strategische I-agenda van de Rijksoverheid. De deskundigheid die nu binnen en rondom het BIT wordt opgebouwd, kun je en moet je niet willen verdelen over dertien departementen. Het gaat om specialistische kennis die slecht past bij het profiel van de gemiddelde CIO offices die juist drijven op mensen met een meer generalistische insteek. Bovendien zullen de specialisten hun heil elders gaan zoeken als wordt aangekondigd dat hun werk voor het BIT eindig is. En dat is ontzettend jammer en een groot risico voor de Rijksoverheid. De kennis en ervaring die BIT heeft opgedaan is uniek. Dat mochten we vorig jaar zelf ervaren toen het BIT tijdens een congres van het standaardisatie intiatief voor softwaremetrieken Nesma hun bevindingen deelde over het lerende vermogen van de Rijks ICT. Hun analyse was pittig en ambitieus zoals uit dit puntenlijstje blijkt:

1. Bepaal een helder en gedragen doel. Wie veertig jaar geleden bedrijfskunde studeerde, leerde toen al dat dat belangrijk is. En toch blijkt dat in de praktijk lastig te bereiken;
2. Kies een realistische aanpak. Hier wordt – echt waar – nog te weinig naar gekeken. Experimenteer klein en tuig pas een groot project op bij een bewezen aanpak. Deze methode van stapsgewijs ontwikkelen is een van de leerpunten die nu in de praktijk gebracht wordt;
3. Zorg voor voldoende resources en een goede voortgangsbewaking. Dankzij het BIT heeft er op die bewaking een flinke verbeterslag plaatsgevonden. Dat smaakt naar meer;
4. Zorg voor een goede krachtsverhouding met externe leveranciers. Hier is nog veel werk te doen, omdat veel opdrachtgevers niet voldoende professioneel omgaan met hun demand rol;
5. Wees je bewust van de huidige status van het IT-landschap van een organisaties. Bedrijven worstelen al heel lang met hun IT-legacy en dat is voor een belangrijk deel onnodig want er zijn bewezen goede oplossingen voor dit issue;
6. Wees geen one trick pony maar neem verschillende scenario’s in overweging. Dankzij het BIT zien we dit gelukkig wel steeds vaker gebeuren. Zorg voor een plan B voor als er zaken misgaan. Veel grote veranderprogramma’s zijn zeer gebaat bij dit soort realisme.

Cultuuromslag

Het zal nog zeker een generatie duren voordat de ICT-cultuuromslag waar de commissie Elias op hoopte een feit is, voorspelde de eerder aangehaalde professor Verhoef tijdens de commissievergadering. Hij heeft gelijk. Het BIT voortijdig opheffen gaat zeker niet helpen in het maken van die mentaliteits- en gedragsverandering. Toch is er ook bij deze beleidswijziging wel een kans om zaken die door BIT geagendeerd zijn te verbeteren en een logisch vervolg te geven. Zo ligt het voor de hand om de plannen en begrotingen van IT-projecten op realisme te checken. Ook dit soort kennis en kunde zou een nieuwe vorm kunnen krijgen als een basis controlemechanisme in de eerste lijn als onderdeel van het portfoliomanagement.

Frank Vogelezang en Sytse van der Schaaf zijn werkzaam bij METRI en schreven dit artikel op persoonlijke titel.

  • P.J. Westerhof LL.M MIM | 17 maart 2019, 02:33

    “Het verschil tussen succesvolle en falende ICT-projecten zit hem erin dat in de eerste lijn, bij het programmamanagement zelf,”.
    Daar is geen spelt tussen te krijgen. Mits met ‘programmamanagement’ ook de Opdrachtgever wordt bedoeld. Want juist het ‘Goed Opdrachtgeverschap’ is dé grote faalfactor gebleken voor overheids-programma’s en -projecten.
    En juist een te grote vrijbrief voor externe leverancier en ingehuurde projectmanager is kenmerkend voor een falend opdrachtgeverschap.

    Overigens dient een programma (direct) te worden aangestuurd door een programmamanager, niet door een projectmanager zoals hierboven (abusievelijk?) vermeldt. Het verwarren van programma’s met projecten, en programmamanagers met projectmanagers is per definitie een aanzienlijke risicofactor voor overheids-programma’s en -projecten. De praktijk heeft dat ten overvloede aangetoond.
    Een ‘Programme Board’ – of Programme Director in MSP-termen – is eigenaar en opdrachtgever van het programma en stuurt het programma indirect aan. En is uiteindelijk ook verantwoordelijk voor het succes van het programma. Bij een project is dat de Project Board.

    Invoering en gebruik binnen de centrale en decentrale overheid van bewezen methodieken als ‘Managing Successful Programmes’ (MSP), Prince2 en Management of Portfolios (MoP) is weinig succesvol gebleken. Opnieuw een kenmerk van een falend opdrachtgeverschap.
    En portfoliomanagement hoort inderdaad niet thuis bij de CIO office maar bij de ‘business’. Opnieuw de kant van de opdrachtgever dus.

    Naast toezicht door Programme Board cq. Project Board is er tevens toezicht door democratische gremia zoals Tweede Kamer, Provinciale Staten en Gemeenteraad. Althans, dat zou er moeten zijn. Het onvoldoende invullen van deze wettelijke toezichtsrol door deze gremia maakt het mogelijk dat programma’s en projecten reeds in een vroeg stadium ontsporen. Post-audits tonen telkens weer aan “dat alle signalen er reeds waren maar niet werden opgemerkt”.

    Volledige en correcte rapportages zijn onmisbaar voor de invulling van de toezichtrol. En ook dáárvoor bestaat reeds geruime tijd een methodiek : ‘Portfolio, Programme and Project Offices’ (P3O). Metrics en dashboards horen dáár thuis. Ontbrekende, onvolledige of onjuiste metrics en dashboards zijn even zovele alarmsignalen.
    Overigens zijn deze rapportages een recht, geen gunst. Door niet om deze rapportages te vragen – of zo nodig te eisen – te controleren en daarop navraag te doen verzaken deze gremia hun wettelijke taak. Is het faalprogramma of -project eenmaal daar dan is het misplaatst vervolgens anderen ter verantwoording te roepen voor dit eigen falen.
    Afgeschoven verantwoordelijkheid mag niet leiden tot afgeschoven verantwoordelijkheid.

    Het recente debacle rond de Utrechtse tramlijn is op al deze punten illustratief en zal ongetwijfeld als voorbeeld-casus worden gehanteerd bij opleidingen voor programma- en projectmanagers.
    Voor het falend toezicht van de kant van de democratische gremia bestaat helaas geen opleiding. Accountability ontbreekt.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren