Informatie governance in een grote organisatie Joep G.M. Janssen 6 april 2007 1

Even voorstellen. Drs. Joep Janssen RE MIM. joep. janssen@vka. nl Management Consultant Verdonck, Klooster & Associates Lead IT Auditor KPN Concern Informatiemanager Belastingdienst Concern Controller Belastingdienst Beleidsmedewerker Financiën Min. WVS Docent Info governance/IT Control UvA, TIAS, UAMS Gepassioneerd skiër 2

Belastingontduiking topman en SEC boekenonderzoek $4 miljard investeringen als kosten geboekt Belastingontduiking topman en SEC boekenonderzoek $ 1.16 miljard niet bestaande omzet geboekt 3

SOx en IT Doel SOx: Aandeelhouders beschermen tegen onjuiste en onvolledige rapportage over financiële resultaten. Congresmen Sarbanes en Oxley SOx 404: 1. Evalueer ontwerp en operationele effectiviteit van interne financiële controls 2. Leg alle bekende controls, belangrijke deficiënties en verbeterpunten vast 3. Leg fraudemaatregelen vast Jaarlijkse review/check door het management en onafhankelijke auditors 4

5

When trust reduces, the need for transparancy, control increases… 3 When trust reduces, the need for transparancy, control increases… “Trust me” High “Tell me” “Show me” Trust AZIE EUROPA USA Low Brent Spar Moberg Claim en afreken cultuur uit het Wilde westen Low High Transparancy 6

Programma IT Governance Axioma’s Doelarchitectuur Sourcing strategy Demand-Supply 7

Management statement on IT Governance “IT governance is the responsibility of Telco’s executives to install a system of management control that ensures that Telco’s business objectives are achieved through end-to-end processes, quality of information and the supportive IT. This consists in our opinion of directing Telco’s IT resources towards optimal performance aiming for: - IT to be aligned with the business and the business processes; - IT resources to be used in a controlled structure; - IT risks to be assessed and to be managed appropriately.”  “Further formalisation of goal setting and performance monitoring of the overall IT program could be enforced by regular internal audits.” 8

Forces influencing IT Governance IT Governance Institute Erik Guldentops 85% of market value of enterprises is intangible (knowledge, information, capability…) Value (Brookings Institute) Institutional investors willing to pay up to 20% premium for shares of enterprises that have governance framework IT Governance Trust (McKinsey) Assurance (Turnbull) Regulations establishing responsibility of enterprise officers for internal control and risk transparency. Trust can vanish overnight. A factory cannot. Survival (Alan Greenspan) www.itgi.org 9

IT Governance Lifecycle IT Governance Institute approach IT governance, like other governance subjects, is the responsibility of executives and shareholders (represented by the board of directors). It consists of the leadership and organisational structures and processes that ensure that the organisation’s IT sustains and extends the organisation’s strategies and objectives. Definition Provide Direction Compare Measure Performance IT Activities Increase automation (make the business effective) Decrease cost (make the enterprise efficient) Manage risks (security, reliability and compliance) IT is aligned with the business, enables the business and maximises benefits IT resources are used responsibly IT related risks are managed appropriately Set Objectives Framework IT Governance Lifecycle Environment Ethics & Culture Laws & Regulations Mission & Vision Role Models Industry Practices …... Alignment Delivery Value Management of Risk Monitoring & Reporting Evaluation Lifecycle 10

Clinger Cohen Act en andere wetten A. Gericht op de aansturing van IT investeringen Bestuurder maakt jaarlijks een Information Resource Management plan. IT investeringen volgen dezelfde budgetregels als andere investeringsbeslissingen. Bestuurder, CIO en de CFO maken policies voor betrouwbare financiële en niet financiële rapportages uit applicaties Bestuurder zorgt voor eigenaarschap en houderschap van IT systemen IT contracten voldoen aan algemeen geldende inkoopeisen. B. Gericht op de controlling en monitoring van IT investeringen   Bestuurder rapporteert jaarlijks over de effecten van innovatie programma's en IT investeringen Bestuurder analyseert systematisch de risico's en resultaten van grote IT investeringen Bestuurder monitored de uitvoering van IT programma’s. CIO adviseert op basis van zijn inzichten bestuurder over doorgaan, aanpassen of beëindigen van IT programma's. Projectenresultaten die sterk afwijken van initiële plannen worden geanalyseerd en gerapporteerd. 11

Organisatie Telco RvB Corporate staf Division Fixed Division Mobile Operators TI IT en TI partners 12

Begrippenkader en scope ICT ICT kent globaal 3 toepassingen voor een telco “Netwerk productiemiddelen” (schakelapparatuur, routers, hubs, telefooncentrales) ook wel TI genoemd ( “C” van ICT) IT product/ dienst georiënteerd (SMS, voicemail, etc) IT bedrijfsproces georiënteerd (zoals billing, CRM, incl. systemen en bedrijfsnetwerken) Huidige IT governance primair gericht op toepassing 3: Conform gangbare benchmarks Ingezette trend: product georiënteerde IT neemt toe 13

Positionering CIO en DIO Board CIO DIO Corporate Center DIO overleg DIO DIO When using the term ICT, within a Telco this will inevitable cause confusion. Nearly all items used could be considered as ICT. Although borderlines cannot be drawn precisely three main groups can be identified: 1.      The public telecommunication infrastructure. These are all elements that together implement the services to the market. It includes the switches, routers, hubs and exchanges. 2.      The ICT products and services delivered to the market 3.      The ICT elements (applications, services, portfolio items, etc.) that implemented the IT systems used to support the business process of the company (examples are Billing, CRM, Logistics). Also the data networks that support these processes are part of this group In particular the ICT governance regards last group of elements. Evidently the actual technical infrastructure is excluded. Especially inside the divisions the borderlines between the ICT used for the public telecommunication infrastructure and the group of ICT elements that support the business processes are disappearing. This becomes most evident in all areas where Internet technology is being used. If there are specific issues regarding authority and responsibility, these issues are resolved by the DIO council. Division Fixed Division Mobile 14

IT Governance framework DIO focus CIO focus Business Information Systems Information Technology Strategy Structure product, process, organisation use of information and transport IT products, security IT management Implementation Business Alignment Demand Management 15

Ontwikkeling in IT Governance Contractmanagement Business - IT oriëntatie Technische oriëntatie Delegatie van bevoegdheden Business Information Systems Information Technology Strategy Structure Implementation 16

Expertisegebieden bij IT Governance Information Systems Information Technology Business Compliance management Sourcing Information Economics Strategy Third Party Assurance Information architecture Management of change Structure User/Application controls Security/ Operations IT Service Management Implementation Business Alignment Demand Management 17

Werkgebieden focus CIO Producten Bedrijfsprocessen Gegevens Applicaties Technologie Werkgebied CIO 18

Business is leidend in proces/functionaliteit ontwikkeling Benoemen van de procesketens uitgaande van het product-portfolio Business manager is eigenaar van een procesketen Eigenaar keten is integraal (mensen, middelen, geld) verantwoordelijk voor het ontwerpen, inrichten en operationeel houden van zijn procesketen(s) Eigenaar is verantwoordelijk voor vernieuwing van zijn procesketen(s) Business unit bepaalt KPI’s 19

IT Governance uitgangspunten RvB integraal verantwoordelijk IcT CIO rapporteert aan portefeuillehouder binnen RvB CIO adviseert RvB CIO is operationeel verantwoordelijk voor ontwikkeling en implementatie van het overall beleid (in nauw overleg met de business) Eigenaar doel architectuur Uitvoerend voor corporate projecten DIO is operationeel verantwoordelijk voor implementatie van het divisie beleid Uitvoerend voor divisie projecten, Enforcement vastgesteld beleid Besturing via de lijn (IcT aspecten: CIO-DIO) IcT middelen IcT CAPEX en OPEX Projectcontrol en -monitoring 20

IT Governance is kaderstellend voor IT management Business orientatie Extern IT Governance IT Control IT Management Intern Tijds dimensie Heden Toekomst Ontleend aan IT Governance mechanismen: Wim van Grembergen en Steven de Haes, Kluwer 2004 21

Positionering Axioma’s en Doelarchitectuur Corporate kaders en regels Axioma’s Doel- architectuur SLA’s Corporate bedrijfsfuncties en -processen Business Alignment Demand Management 22

IcT axioma’s Hanteren internationale standaarden Gebruik standaard software Sturing op procesketens en bedrijfsprocessen IcT ondersteunt ontkoppelpunten bedrijfsproces Procesketens op elkaar afstemmen. Gebruik corporate data Applicaties opgenomen in IcT Repository Gemeenschappelijk gebruik IcT-diensten Gebruik IcT-managementmethodieken Hergebruik applicaties 23

Basis ketenmodel telco Call center Derden General Ledger Sales Order realisation CDR processing Tariffing Collection Order intake Telco 24

End-to-end processen (eTOM) 25

extended Telecom Operations Map Customer Infrastructure Lifecycle Management Product Lifecycle Management Supply Chain Lifecycle Management Fulfillment Assurance Billing Customer Relationship Management Service Management & Operations Resource Management & Operations Application, Computing and Network Supplier/Partner Relationship Management Marketing, Sales and Offer Management Enterprise Management 26

Proces en Telecom Operations Map (eTOM) Klant Customer Interface Infrastructuur Lifecycle Management Product Lifecycle Management Supply Chain Lifecycle Management Enterprise Management Physical Network (switch etc.) 27

TOM detail: Spider Diagrams Customer Customer INPUTS OUTPUTS Customer Interface Man. Customer Interface Man. Notifications Trouble Reports, Status reports Trouble reports Order Handling Major Trouble Reports Problem Handling Sales QoS & SLA terms, Profiles - Receive trouble notif - Determine cause &resolve Request to re-configure Service Configuration - Track progress of resolution Service Configuration Completion notification - Initiate action to reconfigure - Generate TT to suppliers Other Provider(s) - Confirm trouble cleared Trouble report Other Provider(s) Trouble report, Trouble cleared - Notify cust. trouble cleared - Schedule with and notify customer of planned work Problem reports Service Problem Resolution Trouble report, Trouble cleared Customer QoS Man. Trouble report* SLA violations, Planned mtc. scheduling and notification Customer QoS Man. SLA/QoS violations, Trouble reports Service Problem Resolution QoS Violations Service Quality Man. Rating & Discounting 28

Doel architectuur 29 Sales Fulfillment Billing Enterprise Mgmt Funnel data (prospects) Sales data (campaigns) Channel-specific data Proposals Customer info/profiles Cust. quality info / behavior Customer order Delivery order Commercial Installed base (contract) Case & contact (history log) Rated usage data Bills Payments and account status Billing disputes/ collections Enterprise Mgmt Organizational data Financial data Management info data Treasury, cash, asset mgmt. Financial risk mgmt. Employee information / HR mgmt. Salaries registration Benefits & compensation Corporate Directory Service Backbone Marketing Operations Purchasing Product/ formula data Pricing data Product performance Market segment data Forecasts and marketing plans Competitors info Current resource inventory Planned resource inventory Service/network status Trouble tickets Service/network events Technical service specs. Technical installed base Workorders Workforce allocation Network performance/QoS Service performance/QoS Supplier database Supplier contract Supplier product/ services catalogue Purchase order Purchase bills & payments Inventory data (“warehouse”) 29

Governance op doelarchitectuur 1. Domains: 2. Governance structure : Company wide steering committee; chair RvB member Board responsibilities like wise (Fixed, Mobile, CFO) Clear domain accountability (domain manager) Linkage to business via sponsor, steer by domain management: 3. Roles /responsibilities in conformance with baseline document: Domain manager (reporting to DIO), DIO & CIO Program office per division chaired by DIO Architectural board chaired by CIO (with participation of division) fixed mobile corporate Sales Fulfillment Billing Sales Fulfillment Billing Sales Fulfillment Billing Enterprise mgmt. Enterprise mgmt. Enterprise mgmt. Service Backbone Service Backbone Service Backbone Marketing Operations Purchasing Marketing Operations Purchasing Marketing Operations Purchasing business sponsor (MT member) working mode domain mngr operational mngt 30

Different Levels of IT Control Strategic Core Possible Outsourcing Tactic Operational 31

Clear governance relationships Business view Technology view Business strategy Processes Domains/services Applications Technology Strategic aspiration Business plan Value proposition Going-to-market model Business processes Business rules Domain structure Functional architecture Data architecture Domain services Governance model Application programs and modules Databases Connectivity Hardware, opera-ting systems, net-works Middleware, data-base management systems Business IT Demand (CIO/DIO) IT Supply (IT Service organizations) 32

Verbeter demand-supply organisatie inrichten demand organisatie aansturing supply & leveranciers samenhang IT systemen 33

IT sourcing strategy IT-operations en-supply is geen core business soms (als uitzondering) in geval: key technology in begin van life cycle concurrentie voordeel IT generiek altijd uitbesteden mono vendor outsourcing Specifiek applicatie architectuur altijd bij business! regie en acceptatie altijd bij business functioneel ontwerp eventueel uitbesteden technische ontwerp uitbesteden bouw uitbesteden technisch testen uitbesteden multi vendor outsourcing Preferred suppliers CIO/DIO selecteert RvB stelt vast 34

Demand Management Organization Supply IT Axioms Portfolio - Target architecture Purchasing Contract standards Preferred Suppliers - Legal guidelines Operations Software maintenance/ supply Infrastructure Business Functional requirements Usage Money Demand Mngt - “Broker” - Functional characteristics - Quality Assurance - Maintenance documentation Selection functionality Implementation/Control SLA 35

Telco heeft behoefte aan een IT Control Framework Telco moet voldoen aan eisen Corporate Governance (SOx; COSO) IT Governance is een belangrijk onderdeel van Corporate Governance (Governance manual  IT Governance manual) IT Governance omvat policies, rollen en verantwoordelijkheden èn IT management processen (plan-build-run-monitor) Telco houdt zich aan de internationale standaarden voor IT management processen Telco wil de management control op de IT demand-supply processen verbeteren Telco wil de bestaande IT management processen zoveel mogelijk handhaven. 36

Telco adopteert het CobiT Framework BUSINESS PROCESSES INFORMATION effectiveness efficiency confidenciality integrity availability compliance reliability Criteria COBIT IT RESOURCES data aplication systems technology facilities people PLANNING AND ORGANISATION AQUISITION AND IMPLEMENTATION DELIVERY AND SUPPORT MONITORING Business alignment In order to provide the information that the organization needs to achieve its objectives, IT resources need to be managed by a set of naturally grouped processes. demand supply 37

Gartner Advisory on CobiT and ITIL Activities BS7799 Security CobiT Control WHAT HOW 38

CobiT, ITIL en BS 7799 ITIL Activiteiten WAT HOE CobiT Control Security ITIL Activiteiten WAT HOE CobiT, ITIL and BS 7799 Zijn aanvullend 39

Het IT Control Framework CobiT Supply Demand Key Control Objectives Manage Changes Manage IT-configurations Manage IT incidents and problems Manage Security Manage Service levels Manage Business Continuity Manage IT Costs Manage Business Information Planning Manage Releases (Project Management) Manage IT Sourcing ITIL Processes Plus 40

Voorbeelden CobiT controls Manage Service Levels (ontleend aan CobiT 4 DS1.6 Review of Service Level Agreements and Contracts Evalueer de serviceniveau overeenkomsten en ondersteunende contracten op regelmatige basis met interne en externe dienstverleners om zeker te stellen dat ze effectief en actueel zijn, en om rekenschap te geven van wijzigingen in de vereisten. ME1.4 Performance Assessment Beoordeel op periodieke wijze de performance ten opzichte van de gestelde doelen, voer een analyse uit naar de hoofdoorzaak en voer corrigerende maatregelen uit om de onderliggende oorzaken weg te nemen. ME2.5 Assurance of Internal Control Verkrijg meer zekerheid over de volledigheid en effectiviteit van interne controlemaatregelen door middel van beoordelingen door derde partijen. Deze beoordelingen kunnen worden uitgevoerd door Opdrachtgever of Leverancier zelf of, op verzoek van het management van Opdrachtgever of Leverancier, door de interne auditafdeling of worden opgedragen aan externe auditors, consultants of certificerende instanties. Kwalificatie van de personen die de audit uitvoeren, b.v. Register EDP-auditor (RE) of Certified Information Systems AuditorTM (CISA®)-certificering, moet verzekerd zijn. 41

Controle op de IT Service Organisatie Outsourcing van interne gemeenschappelijke IT operations vereist ‘in control’ management vanuit de demand organisatie. Verschillende controls op IT service organisaties mogelijk: Service level reports/Management Meetings Periodiek bezoek auditor Certificaten (ISO/ BS 7799 part II) Third Party Memorandum (TPM) of onafhankelijke service auditor Telco vraagt van supplier TPM in vorm van SAS 70 type 2 report on IT Service organisatie (TPM) SAS 70 type II rapportage vereist: Onafhankelijke auditor toetst controls bij service organisatie Het auditors rapport op interne controles moet relevant zijn voor de financiële rapportages Scope: financiële applicaties Normen: COSO en CobiT framework Het rapport behelst design, bestaan en operationele effectiviteit van de interne controles. 42

Bedankt voor uw aandacht. Niet elke presentatie is een success ........ ……. Ik hoop dat u deze heeft kunnen waarderen Bedankt voor uw aandacht. 43