Verhoef: Overheid mist de regie, en ook de kunde

Jammer dat er zulke stukken nodig zijn om sommige politici in beweging te krijgen, maar ik denk wel eens dat 90 procent van wat er daar op de agenda staat, de dag ervoor in de krant stond.
Afijn, ik ging dat debat volgen via www.tweedekamer.nl. Daar staat in hoofdletters meteen LIVE DEBATTEN, waar je niet op kunt klikken, en daarnaast een fotootje met een play-button, die niet ‘playt’ maar wel een tekstwolkje geeft: “Vergaderingen worden uitgezonden in Windows Media Player (wmv) formaat. Meer over dit onderwerp vindt u in de veelgestelde vragen.” Die wil ik zien, want nergens een hint hoe ik dat livedebat kan volgen. Eerst krijg ik een nag-box dat er een nieuw venster wordt geopend als je op OK drukt. Daar kun je op ‘Live debat’ klikken (niet op de hoofdpagina, stel je voor). Je krijgt uiteraard weer een nag-box, en dan in een nieuw venster ga je naar een nieuwe versie van dezelfde pagina maar dan op de juiste plek. Duh! En daar krijgen we een link naar, u raadt het al: www.tweedekamer.nl, gelukkig ditmaal zonder nag-box. Terug naar af.
Use the force, read the source. Al snel blijkt dat je op de foto maar niet op de play-button moet klikken voor een stream. Eerst weer de nag-box, en dan een stream vanuit planet.nl die redirect naar een niet-bestaande file op mijn computer: file:///private/tmp/501/Temporary%20Items/AOLTemp.html. Daarna start Media Player op met de foutmelding: “the filename, directory name, or volume label syntax is incorrect.” Ik klik OK en sluit de player en de vijf onnodige browserwindows. Overheids-IT in een notendop.
Vraag niet hoe, maar het debat staat inmiddels toch op mijn website. Ik bespreek er een stukje van. Tweede Kamerlid Arda Gerkens van de SP vroeg de minister van Binnenlandse Zaken welke erkende standaardmethodieken de overheid toepast op ICT. Dit naar aanleiding van haar brief waarin daarover gerept werd. Dat moest de minister oplezen van een blaadje, en dat is haar vergeven. Voor projectmanagement was dat PRINCE, voor beheersing ITIL, voor programmeren CMM en voor ontwikkeling CobiT.
Wat de minister niet wist, is dat PRINCE staat voor ‘Projects in Controlled Environments’. Hoezo controlled? Goed projectmanagement betekent risicomanagement, doelen halen, opbrengsten realiseren en dat allemaal binnen de tijd, het budget, en de juiste kwaliteit. Gezien de stroom van problemen zal het met de toepassing van dat PRINCE dus wel meevallen bij de overheid.
Voor beheersing is het ITIL. Ja, dank je de koekoek. Dat is een hele bibliotheek aan informatie om bedrijven te helpen met het behalen van hoge financiële kwaliteit en toegevoegde waarde van IT tijdens de operations. En gebruikt de overheid dat allemaal? Waarom zijn er dan zoveel beheerproblemen? Waar is de ‘IT value’, en de ‘high financial quality’? Wellicht de boekjes niet allemaal gelezen, danwel correct toegepast?
En het programmeren, daar gebruikt men CMM voor. Hoe durf je het een minister voor te laten lezen, vraag je je af. Zoals we allen weten, is CMM een volwassenheidsniveau van het softwareproces en geen standaardprogrammeermethodiek. De overheid doet er natuurlijk wel aan: zij heeft CMM level 1, net zoals 75 procent van alle organisaties. En dat betekent een ad-hocproces, oftewel anarchie. Vendrik van GroenLinks bevestigt dat in het debat: “Iedereen doet maar wat”, en hierdoor wordt volgens hem niet geleerd van fouten. Dus met dat CMM zit het wel goed!
En wat alles slaat, is CobiT, dat voor ontwikkeling gebruikt wordt bij de overheid. CobiT staat voor ‘Control Objectives for Information and Related Technology’, dus dat is verre van een ontwikkelmethodiek. Voor niet-ingewijden, hier even een primer: “CobiT is an IT governance framework that helps to ensure proper control and governance over information and the systems that create, store, and manipulate IT. CobiT provides a framework for putting controls in place to ensure you are compliant with the regulations, such as the SOX Act and Basel II, and bridges the gap between control needs, technical issues, business risks and performance measurement requirements when implementing financial controls.” Nog meer jargon: SOX, oftewel de Sarbanes Oxley Act, is een wet om private investeerders te beschermen tegen verliezen geleden door bedrijven die aan een Amerikaanse beurs genoteerd zijn, als gevolg van foutieve financiële informatie. Ik wist niet dat tweedekamer.nl aan de NASDAQ genoteerd stond. De aandelen zullen inmiddels wel gekelderd zijn omdat investeerders de website hebben bezocht. Basel II is een richtlijn voor de bancaire wereld, waar onder andere operationele risico’s afgedekt worden door tussen de 8 en 18 procent winst na belasting in de stroppenpot te doen. CobiT voor ontwikkeling, tuurlijk!
Kernpunt van het debat is gebrek aan ICT-regie, maar onkunde kan er zo bij! Regie is juist wat CobiT en aanverwante zaken nu beogen. Om IT-governance operationeel te krijgen, doe je aan IT-portfoliomanagement. Dan weet je namelijk wat je in portefeuille hebt aan IT-projecten en -programma’s, operationele software assets, softwarelicenties, hardware, personeel. Bovendien weet je hoeveel een en ander kost, wat er geïnvesteerd moet worden, en wat je risico’s zijn. Maar juist deze zaken zijn onbekend. Wat we wel weten is dat er een reeks IT-gerelateerde problemen bij de overheid speelt en dat men kennelijk niet leert van fouten in het verleden. Als de minister werkelijk aan IT-portefeuillebeheer gaat doen, krijgen we echte antwoorden op terechte vragen.

Prof. dr. Chris Verhoef is hoogleraar Informatica aan de Vrije Universiteit in Amsterdam. Hij schrijft maandelijks een ­column in AG II.Rub_Verhoef