Beoordelingskader IT lifecyclemanagement

De minister is verantwoordelijk voor het geheel van de bedrijfsvoering van zijn ministerie en daarmee ook voor een goed beheerst en planmatig IT-beheer van het IT-landschap. Wij toetsen het beheer aan relevante wet- en regelgeving. Daarnaast letten wij specifiek op een aantal belangrijke beheeraspecten voor onderhoud en vernieuwing; beheersmaatregelen op het gebied van lifecyclemanagement.

Indien er afwijkingen van het beoordelingskader zijn geconstateerd, maar ook als een beheersmaatregel ontbreekt, zijn dit tekortkomingen die kunnen leiden tot onvolkomenheden respectievelijk ernstige onvolkomenheden. Daarbij is onder andere van belang:

  • Hoe lang deed de tekortkoming zich voor (9 maanden of langer)?
  • Hoe hoog was het financiële risico?
  • Hoe ernstig verstoorde de tekortkoming de bedrijfsvoering van het ministerie?

Algemene normen en nadere uitwerking

Lifecyclemanagement is een continu en cyclisch proces van inzicht verwerven, dat inzicht vertalen naar plannen (voor onderhoud, beheer en vernieuwing), die plannen uitvoeren en tot slot het meten van het effect en eventueel bijsturen. 

Lifecyclemanagement bestaat uit 5 stappen die samen ervoor zorgen dat de risico’s van veroudering van IT-landschap worden beheerst, zodat taken en processen van het ministerie duurzaam worden ondersteund door de IT-systemen.

Goed ingericht en planmatig uitgevoerd onderhoud van de IT-systemen maakt dat IT inzetbaar is en blijft. Daarmee draagt onderhoud bij aan de continuïteit van de dienstverlening van de overheid. Het risico dat niet-functionerende IT-systemen de dienstverlening aan burgers en bedrijven verstoren, wordt namelijk kleiner door tijdig onderhoud uit te voeren. Daarnaast verkleint lifecyclemanagement het risico dat IT-systemen niet wendbaar genoeg zijn om beleidswijzigingen tijdig door te voeren. 

De departementale chief information officer (CIO) is verantwoordelijk voor ‘het ontwikkelen en coördineren van lifecyclemanagement in het hele departement’. De CIO zorgt ervoor dat voor het hele ministerie het planmatige onderhoud van de IT-systemen op orde is. Deze rol van de departementale CIO is opgenomen in het Besluit CIO-stelsel Rijksdienst 2021.  
 

Wet- en regelgeving

Algemene normen voor lifecyclemanagement op het IT-landschap van een ministerie zijn af te leiden uit wet- en regelgeving. Zie bijvoorbeeld de Comptabiliteitswet 2016 (CW2016) waarin de normen rechtmatig, ordelijk en controleerbaar zijn vastgelegd en ook op IT van toepassing zijn. Een nadere uitwerking van de normen voor de processen en verantwoordelijkheden van lifecyclemanagement bij het Rijk is te vinden in regelgeving die de minister van BZK heeft uitgevaardigd. Daarnaast heeft de Algemene Rekenkamer gepubliceerde normen in de vorm van de ‘Essentialia van goed openbaar bestuur’ (december 2005) en zijn in de publicaties van het verantwoordingsonderzoek (VO) normen opgenomen.
Het normenkader voor het onderzoek naar het lifecyclemanagement van het IT-landschap is verder gebaseerd op relevante normen en best practices uit de internationaal geaccepteerde raamwerken COBIT, ITIL en ASL. Deze normen en best practices zijn vervolgens vertaald naar de situatie bij het Rijk. Het normenkader is opgebouwd uit de 5 stappen in het lifecyclemanagementproces, het inzicht in het IT-landschap en de PDCA-cyclus van Deming (Plan, Do, Check , Act). 

5 stappen lifecyclemanagement

Voorschriften en aanwijzingen voor de rijksdienst en ministeriële besluiten:

  • Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst 2011
  • Besluit CIO-stelsel Rijksdienst 2021.

Naast deze wet- en regelgeving gelden de volgende overige (beleids)regels:

  • Handreiking verantwoord vernieuwen, CIO-Rijk, april 2021.

Beheersmaatregelen

De volgende 10 generieke beheersmaatregelen in de 5 stappen van lifecyclemanagement toetsen wij in samenhang om de kwaliteit van lifecyclemanagement te beoordelen.

Stap 1: Centraal inzicht in bestaande IT-landschap 

1. Er is inzicht in het bestaande IT-landschap, inclusief de daaraan verbonden risico’s.

Als basis voor lifecyclemanagement moet er inzicht zijn in het gehele IT-landschap van het departement, in het bijzonder de applicaties die de primaire processen ondersteunen. Onderdeel van dit landschap zijn ook de onderlinge verbindingen en koppelingen, afhankelijkheden, eindgebruikers en leveranciers. Ook moet er inzicht zijn in de risico’s die met dat applicatielandschap verbonden zijn, zoals een sterke afhankelijkheid van derden. 

2. Er is inzicht in de status van de applicaties (inclusief levensfase) en de daaraan verbonden risico’s. 

Om lifecyclemanagement in te kunnen richten en de risico’s voor de continuïteit van het primaire proces van het departement te beheersen, moeten deze risico’s bekend zijn. Daarom moet er –per applicatie- inzicht zijn in de status van de applicatie: technische kwaliteit, business waarde en de daaruit af te leiden levensduur en fase in de levenscyclus (actief, verouderd, uitfaseren). Technische kwaliteit hangt samen met bijvoorbeeld de programmeertaal en het platform waarop de applicatie draait en de aanwezigheid van documentatie. Business waarde is een indicatie van het belang van de applicatie voor de primaire processen van de organisatie. Deze informatie over de applicaties moet gestructureerd en over meerdere jaren worden bijgehouden. 

3. Het departement heeft inzicht in de financiële aspecten van de applicaties, en van het IT-landschap als geheel

Om het lifecyclemanagement te kunnen inrichten en een plan te kunnen maken voor het onderhoud,  is inzicht nodig in de financiële aspecten van de applicaties, zoals de beheer- en onderhoudskosten per applicatie, inclusief meerjarige ramingen, in termen van tijd, mensen en middelen, afschrijving.  

Centraal inzicht basis IT lifecyclemanage,emt

Stap 2: Plan voor duurzaam applicatielandschap 

4.    Het departement heeft een (informatie)plan dat de strategie en de doelstellingen ten aanzien van de inzet van IT beschrijft; dit plan sluit aan bij de visie, strategie en (beleids)doelstellingen van het departement.

De IT van een departement moet het ontwikkelde beleid kunnen uitvoeren en ondersteunen. Daarvoor moeten de visie, strategie en doelstellingen met betrekking tot de IT van het departement aansluiten bij de visie, strategie en (beleids)doelstellingen van het departement. Deze aansluiting wordt zichtbaar in een plan en een planning voor de duurzame en effectieve inzet van IT. Voor het opstellen van dit Informatieplan zijn inzicht in de doelstellingen van een departement (beleid) en betrokkenheid van de business nodig. Lessons learned en eerdere adviezen zijn in het plan verwerkt. De departementale CIO is verantwoordelijk voor het opstellen en onderhouden van het informatieplan.

5.    Er is een integraal plan voor het onderhouden van de applicaties die de primaire processen van het departement ondersteunen. 

Om het bestaande applicatielandschap in staat te stellen om de primaire processen van de organisatie duurzaam te ondersteunen, moeten applicaties onderhouden en vernieuwd worden, rekening houdend met de geïdentificeerde risico's. Er moet daarom een integraal onderhoudsplan nodig, waarmee de risico’s van de applicaties beheerst worden gedurende de hele lifecycle. Dit onderhoudsplan beschrijft hoe wordt gezorgd dat de applicaties voldoende wendbaar blijven, zodat verschillende beleidskeuzes kunnen worden ondersteund.

6.    Er zijn specifieke plannen voor meest risicovolle onderdelen in het applicatie landschap. 

Vanuit het inzicht in de status, het belang en de kwaliteit van de applicaties én de risico’s op verstoring van het primaire proces die daarmee verbonden zijn, worden specifieke plannen gemaakt voor het robuust maken en/of houden van een of meerdere risicovolle applicaties in het primaire proces.

Stap 3: Uitvoering van beheer en onderhoud

Bij deze stap ligt de verantwoordelijkheid bij de lijn-/uitvoeringsorganisatie.

Stap 4: Meten van resultaten en verbetering realiseren

7.    De resultaten worden gemeten en de departementale CIO heeft inzicht in de voortgang.

Het moet inzichtelijk zijn of de integrale en specifieke (onderhouds)plannen ook daadwerkelijk worden uitgevoerd en leiden tot robuustere applicaties en beheersing van de gesignaleerde risico’s. Daarvoor moet de voortgang inzichtelijk worden gemaakt en moeten resultaten ook worden gemeten en gerelateerd aan de doelstellingen.

8.    Uitgevoerde plannen resulteren in verbeteringen bij IT en/of business.

Verbeteringen moeten zijn gerelateerd aan de doelstellingen en zijn smart en aantoonbaar, bijvoorbeeld: 
a.    Betere continuïteit en beschikbaarheid, bijvoorbeeld minder damages;
b.    Lagere beheer- en onderhoudskosten;
c.    Aanpasbaarheid neemt toe, flexibiliteit van de IT;
d.    Minder beroep te hoeven doen op schaarse specialisten.
e.    Beveiliging op een hoger niveau
f.    Datakwaliteit neemt toe

Stap 5: Evaluatie en controle en bijstellen aanpak

9.    Er wordt een proces van evaluatie en controle doorlopen

Ook het departementale lifecycle management proces moet worden geëvalueerd. De evaluatie wordt gebruikt om het proces te valideren en te verbeteren.

Naast interne evaluaties kan ook een organisatieonderdeel of een onafhankelijke instantie het proces controleren en evalueren. De onafhankelijke beoordeling wordt indien noodzakelijk periodiek herhaald. Externe adviezen en onderzoeksrapporten worden indien beschikbaar meegenomen.

10.    Er wordt bijgestuurd in het lifecyclemanagement indien de resultaten daartoe aanleiding geven

Als de gemeten resultaten of de eigen of externe evaluaties en onderzoeken daartoe aanleiding geven, moet er worden bijgestuurd. Er wordt bijgestuurd op basis van bruikbare management informatie. De integrale of specifieke plannen worden bijgesteld indien er sprake is van ‘voortschrijdend inzicht’. Er wordt geleerd van wat minder goed is gegaan en daardoor worden de risico’s steeds beter beheerst en is de organisatie steeds meer in control op het applicatie landschap.