088-9951200
menu

Review processen informatievoorziening praktijkvoorbeeld 

1. Inleiding

Dit document bevat een praktijkvoorbeeld van een review uitgevoerd op basis van het document ‘Blauwdruk processen IT-organisatie’.
Hierdoor kan op snelle wijze vastgesteld worden op welke punten afspraken of een goede communicatie ontbreken en waar nog bijstellingen moeten plaatsvinden.
De blauwdruk is uiteraard geen dogma en mits dit een bewuste keuze is en in overleg wordt gedaan, kan van deze blauwdruk afgeweken worden. Uiteraard laat dit onverlet dat hierdoor toch een risico ingebakken wordt in de samenwerking.

2. Doel en afbakening van de blauwdruk

Het doel van deze blauwdruk is het beschrijven van de inrichting van processen binnen een interne ICT-organisatie ter borging van het op flexibele wijze ontwikkelen en in stand houden van een betrouwbare en beheersbare informatievoorziening, waarmee adequaat ingespeeld kan worden op de behoeften van de business.

Uitgangspunten, die zijn gehanteerd bij de opzet van de blauwdruk zijn:

  • De procesinrichting is zodanig, dat voor elk proces een klant en een leverancier is te onderscheiden en dat gestructureerd en klantgericht werken wordt gestimuleerd en deels wordt afgedwongen.
  • Processen worden meetbaar en controleerbaar.
  • Er worden zelfsturende mechanismen gebruikt.

Deze blauwdruk is bruikbaar voor interne ICT-organisaties die diensten verlenen volgens afspraak.

2.1 Stelligheid van de bevindingen

De bevindingen zijn gebaseerd op ervaringen opgedaan in de periode augustus tot en met november 1999 in het kader van het opstellen van het xxx plan voor de PPP.
Hierdoor zullen nuances aangebracht kunnen worden bij de bevindingen, maar het totaal beeld dat met deze bevindingen opgeroepen wordt, is wel juist.

3. Architectuur van de blauwdruk

3.1 Inrichting van de overall informatievoorzieningsfunctie

Bij het inrichten van de processen zal de driedeling beleid, planning & control en uitvoering zowel bij de gebruikersorganisatie als de ICT-organisatie belegd moeten zijn.  Onderstaand wordt een situatie geschetst, die uitgaat van formele overeenkomsten. Omdat meestal onvoldoende inzicht bestaat in zowel de gekwantificeerde behoefte als in de performance, zal het enige jaren vergen,voor dit gerealiseerd is.3.2 Beleidsniveau

Op het hoogste niveau bij de gebruikersorganisatie dienen de volgende zaken belegd te zijn:

Norm Bevinding
  • informatiebeleid en projectenplan
 Een formeel informatiebeleid, uitgewerkt in concrete architecturen en beleidsuitgangspunten ontbreekt. Wel is er een projectenplan, dat echter slechts gebaseerd is op inschattingen van wat goed is voor de business.
  • informatie archi-tectuur, gegevens architectuur, beveiligings-architectuur
 De informatie- en gegevensarchitectuur voor de huidige situatie is slechts partieel beschreven. Voor de gewenste situatie op middellange termijn ontbreekt deze. Er is een beveiligingsarchitectuur, maar deze vindt geen funding aan de gebruikerskant en wordt slechts partieel toegepast aan de IT-kant. Omdat er geen controle op is, wordt dit ook niet gemerkt.
  • normen en standaards m.b.t. processen en middelen
 M.b.t. de IT-dienstverlening vindt geen doorbelasting plaats en laat de toerekening sterk te wensen over. Hierdoor ontstaat aan de gebruikerskant onvoldoende behoefte aan ingrijpen. Wel is de onvrede over de dienstverlening aanzienlijk, maar door het ontbreken van overeengekomen normen en standaards is dit niet aantoonbaar. De normen, die de ICT-organisatie bezig is op te stellen, hebben geen funding aan de gebruikerskant.
  • opdrachten-beheer
 Er zijn wel stuurgroepen, maar door het ontbreken van normen (beleid, architecturen etc.) wordt elk ingebracht voorstel op zijn merites beoordeeld. Prioriteitsstelling vindt pas plaats nadat evident is, dat er keuzes gemaakt moeten worden. Het risico op desinvesteringen is derhalve groot.Bovendien vallen de IT-dienstverlener en de belangrijkste afnemer van IT-diensten binnen een sector. Op het niveau van opdrachtbeheer werkt dit, voorzichtig uitgedrukt, de openheid niet in de hand.
  • contractbeheer
 Er zijn geen contracten, dus worden ze ook niet beheerd.
  • auditing
 Systematische beoordeling van de ICT-dienstverlening vindt niet plaats. Met de vervulling van de vacature bij de IAD lijkt hierin verbetering te komen.

 

Op het hoogste niveau bij de ICT-organisatie zijn belegd:

Norm Bevinding
  • servicebeleid en dienstenportfolio
 Het servicebeleid, zoals dat in de praktijk vorm gegeven wordt, kenmerkt zich door ‘indekgedrag’: zorg dat ons niet iets te verwijten valt. Momenteel wordt eenzijdig gewerkt aan het opstellen van een dienstenportfolio, dat echter onvoldoende gebaseerd is op de wens van de klant en op het bieden van toegevoegde waarde.
  • een architectuur van de ICT-infrastructuur, waarmee adequaat behoeften van de klanten vervuld kunnen worden
 In de afgelopen jaren zijn grote investeringen gedaan in de IT-infrastructuur, vooral vanuit het perspectief de beschikbaarheid van de dienstverlening te vergroten. De status van de technische infrastructuur is nu zodanig, dat hier vanuit technisch perspectief zeer ruimschoots aan voldaan kan worden, maar men heeft verzuimd de technische verbeteringen ook daadwerkelijk uit te werken in een optimalisering van de beschikbaarheid. Technisch is er sprake van een enorme overcapaciteit en het is de vraag of de huidige technische infrastructuur lang genoeg gebruikt kan worden om return on investment te verkrijgen. Voorts is de technische infrastructuur nog in het geheel niet voorbereid op de situatie, dat verkoop en distributieprocessen met niet ’trusted parties’ langs elektronische weg sterk geïntensiveerd zullen worden. Dit brengt hoge beveiligingsrisico’s met zich mee.
  • relatiebeheer
 Er vindt wel relatiebeheer plaats. Doordat het relatiebeheer zich echter richt op de functionele beheerders, die noch door de werkelijke opdrachtgevers en noch door de IT serieus genomen worden, stelt dit in de praktijk niets voor. De overheersende attitude naar de gebruikers binnen de IT kan het best gekarakteriseerd worden als: “Het leven zou zo mooi kunnen zijn zonder die lastige gebruikers” .
  • service level management
 Formeel is dit belegd binnen de IT. De attitude is nu echter meer gericht op het “Wat kunnen we aanbieden” dan op het “Wat zou de klant van ons willen?” Door het ontbreken van SLA ’s blijft de mismatch voortsudderen.
  • opdrachten-beheer
 Het opdrachtenbeheer wordt meestal extern belegd. Slechts op uitvoerend niveau wordt hieraan bijgedragen door de ICT organisatie.  Van externe partijen kan niet verwacht worden, dat ze meer doen dan leveren conform afspraak, op tijd en binnen budget. Of het resultaat ook voldoende toegevoegde waarde voor de organisatie heeft wordt zelden bewaakt. Voorts worden er hierdoor geen kennis en ervaring opgebouwd.

 

De partijen op dit niveau stemmen met elkaar af over service level agreements, opdrachten en veringsvoorwaarden. Voorts zijn de behoeften op termijn en de kwaliteit van de dienstverlening onderwerp van gesprek. *

* Bevinding: Dit overleg vindt onvoldoende plaats. Nadat in de ‘businessline’ een idee is uitgewerkt, gaat het ‘over de schutting’ naar de IT. De IT draagt zo niet bij aan Business Development, terwijl dit toch veruit het belangrijkste ondersteunende proces binnen de PPP is.

 

3.3 Planning & Control

Op het P&C-niveau binnen de gebruikersorganisatie worden o.a. belegd:

Norm Bevinding
  • projectbeheer
 Bij de projecten, die ik heb meegemaakt, was er geen sprake van projectbeheer aan de gebruikerskant. De projecten werden getrokken vanuit de IT. Dit kan veroorzaakt zijn door de Y2K-perikelen.
  • financieel beheer
 Aan de kant van de gebruikers heb ik geen activiteiten op dit gebied kunnen waarnemen
  • functioneel beheer (o.a. gegevensbeheer, applicatiebeheer etc.)
 Functioneel applicatiebeheer is wel belegd, maar het functioneert matig.Belangrijkste oorzaak hiervoor is het ontbreken van inzicht in wat de toegevoegde waarde van functioneel applicatiebeheer dient te zijn en het onvermogen van de functionele applicatiebeheerders om hun issues op de agenda te krijgen bij de beslissers. Hierdoor wordt door dienstverleners zelfs misbruik van het bestaan van deze functie gemaakt.
  • toetsing
 Het beoordelen en accepteren van opgeleverde producten vindt weinig gestructureerd plaats. Hierdoor worden gebruikers vaak geconfronteerd met onvoldragen producten, waar nog jaren aan gesleuteld moet worden.
  • beveiligings-beheer
 Het beleidsdocument staat zover van de dagelijkse praktijk van de beveiliging, dat deze geen handvatten biedt voor het beheer. Hierdoor continue improvisatie in de strijd tegen wensen m.b.t. de efficiency. Dit geeft doorgaans een voorspelbare winnaar.
  • kennisbeheer
 Kennis over de informatiesystemen, de infrastructuur en de systeemomgeving zitten in hoofden van mensen en zijn zelden vastgelegd.
  • accountbeheer
 Ik heb niet getraceerd waar dit belegd is. Wel gaan de toegekende bevoegdheden veel verder dan wat nodig is op basis van het criterium “Need to know”.
  • inkoop en afroepen diensten en producten
 Momenteel wordt dit volledig uitbesteed aan de IT-organisatie. Doordat behoeften onvoldoende gespecificeerd worden, vindt ook geen adequate terugkoppeling plaats, zodat de behoeftesteller onmogelijk tijdig kan bijsturen.

 

Het P&C-niveau binnen de ICT-organisatie vormt de front office van haar operationele dienstverlening aan de klanten en tevens de aansturing van haar back office activiteiten. Hier is o.a. belegd:

Norm Bevinding
  • incidentbeheer
 Omdat niet vastgelegd is, wanneer er sprake is van verminderde dienstverlening, is de hulp van de helpdesk een vrijblijvend proces. Omdat ook de doorkoppeling naar tweedelijns support indirect is,  is de beschikbare kennis voor het realiseren van een fix op zeer korte termijn te laag. Dit is echter wel, wat de gebruiker direct ervaart. De opvolging naar probleembeheer is goed geregeld. De uitkomst van dit proces dient echter te leiden tot een RfC, waarover de CAB beslist, maar dit gebeurt in de praktijk niet. Hierdoor besteed IT-beheer een fors deel van haar tijd aan activiteiten, zonder dat hier een formele opdrachtgever voor is.
  • wijzigingsbeheer
 Wijzigingsbeheer is uitsluitend ingericht voor het afhandelen van wijzigingsvoorstellen uit de gebruikersorganisatie. Wijzigingsvoorstellen vanuit de IT vallen dus buiten de prioriteitsstelling van het CAB en buiten het toezicht van de change-manager. Hierdoor is het mogelijk, dat de betrouwbaarheid van de informatievoorziening vermindert, de integriteit van de documentatie afneemt en aan wijzigingsbeheer gekoppelde processen zoals de business continuity planning ineens blijken niet meer te werken. Voorts is er onvoldoende flexibiliteit om urgente wijzigingsvoorstellen en kleine wijzigingsvoorstellen (< 8 uur) soepel af te handelen.
  • configuratie beheer
 Veel informatie is in het verleden vastgelegd, maar de toegankelijkheid, actualiteit en juistheid is onzeker. Configuratiebeheer is belegd, maar omdat er onvoldoende controles op dit gebied zijn ingebed in de procedures voor incidentbeheer en wijzigingsbeheer, kan er geen sprake van configuratiebeheer zijn .
  • projectbeheer
 Ik heb geen attitude van projectmatig werken kunnen constateren bij de medewerkers en het wordt ook niet gestimuleerd vanuit het management. Slechts bij extern ingehuurde projectmanagers is er sprake van projectbeheer, mits de inhuurkracht bereid is hiervoor te vechten.
  • service management
 Service management heeft tot taak de uitvoering van IT-diensten aan te sturen. Deze rol wordt slechts ad hoc belegd en continu overruled door het IT management (zie ook vorige punt). Omdat er ook geen mechanismen zijn op het gebied van capaciteitsplanning en budgetbewaking, is er weinig uitzicht op verbetering.
  • quality assurance
 Hoewel de procedures deze activiteit wel beschrijven, vindt deze in de praktijk nauwelijks plaats omdat niemand de uitkomsten van de reviews opeist of als voorwaarde stelt voor de acceptatie van een product.

 

Deze niveaus stemmen af over de besturing en bewaking van de uitvoerende activiteiten in het kader van de behoeften van de gebruikersorganisatie op basis van de op het hoogste niveau gesloten overeenkomsten.

3.4 Uitvoerende Processen

Op het laagste niveau binnen beide organisatie zijn de uitvoerende en ondersteunende processen en activiteiten belegd. De focus op dit niveau is primair inhoudelijk gericht en afstemming vindt plaats over inhoudelijke zaken.

Bij de gebruikersorganisatie zijn dit o.a

Norm Bevinding
  • gebruikers-ondersteuning
 Gebruikersondersteuning wordt wel geboden, maar het is onduidelijk waaruit de ondersteuning bestaat en aan wie de uitvoering van de klantgerichte ondersteuning is gedelegeerd. Omdat hierover wel verwachtingen leven, voelen partijen zich sterk teleurgesteld in anderen, hetgeen tot irritatie en frustratie leidt.
  • logistieke processen
 Voor zover ik dit kan beoordelen verlopen deze redelijk goed maar weinig efficiënt. Er zijn veel te veel handmatige activiteiten. De oorzaak hiervoor ligt enerzijds bij het onvoldoende toesnijden van de applicaties op het gebruik (bijv. Lotus Notes) en anderzijds in een onvoldoende inrichting van de systeemomgeving en een slechts op techniek gerichte opleiding, waardoor mogelijkheden van applicaties niet worden uitgenut.
  • Specificatie behoeften
 Behoeften worden matig gespecificeerd en als het gebeurt, meestal direct vertaald in gedetailleerde eisen. Door aan deze eisen tegemoet te komen kunnen architecturen van applicaties, technische infrastructuur en beveiliging ernstig worden verstoord.
  • afhandeling incidenten
 De zelfredzaamheid van de gebruikers is bijzonder hoog.
  • documenteren
 Het uitvoeren van deze activiteit is in hoofdzaak afhankelijk van mensen. Het is niet ingebed in processen, waarop controle plaatsvindt.
  • controle taken
 Worden stipt uitgevoerd waar het om korte termijn business risico’s gaat. Voor de business continuïteit op langere termijn is vrijwel geen aandacht.

 

Bij de ICT-organisatie zijn dit o.a.

Norm Bevinding
  • operationeel beheer automatiseringsmiddelen
 De uitvoering hiervan verloopt goed.Waarschijnlijk heeft dit proces een te belangrijke randvoorwaarde gevormd bij de upgrade van de technische infrastructuur, die in de afgelopen jaren heeft plaatsgevonden.
  • uitvoeren project activiteiten
 De uitvoering van de automatiseringsactiviteiten binnen projecten verloopt redelijk. Het aantal seniore medewerkers die op voet van gelijkheid met de gebruikers kunnen communiceren is echter te laag. Voorts wordt er weinig projectmatig gewerkt, tenzij er een projectleider is, die dit oplegt.
  • advisering
 Deze activiteit wordt onvoldoende uitgevoerd. Oorzaken hiervoor zijn:

 

  • de vaardigheid is onvoldoende voor handen
  • onvoldoende uitvoering van haalbaarheidsstudies
  • te veel tussenschakels tussen de klant en de ontwikkelaars
  • de klant ziet ICT niet als adviseur
  • incident afhandeling
  De helpdeskfunctie is ingericht, maar er vindt geen performancemeting plaats (aantal calls/uur; percentage incidenten, die zelfstandig opgelost worden). Ook kan de helpdesk tweedelijnssupport onvoldoende inschakelen.
  • documenteren
 Er wordt gedocumenteerd en het proces is ingericht. Toch is documentatie slecht beschikbaar en niet altijd actueel.
  • controle taken
 Binnen de IT worden nauwelijks controle taken uitgevoerd. Hierdoor is de naleving van procedures onzeker.

Meer weten of informatiebeveiliging of business continuity?

Contact
Actueel

Gerelateerd nieuws

03/03/2026

Van NIS1 naar NIS2: dit zijn de zes belangrijkste veranderingen

Lees verder
02/03/2026

Whitepaper: Hoe hanteer je PSA?

Lees verder
26/02/2026

Steeds meer onderbouwing gevraagd bij beveiliging van chemische installaties

Lees verder
Lees meer