IT waardecreatie in de rijksoverheid
Auteurs: Maria Haasnoot, Nard Janssens, Patrick Soenen met review door prof. dr. Barry Derksen
Dit gezamenlijke whitepaper van ISACA Nederland, ISACA België en de Cyber Security Coalition onderzoekt hoe informatievoorziening in de centrale overheid aantoonbaar kan bijdragen aan publieke waarde. De auteurs (Maria Haasnoot, Nard Janssens, Patrick Soenen met review door prof. dr. Barry Derksen) gebruiken COBIT 2019 als referentiekader voor Enterprise Governance of IT en richten zich vooral op de Nederlandse en Belgische context. Het doel is om voor beleidsmakers, CIO’s, CISO’s, controllers en (IT-)auditors concrete handvatten te bieden om IT-investeringen en digitale transformatie niet alleen als kostenpost of risico te zien, maar eveneens te sturen op maatschappelijke meerwaarde, betrouwbaarheid en doelmatigheid.
Complexiteit en noodzaak
In de publieke sector gaat waardecreatie verder dan financieel rendement. Overheden moeten tegelijk zorgen voor dienstverlening, rechtszekerheid, veiligheid, inclusie en vertrouwen in instituties. Deze doelen zijn moeilijk meetbaar en botsen soms met elkaar. Tegelijk neemt de afhankelijkheid van IT snel toe, onder druk van digitalisering, nieuwe wetgeving, cyberdreigingen, verouderde systemen en schaarse expertise. Publieke IT-leiders ervaren daardoor een duidelijke behoefte aan concrete, waarde-gedreven governance-richtlijnen die helpen betere keuzes te maken in een overvolle IT-portfolio.
Bevindingen
Het whitepaper combineert de uitkomsten van een internationale verkenning met een grote rondetafelsessie met meer dan honderd deelnemers en twee casussen: een contextschets van het Nederlandse Rijk en een “good practice” in een Belgische federale organisatie. In theorie sluit de manier waarop IT-claims in de beleid- en begrotingscyclus worden beoordeeld goed aan bij de balans tussen baten, risico’s en middelen. In de praktijk ontstaan knelpunten: baten zijn politiek geladen en lastig vergelijkbaar aangezien ze kwalitatief en soms persoonlijk zijn, middelen zijn beperkt en verantwoordelijkheden voor beleid, financiering en IT zijn versnipperd.
Dit alles maakt een expliciete en voortdurende dialoog tussen beleidsmakers, uitvoeringsorganisaties en IT-functies noodzakelijk om keuzes in de IT-portfolio te legitimeren en te prioriteren. De Belgische casus laat zien dat een expliciet governance-raamwerk met een stevig gepositioneerde CIO, duidelijke rollen, een integraal IT-portfolio, systematisch benefits management, geïntegreerd (cyber)risicobeheer en transparante rapportage deze problemen aanzienlijk kan verkleinen.
Conclusie
IT is een strategische factor voor publieke waarde, maar traditionele, financieel georiënteerde waardemodellen schieten tekort. Een raamwerk als COBIT is bruikbaar om IT-waarde in de overheid te definiëren en te meten, mits begrippen als baten, risico’s en resources worden ingevuld vanuit publieke missie en democratische verantwoording. Succes vraagt om heldere uitkomstdoelen, consequente weging van baten, kosten en risico’s, en een continue dialoog met politieke en maatschappelijke stakeholders.
Implicaties voor praktijk van de auditor
Voor (IT-)auditors betekent dit dat assurance op de informatievoorziening binnen de overheid verder moet gaan dan projectbeheersing en compliance. Belangrijke vragen hierbij: zijn governance-structuren (zoals de CIO-positie, stuurgroepen en Business Informatie Management-rollen) voldoende om integrale waarde-afwegingen te maken? Worden businesscases, portfolio’s en benefitsplannen systematisch getoetst op publieke waarde, en niet alleen op kosten en wettelijke druk?
Hoe volwassen zijn digitale risicoregisters, NIS2-implementatie en de inbedding in het brede risicomanagement? Is het resource- en sourcingbeleid toekomstbestendig, en functioneren de Three Lines daadwerkelijk rond IT en digitale transformatie? Is er aandacht voor kaders omtrent recente ontwikkelingen zoals AI, I-ecosystemen en soevereiniteitsvraagstukken?
Het volledige onderzoek
Het volledige Whitepaper biedt een verdiepend overzicht van het gebruikte raamwerk, de casuïstiek uit Nederland en België en praktische richtlijnen voor governance, risicobeheer en waardecreatie. Voor iedereen die als (IT-)auditor, CIO, CISO of controller betrokken is bij overheids-IT vormt het een stevige basis om eigen governance- en auditkaders te beoordelen en gericht te versterken.
Drs. Nard Janssens
Drs. Nard Janssens, Strategisch business & I-controller Concern LVVN, PhD onderzoeker TU Delft, heeft meer dan 20 jaar ervaring in IT-servicemanagement, risicomanagement, bedrijfscontrole, IT-governance en IT-businesswaarde bij de Nederlandse centrale overheid. Nard is tevens docent Openbaar Financieel Management en Controlling voor buitenlandse overheden die zich voorbereiden op toetreding tot de EU. De afgelopen twee jaar doet Nard promotieonderzoek aan de TU Delft naar de governance van publiek-private partnerschappen en belangenafstemming.
Maria Haasnoot MSc EMITA RE
Maria Haasnoot MSc EMITA RE, Strategisch business & I-controller Concern LVVN, PhD onderzoeker TU Delft, werkt bij de centrale overheid als strategisch I-controller en is parttime extern onderzoeker aan de TU Delft. Haar onderzoek richt zich op I-control binnen de centrale overheid. Maria heeft ruime ervaring bij de centrale overheid als IT-auditor, informatiemanager en I-controller. Haar professionele interesses liggen in IT-governance, IT-waardecreatie, data- en procesmining en AI.
