Skip to main content

Themes

Business & IT Value

IT-ontwikkelingen in de dynamische woningcorporatiesector vragen om een samenhangende aanpak

Het is geen nieuws dat woningcorporaties de laatste tijd onder enorme druk staan. Ze staan volop in de publieke en politieke belangstelling en moeten het, mede als gevolg van de economische crisis, met steeds minder geld doen. De inzet van IT kan in dit uitdagende speelveld van de woningcorporatie een cruciale rol spelen. Deze wereld van IT staat echter, op zijn zachtst gezegd, zeker ook niet stil. De IT-ontwikkelingen met een mogelijk grote impact op de bedrijfsvoering van corporaties volgen elkaar in snel tempo op. Dit artikel gaat in op enkele van deze ontwikkelingen. Het volgen en/of toepassen van deze IT-ontwikkelingen binnen de corporatie is vaak niet eenvoudig, maar biedt wel kansen om enerzijds de transparantie en betrouwbaarheid van de bedrijfsvoering te verhogen en, niet onbelangrijk, tegelijkertijd kostenbesparingen en toegevoegde waarde aan de bedrijfsprocessen te realiseren. Het doorvoeren van veranderingen in en het beheren van IT is echter zeker niet zonder risico’s. Een gedegen strategie, samenhangende aanpak en risicobenadering zijn hierbij onmisbaar.

Inleiding

Woningcorporaties staan flink onder druk! Er is veel aandacht in de media voor de prestaties van de corporatiesector, al dan niet met name voor de misstanden. Corporaties staan dus volop in de publieke en politieke belangstelling en moeten het doen met steeds minder geld. Een groot aantal corporaties staat op dit moment financieel onder water. Als gevolg van dit krachtenspel zijn de afgelopen jaren veel bewegingen op gang gekomen. Voor de hand liggende voorbeelden zijn fusies, overnames of samenwerkingsverbanden dan wel het centraliseren (bijvoorbeeld shared service centra) en/of het uitbesteden van bepaalde activiteiten (bijvoorbeeld IT, HR, Finance, Onderhoud, Projectontwikkeling).

IT-ontwikkelingen met mogelijk een grote impact op de bedrijfsvoering van corporaties volgen elkaar bovendien in snel tempo op. Bijna tachtig procent van de corporatiebestuurders verwacht dat het overgrote deel van de dienstverlening digitaal zal zijn in 2020 ([Hoof12]). Andere voorbeelden van ontwikkelingen zijn de toename van (interne en externe) systeemintegratie, standaardisaties (CORA, VERA), (out)sourcing, het steeds meer locatie- en device-onafhankelijk werken, architectuurdenken, de nadruk op informatiebeveiliging en de inzet van social media / social analytics.

De inzet van IT kan in het uitdagende speelveld van de corporaties een cruciale rol spelen. De IT-ontwikkelingen laten zich eenvoudig benoemen, echter het realiseren van een passende vertaling en toepassing ervan binnen de corporatie is meestal geen sinecure. Tegelijkertijd moet bedacht worden dat de IT-ontwikkelingen wel de kansen bieden om enerzijds de transparantie en betrouwbaarheid van de bedrijfsvoering te verhogen dan wel, niet onbelangrijk, tegelijkertijd de zo gewenste kostenbesparingen te realiseren. Het negeren van de IT-ontwikkelingen is dus geen optie.

Zowel de ontwikkelingen in de sector als de ontwikkelingen in de IT vragen om een passende aansluiting van beide. Het doorvoeren van veranderingen in IT is echter niet zonder risico’s.

Dit artikel beschrijft een aantal IT-ontwikkelingen, specifiek toegespitst op woningcorporaties. IT-ontwikkelingen die de technische, organisatorische en menselijke kant van IT raken en tegelijkertijd kansen bieden om enerzijds de bedrijfsvoering transparanter en betrouwbaarder te maken en, niet onbelangrijk, anderszijds processen efficiënter en effectiever in te richten. Dit artikel gaat verder in op ontwikkelingen op het gebied van IT en fusies, benodigde complexiteitsreductie in het applicatielandschap, de toename van IT-uitbesteding en het belang van risicomanagement. Ook wordt het belang van een samenhangende IT-strategie en roadmap beschreven waarin eerdergenoemde ontwikkelingen samenkomen.

De rol van IT als onderdeel van een fusie

Vanuit alle hoeken binnen en buiten de corporatiesector is in de afgelopen periode aangegeven dat de financiële huishouding bij corporaties verbeterd moet worden en dat de kosten verder onder druk komen te staan. Dit geldt niet in de laatste plaats voor de kosten van IT. De afgelopen jaren is bij corporaties het aantal IT-systemen flink gegroeid en hiermee vaak ook de omvang van de IT-afdelingen. Een beetje IT-afdeling van een middelgrote corporatie telt al snel twee à drie helpdeskmedewerkers, twee functioneel beheerders en een IT-specialist. De IT-gerelateerde kosten per Verhuurbare Eenheid (VHE) zijn de afgelopen tien jaar met meer dan zeventig procent gestegen ([Bloe12]). Het goede nieuws hierbij is wel dat de stijging van de IT-kosten van de afgelopen jaren (gemeten naar VHE) inmiddels grotendeels is gestabiliseerd.

Op basis van het relatief hoge kostenniveau kan vastgesteld worden dat er nog het nodige is te besparen, als het gaat om het verbeteren van zowel de efficiëntie als de effectiviteit. Corporaties voeren relatief veel bedrijfsfuncties in eigen beheer uit (bijvoorbeeld: IT, de personele en financiële administratie, inkoop, onderhoud en projecten). Samenwerking binnen en buiten de corporatiesector, het opzetten van shared service centers en/of (out)sourcing maakt schaalvergroting mogelijk waardoor kosten zijn te besparen. Ook anders inkopen kan leiden tot forse kosten­voordelen zonder dat het ten koste hoeft te gaan van de kwaliteit van het ingekochte product of de dienst. Corporaties met meer dan 20.000 VHE’s ondervinden daarbij nog een aanvullend schaalvoordeel wat betreft de kosten van IT ([Huls13]). Corporaties moeten op het punt van de kosten van hun bedrijfsvoering en hun investeringen dus kritisch naar zichzelf blijven kijken.

Hoewel het kostenaspect, ook op het vlak van IT, vaak een directe aanleiding is (geweest) voor een fusie tussen corporaties, leiden fusies lang niet altijd tot de verwachte kostenvoordelen. Uitgedrukt in cijfers waren er tien jaar geleden nog ruim 750 corporaties, terwijl dit er nu circa 380 zijn. Kortom, het aantal corporaties is in vijftien jaar ongeveer gehalveerd, waarbij de totale woningvoorraad in handen van corporaties in die periode min of meer gestabiliseerd is ([Berg13]). Zestig procent van de corporatiebestuurders geeft bovendien aan de komende jaren intensievere samenwerkingsverbanden te verwachten met collega-corporaties ([Hoof12]). De praktijk laat zien dat dit niet altijd de gewenste besparingen oplevert. Hoewel hiervoor altijd meerdere oorzaken zijn, kan met zekerheid gesteld worden dat op dit punt nog veel verbeteringen mogelijk zijn. Ook toegespitst op het domein van IT blijven, met name in de periode direct na de fusie, belangrijke kansen liggen op het vlak van kostenreductie, procesoptimalisatie en systeemintegratie. De stabilisatiefase, ook ‘post merger integratiefase’ genoemd, en regelmatig aangeduid met ‘de eerste honderd dagen’, vormt een cruciale periode voor de opzet en inrichting van de nieuwe organisatie, processen en technologie, en niet in de laatste plaats de aanpassing van alle afdelingen voor de lange termijn.  

C-2014-1-Olieman-01

Figuur 1. Proces en relevante aandachtsgebieden voor, tijdens en na de fusie.

Zoals gezegd is het proces van een fusie complex en leidt het veelvuldig niet tot de verwachte resultaten. Fusie- en overnameactiviteiten introduceren vrijwel altijd de noodzaak om meerdere afdelingen te integreren teneinde de beoogde efficiëntie en kostenbesparingen te realiseren, overbodige activiteiten te elimineren, en nieuwe governance en rapportagestructuren te creëren. Figuur 1 schetst op hoofdlijnen het proces van de fusie, waarbij per fase de belangrijkste aandachtsgebieden zijn weergegeven. Het aantal en de aard van de betrokken aandachtsgebieden, alsook de ‘gevoelige’ context waarin de fusie zich vaak begeeft, maken dit tot een bijzonder en complex traject.

Aandachtspunten die (gerelateerd aan de IT) essentieel zijn om het fusieproces te optimaliseren, zijn:

  • Zorg voor integratie van IT-systemen en -omgevingen. Met name het financieel systeem is daarbij van belang in het licht van besparingen (bijvoorbeeld dubbele licenties, beheer), informatievoorziening, uniforme (management)rapportages, beleving van één nieuwe organisatie, etc.
  • Steek veel tijd en energie in de afstemming van de (nieuwe) organisatie en processen, en de doorvertaling hiervan naar het (nieuwe) IT-landschap. Dit wordt in de regel gezien als de zwaarste ‘post-deal’ uitdaging, op de voet gevolgd door de afstemming van verschillende culturen.
  • Stel voorafgaand aan het moment van de fusie zelf een (detail)planning op voor de integratiefase na de fusie. Dit geldt zowel voor de IT- als de business-gerelateerde verandertrajecten. Op basis van deze planning kan (bij)gestuurd worden, wat helpt om de beoogde (kosten)synergie en toegang tot nieuwe producten/markten beter te bereiken.
  • Hanteer een zo kort mogelijke doorlooptijd voor de integratiefase. Plan deze strak en zorgvuldig. Een snelle(re) integratie vermindert het aantal onzekerheden en levert een grotere kostenbesparing op.

Zorg naast bovenstaande IT-gerelateerde punten voor de inrichting van een zichtbaar en sterk leiderschap. Praat met één mond en verkondig dezelfde boodschap. Hanteer en communiceer een duidelijke integratiestrategie en waarborg hierbij een open/transparante, frequente en duidelijke communicatie. Met name de eerste honderd dagen na de fusie zijn daarbij cruciaal, leert de ervaring.

De eerdergenoemde punten benadrukken nog eens dat een succesvolle fusie hoge eisen stelt aan het fusieproces c.q. de fusieaanpak, zowel over de assen organisatie, bedrijfsprocessen en technologie als over de as mens en cultuur. Het behalen van de beoogde voordelen is daarbij geen sinecure en vereist een gedegen businesscase, planning, uitvoering en aansturing. Cruciaal daarbij is het hanteren van een multidisciplinaire insteek, waarin alle relevante aspecten tijdig en gestructureerd worden voorzien.

Complexiteitsreductie en vernieuwing in het applicatielandschap

Door de enorme consolidatie van het aantal woningcorporaties de afgelopen jaren bestaat het applicatielandschap van een gemiddelde woningcorporatie uit een samenstel van verschillende (deels) overlappende applicaties. In de branche vormt een ERP-pakket veelal de kern van het landschap, maar daaromheen zijn ook vele satellietapplicaties aangekocht voor specifieke bedrijfsactiviteiten en -functies als klantcontactcentra, management reporting, strategisch voorraadbeheer, projecten, personeels- en salarisadministratie, financiële huishouding, etc. Dit betekent dat in de praktijk het applicatielandschap bestaat uit een lappendeken van applicaties met allerlei meer of minder geautomatiseerde koppelingen tussen deze applicaties. Hierdoor is de complexiteit van het applicatielandschap toegenomen en ontstaan er problemen. Zo hebben incidenten door onderlinge afhankelijkheden tussen de applicaties grotere impact en zijn ze moeilijker op te lossen. Gevolg, de gebruikers ervaren instabiliteit van de IT-systemen, en veranderingen zijn moeilijker door te voeren. Ook neemt de kwaliteit van de informatie steeds verder af doordat gegevens dubbel ingevoerd moeten worden en systemen niet volledig op elkaar zijn aangesloten.

Het is onder andere tegen deze achtergrond dat er een tweetal initiatieven is gestart om het applicatielandschap binnen de corporatiebranche te standaardiseren. In 2010 zag de eerste versie van de Corporatie Referentie Architectuur (CORA) het levenslicht ([Aede13]) en deze heeft zich inmiddels doorontwikkeld tot een derde versie in december 2012. CORA biedt een referentie voor de inrichting van de bedrijfsvoering en de informatievoorziening van woningcorporaties. Met een dergelijke referentiearchitectuur nemen de woningcorporaties weer de regie in eigen handen, waar softwareleveranciers tot dan toe vaak de vrije hand hadden in de inrichting van het IT-landschap. In CORA worden processen en informatiefuncties gestandaardiseerd. Dit moet ertoe leiden dat woningcorporaties in staat zijn gestandaardiseerde requirements naar de leveranciers te stellen en dat leveranciers hun applicaties dusdanig standaardiseren op de informatiefuncties dat applicaties ‘naadloos’ kunnen samenwerken. Omdat CORA een meer bedrijfskundig raamwerk is, is daarnaast ook de Volkshuisvesting Enterprise Referentie Architectuur (VERA) ontstaan om ook de technische berichtuitwisseling tussen applicaties in de branche te standaardiseren. Er wordt inmiddels gewerkt aan een VERA 3.0-versie ([VERA13]). Met CORA en VERA zien we dat door woningcorporaties en leveranciers gezamenlijk hard gewerkt wordt aan standaardisatie en professionalisering. De ingezette standaardisatie zal in de toekomst gaan helpen om tot een geïntegreerd applicatielandschap te komen. De effecten van deze standaardisatie moeten zich echter nog in de praktijk bewijzen. Voor woningcorporaties is het lastig om de vertaling vanuit de raamwerken naar de praktijk te maken en voor leveranciers zijn de standaarden nog niet concreet genoeg om applicaties er ook echt op aan te kunnen passen.

Toch zijn ook de IT-leveranciers bezig met grondige vernieuwingen aan hun IT-oplossingen. De toegenomen schaalgrootte van corporaties alsmede de vraag naar geïntegreerde totaaloplossingen en nieuwe functionaliteit, zoals selfserviceportalen en koppeling met ketenpartijen, zijn hiervoor belangrijke aanleidingen. Hoewel sommige partijen al geruime tijd bezig zijn met de vernieuwingsslag (bijvoorbeeld NCCW, SG, Centric, Cegeka), is de productportfolio vaak nog niet gerealiseerd of slechts beperkt in praktijk gebracht. De afgelopen jaren groeien andere softwareleveranciers (DSA Vision, CTAC en Aepex) in marktaandeel door op deze behoefte in te spelen. De oude marktleiders NCCW en Centric verliezen marktaandeel. Vooral bij de woningcorporaties met meer dan 20.000 VHE’s is deze verschuiving te constateren. Naar verwachting staat er ook bij de leveranciers een consolidatieslag op stapel. Simpelweg omdat de markt te klein is voor het aantal leveranciers. Het eerste voorbeeld diende zich dit jaar aan. Cegeka en DSA Vision kondigden aan hun krachten te gaan bundelen en zijn daarmee de nieuwe marktleider geworden ([Sand13]).

Interessant om waar te nemen is dat leveranciers uiteenlopende strategieën kiezen voor de applicatiearchitectuur van hun productportfolio. SG en Cegeka besloten een paar jaar geleden hun producten te migreren naar een Microsoft Dynamics AX-omgeving. Nieuwe intreders als DSA Vision starten met Microsoft Dynamics NAV als basis en CTAC, Aepex en MyBrand deden hetzelfde met een template voor een SAP-omgeving. NCCW en Centric houden vast aan hun eigen platform. In CORA 3.0 worden vier verschillende applicatiearchitecturen onderscheiden ([Aede13]) verdeeld over twee assen:

  • De horizontale as gaat aan de linkerkant uit van zoveel mogelijk streven naar ‘functionele aansluiting’ bij de wensen van de business. Dit resulteert meestal in specifieke oplossingen per functie en daarom ook in een groot aantal applicaties. Het andere uiterste aan de rechterkant gaat uit van een streven naar ‘pakketminimalisatie’, hetgeen leidt tot meer uitgaan van de gegeven functionaliteit van een standaardoplossing en daardoor minder goede functionele aansluiting bij de wensen van de business.
  • De verticale as gaat van ‘harde koppelingen’ tussen applicatie naar ‘losse koppelingen’ op basis van gestandaardiseerde interfaces.

C-2014-1-Olieman-02-klein

Figuur 2. Vier applicatiearchitecturen conform CORA. [Klik op de afbeelding voor een grotere afbeelding]

Figuur 2 laat zien dat op basis van deze twee assen vier applicatiearchitecturen mogelijk zijn:

  1. best-of-breed met point-to-point-koppelingen;
  2. ERP-pakket;
  3. best-of-breed met Enterprise Service Bus (ESB);
  4. dominant pakket met satellietsystemen en ESB.

Op basis van de productvernieuwing waar de verschillende leveranciers mee bezig zijn, kan de ‘strategische beweging’ van de leveranciers bekeken worden (zie figuur 3).

Ze komen allemaal uit een situatie op basis van point-to-point-koppelingen in een best-of-breed of ERP-context en bewegen van daaruit naar meer gestandaardiseerde koppelingen. De positie die de leveranciers hierin innemen geeft aan binnen welke applicatiestrategie de productportfolio het best past. Het betekent niet dat het pakket niet in andere applicatiestrategieën toepasbaar is.

C-2014-1-Olieman-03

Figuur 3. De vernieuwingsbeweging van de belangrijkste leveranciers.

Met deze beweging zijn de leveranciers zich in meerdere of mindere mate ook aan het klaarstomen voor een cloudoplossing, waarin de applicatiefunctionaliteit als een dienst aangeboden kan worden (Software-as-a-Service). Dit valt samen met het scala aan sourcingopties die leveranciers aanbieden. De uitdaging voor woningcorporaties is om met betrekking tot het applicatielandschap te proberen te consolideren met een leverancier die qua strategie past bij het ambitieniveau van de corporatie.

Toename van IT-uitbesteding

Veel corporaties hebben al delen van de IT-voorzieningen uitbesteed. IT-activiteiten die in toenemende mate worden uitbesteed, zijn housing, hosting, technisch applicatiebeheer, systeembeheer, infrastructuurbeheer, netwerkbeheer, werkplekbeheer en servicedesk. Ook zijn meerdere corporaties zich aan het oriënteren om de gehele IT-afdeling buiten de deur te plaatsen waarbij regievoering in eigen huis blijft.

Ten aanzien van IT wordt momenteel binnen kleine en grote corporaties met meer belangstelling naar sourcingvraagstukken gekeken en er wordt dan ook meer uitbesteed ([Huls13]). Corporaties denken hierbij niet alleen aan uitbesteding richting IT-dienstverleners maar ook aan samenwerking met andere corporaties. Een kleine selectie voorbeelden van recente uitbestedingen:

  • Rochdale heeft het beheer van een nieuwe cloudinfrastructuur uitbesteed aan Centric.
  • Wooncompagnie heeft IT-beheer en -onderhoud, inclusief servicedesk aan Cegeka-DSA uitbesteed.
  • Elkien heeft IT-beheer inclusief eerstelijnssupport aan Residenz-ICT uitbesteed.
  • WoonGenoot heeft met NEH een uitbestedingscontract voor kantoorautomatisering uit de cloud.

De drijfveer is vaak de noodzaak te komen tot een efficiëntere bedrijfsvoering. Een waarschuwing is op zijn plaats omdat uitbesteding en samenwerking niet noodzakelijkerwijs tot kostenbesparingen leiden. De eerdergenoemde complexiteitsreductie, standaardisatie en dergelijke vormen een belangrijke randvoorwaarde. Een andere waarschuwing is niet zomaar de kaasschaaf te hanteren op de IT-functie, het kan namelijk zo zijn dat gerichte investeringen in de automatiseringsgraad en verdere digitalisering van bedrijfsprocessen zorgen voor efficiencyvoordelen binnen andere afdelingen (ofwel IT-kostenniveau stijgt, maar totale kostenniveau van de corporatie daalt). Dit kan bijvoorbeeld door gebruik te gaan maken van portalen en selfserviceconcepten. Voorbeelden zijn huurderportalen en portalen voor woonruimtebemiddeling.

Naast mogelijke kostenbesparingen leidt uitbesteding over het algemeen tot meer voorspelbaarheid van de kosten en kostenbeheersing. Voor welke vorm van uitbesteding ook gekozen wordt, analyse van mogelijkheden en kansen dient stap 1 te zijn. Er dient een uitbestedingsstrategie te worden ontwikkeld, inclusief één of meer businesscases voor uitbesteding. Pas hierna dient een besluit te worden genomen om al dan niet te gaan uitbesteden. Ook als een corporatie geen plannen heeft tot uitbesteding over te gaan is het aan te bevelen een uitbestedingsstrategie op te stellen omdat mogelijke kansen nu nog niet worden gezien. Naast kostenbesparingen en -beheersing kunnen de volgende voordelen mogelijk ook worden bereikt (mits goed geanalyseerd op haalbaarheid en risico’s):

  • oplossen van knelpunten in de huidige IT-omgeving;
  • toegang tot actuele kennis en professionele hoogwaardige dienstverlening;
  • voorspelbaarheid van kosten door vaste periodieke kosten in plaats van investeringen vooraf;
  • meer flexibiliteit en kortere time-to-market van nieuwe IT-oplossingen;
  • betere en aantoonbare beheersing van de IT-functie als gevolg van heldere rapportages over de kwaliteit van de geleverde diensten;
  • geringere afhankelijkheid van enkele sleutelposities in de IT-afdeling;
  • meer uitdagingen voor het IT-personeel omdat het overgaat naar een professionele IT-dienstverlener.

Mogelijke nadelen dienen eveneens in kaart te worden gebracht, denk bijvoorbeeld aan:

  • De afhankelijkheid van een externe partij neemt toe.
  • Uitbesteding maakt bepaalde verborgen kosten transparant die na uitbesteding doorbelast zullen worden.
  • Het gevoel van afstand tot de IT’ers kan groeien.
  • De beveiliging kan zonder goede afspraken in het geding komen.

In de businesscase voor uitbesteding dient rekening te worden gehouden met de impact van uitbesteding op de bedrijfsvoering. De IT-aansturing wordt minder operationeel en meer tactisch/strategisch van aard. Met andere woorden, de IT-functie wordt meer bedrijfsadviseur. De corporatie moet goed de regie gaan voeren over de IT-dienstverleners die geselecteerd worden. Al naar gelang de omvang van de corporatie dienen hiertoe personele en financiële resources te worden vrijgemaakt met kennis van bijvoorbeeld IT-architecturen, functioneel beheer, IT demand management, informatiemanagement en businessanalyse, inkoop, contractbeheer, service level management, projectmanagement, IT supply management. Verder vraagt het opstellen van een uitbestedingsstrategie, selectie van IT-dienstverleners en vervolgens een exit (contracten lopen af) ook financiële en personele resources die meegewogen dienen te worden.

Het is op de langere termijn te verwachten dat de IT-afdelingen van corporaties zich zullen richten op de informatiefunctie en aansturing van leveranciers, en zelf geen hosting, technisch beheer en dergelijke meer zullen uitvoeren. Ook bij de selectie van een nieuw primair systeem wordt geadviseerd om niet alleen naar mogelijke nieuwe pakketten te kijken, maar tevens hierbij de deliverymodellen (inbesteding al dan niet inclusief overname van IT-personeel, cloud (SaaS, IaaS, etc.)) van leveranciers in ogenschouw te nemen waarbij de leverancier hosting en beheer van de applicatie kan verzorgen binnen een helder prijsmodel (bijvoorbeeld op basis van aantal eindgebruikers of aantal VHE’s). Een KPMG-analyse, op verzoek van een corporatie in 2013 onder de belangrijkste leveranciers van primaire systemen binnen de corporatiesector, heeft duidelijk gemaakt dat de meeste softwareleveranciers nadenken over het verder ontzorgen van corporaties op IT-gebied op basis van pay-per-use modellen.

Beheersen van uitdagingen door risicomanagement  

De uitdagingen waar corporaties voor staan vragen om een gestructureerd proces van risicobeheersing. Risico’s zijn in dit verband die omstandigheden waardoor het halen van de vastgestelde corporatiedoelstellingen kan worden bedreigd. Denk voor corporaties bijvoorbeeld aan risico’s met betrekking tot de financiële positie, imago, regelgeving, informatiebeveiliging, privacy en kwaliteit. Risicomanagement verbindt daarbij de doelstellingen van de corporatie op de verschillende niveaus met de risico’s die het behalen van deze doelstellingen negatief beïnvloeden of zelfs verhinderen. Om risico’s te kunnen beheersen, dienen deze eerst te worden geïdentificeerd en beoordeeld. Bij de beoordeling van een risico worden vervolgens de waarschijnlijkheid (kans) dat het risico optreedt en de gevolgen (impact) wanneer het risico optreedt, vastgesteld. Zie ook figuur 4 voor het COSO 2013-referentiemodel als vertrekpunt voor risobeheersing/-management. Daarna worden de getroffen of nog te treffen beheersingsmaatregelen aan de risico’s gekoppeld. Bij het formuleren van beheersingsmaatregelen speelt, zeker in de eerder geschetste context van de financiële druk binnen corporaties, het kosten-batenaspect een belangrijke rol. Zo is het niet zinvol risico’s met een lage kans van optreden en een lage impact, te willen beheersen wanneer dit tot te hoge kosten leidt. Ook andersom kan een overdadige beheersing van risico’s juist contraproductief werken.

C-2014-1-Olieman-04

Figuur 4. COSO 2013-referentiemodel als vertrekpunt voor risobeheersing/-management.

Risicomanagement is geen statische activiteit of proces, maar heeft een continu karakter. Risico’s en de beheersing hiervan verdienen daarom continue aandacht. Bij de invulling van risicomanagement is het van belang onderscheid te maken in de verschillende niveaus van risico’s en beheersing:

  • strategisch, risico’s die de langetermijn-corporatiedoelstellingen bedreigen;
  • tactisch, risico’s die de doelstellingen voor de middellange termijn bedreigen (bijvoorbeeld op afdelingsniveau);
  • operationeel, risico’s die de dagelijkse bedrijfsvoering (in processen en systemen) bedreigen.

Alle drie niveaus van risico zijn van belang en dienen in samenhang door corporaties beheerst en geïntegreerd te worden als onderdeel van een resultaatgerichte bedrijfsvoering. De toegenomen druk op transparantie, kostenreductie en het niet geconfronteerd willen worden met onaangename verrassingen, onderstreept voor corporaties nog eens dit belang.

Risicomanagement is een breed begrip. In de context van de corporaties en IT wordt daarom voor dit artikel als voorbeeld verder ingezoomd op de risico’s rondom de actuele IT-ontwikkeling van cloud computing en (out)sourcing. Voor beide onderwerpen geldt dat de achterliggende risico’s divers zijn en vragen om een passende beoordeling en beheersing. Figuur 5 toont bijvoorbeeld de verschillende risicogebieden in relatie tot cloud computing.

C-2014-1-Olieman-05

Figuur 5. Risicogebieden van cloud computing.

Ook voor cloud computing geldt overigens dat dit een zeer breed begrip is. Hoewel cloud computing een IT-trend is waar niemand meer omheen kan, wordt de term regelmatig onjuist, of in elk geval onduidelijk, gehanteerd. In dit artikel wordt een definitie van Gartner gehanteerd: ‘een computationele stijl waarbij IT schaalbare en elastische mogelijkheden biedt die worden geleverd als dienst aan externe klanten via het gebruik van internettechnologie’ ([Rooij09]). Kortom, cloud computing en het meer traditioneel klinkende (out)sourcing van IT kennen een grote mate van overlap.

Corporaties vragen om 24/7 beschikbaarheid van IT, een flexibele werkomgeving en een betrouwbare IT-infrastructuur. Cloud computing / (out)sourcing kan dit mogelijk maken. Bij veel corporaties is cloud computing het hypestadium inmiddels voorbij en staat het hoog in de prioriteitenlijst van CIO’s. Could computing wordt steeds verder geïntegreerd in de algehele IT-functie en bedrijfsvoering. Vaak gebeurt dit in een hybride vorm, gecombineerd met een meer traditionele vorm van (out)sourcing.

De behoefte om risicomanagement binnen de corporatie in te richten neemt sterk toe. Bijvoorbeeld specifiek rondom cloud computing hebben corporaties steeds vaker de behoefte aan meer ‘zekerheid’ (‘assurance’) op de in gebruik zijnde IT-diensten van derden. Corporaties worstelen bijvoorbeeld met het classificeren van clouddiensten op basis van de risico’s die hiermee samenhangen en het vervolgens bepalen van een passende assurancestrategie.

Zoals aangegeven is cloud computing slechts één voorbeeld in relatie tot risicomanagement rondom de huidige IT-ontwikkelingen bij corporaties. Het moge, ook gegeven alle overige IT-ontwikkelingen, duidelijk zijn dat de inrichting van adequaat risicomanagement bij corporaties, en daarbinnen het samenbrengen/combineren van meerdere disciplines, cruciaal is. Dit vereist een duidelijke visie, stip op de horizon en een concreet en beheersbaar plan dan wel roadmap om deze stip te bereiken.

Vertaling naar IT-strategie en roadmap

De hierboven beschreven ontwikkelingen en uitdagingen vragen om een samenhangende benadering. In de praktijk worstelen woningcorporaties met de daadwerkelijke vertaling van deze ontwikkelingen naar concrete keuzes in hun IT-strategie en in een duidelijke roadmap om deze strategie ten uitvoer te brengen. Vooral de vraagstukken op het gebied van informatiemanagement worden beperkt uitgewerkt. Er is vaak onevenredig veel aandacht voor technische vraagstukken, zoals investering in nieuwe housing of infrastructuur. Dit terwijl de uitdaging voor de corporatie nu juist ligt op het gebied van informatiemanagement. De technische vraagstukken behoren niet tot de corebusiness van de corporatie en zullen de komende jaren dan ook snel uitbesteed worden.

Ook wordt vaak vergeten dat de IT-strategie sterk samenhangt met de overall bedrijfsstrategie. Corporaties nemen beslissingen over IT-investeringen, terwijl ze nog volop zich aan het herbezinnen zijn op de organisatorische visie. Belangrijk hierbij te beseffen is dat het uitbesteden van bedrijfsprocessen direct van invloed is op het applicatielandschap. Als onderhoud wordt afgestoten, heb je geen functionaliteit voor het onderhoudsproces nodig, maar een duidelijk afgebakende interface tussen de interne kernadministratie en de onderhoudsmodule van de ketenpartner. Samenhang bewaken is hier het sleutelwoord. CORA en VERA zullen hier de komende jaren aan bij moeten dragen, maar vergen hiervoor nog een paar volwassenheidsslagen. Het klaverbladmodel (zie figuur 6) is een praktisch raamwerk om de benodigde samenhang te adresseren in de IT-strategie. Door dit raamwerk in een aantal samenhangende plateaus in de tijd uit te zetten ontstaat de benodigde roadmap.

C-2014-1-Olieman-06

Figuur 6. Roadmap op basis van het klaverbladmodel.

Conclusie

Toenemend toezicht en regeldruk en de noodzakelijke strategische heroriëntatie van woningcorporaties geven een extra impuls aan corporaties om de IT-functie goed onder de loep te houden. Er wordt nadrukkelijk gekeken hoe de bedrijfslasten beter te beheersen zonder de doelgerichtheid aan te tasten. Complexiteitsreductie in het applicatielandschap is een belangrijk onderwerp om efficiëntie en effectiviteit van de informatievoorziening te verhogen. Gedreven door de noodzaak om kosten te verlagen wordt in toenemende mate naar IT-uitbesteding gekeken als instrument om dit te bereiken (al dan niet in samenwerking met andere woningcorporaties).

Trends als CORA en VERA, mobiel werken, cloud computing, betere data-analyse en reporting en minder gebruikmaken van maatwerk passen ook in de strategie om flexibeler en efficiënter te worden.

IT-verantwoordelijken binnen corporaties, IT-auditors en -adviseurs in deze markt dienen goed op de hoogte te zijn van deze ontwikkelingen om corporaties te helpen bij het maken van weloverwogen keuzes op basis van gedegen strategieën, businesscases en risicoanalyses. Ingrepen in het beheer van IT dienen direct bij te dragen aan de bredere strategie van de corporaties. Het is bij veel corporaties nu het moment om de IT-functie toekomstvast te maken. De impact van genoemde trends op de (IT-) organisatie mag niet onderschat worden en vereist een samenhangende strategie en implementatieaanpak met aandacht voor verandermanagement en zichtbare (bij)sturing door directie en bestuur.

Literatuur

[Aede13] Aedes, CORA draagt bij aan professionele branche, www.aedes.nl, 27 augustus 2013.

[Berg13] M. Van den Berge, E. Buitelaar en A. Weterings, Schaalvergroting in de corporatiesector. Kosten besparen door te fuseren?, juli 2013.

[Bloe12] W. Bloemberg, Betere dienstverlening door outsourcing, CorporatieNL, januari 2012.

[Boer96] J.C. Boer RE RA, ir. J.A.M. Donkers RE, drs. R.M. Renes en prof. dr. P. Wallage RA, Corporate Governance; de betekenis voor de ICT-Auditor, Compact 1996/5.

[Hoof12] J. Van Hoof en K. Tegel, Trendonderzoek woningcorporaties 2013, KPMG, december 2012.

[Hoof14] J. van Hoof, A. Hogenes en S. Koomen, Schaakmat of wendbaar? Over strategie bij woningcorporaties, KPMG, 2013.

[Huls13] S. Hulsman, ICT-kosten per verhuureenheid dalen 4,2 procent, Computable, juni 2013.

[Rooij09] J. de Rooij, Gartner herziet definitie van cloud computing, Computable, juni 2009.

[Sand13] R. Sanders, Cegeka en DSA Vision grijpen koppositie, Computable, december 2013.

[VERA13] Stichting VERA, Uitbreiding technische open standaard voor woningcorporaties: VERA 2.0, www.stichting-vera.nl, 11 oktober 2013.

Verified by MonsterInsights