Let op: IT debt kost geld!

 
11 oktober 2013

Tekst Marco Gianotten

Langdurig achterstallig onderhoud van een bedrijfskritisch IT-landschap, in jargon IT debt genoemd, is een sluipmoordenaar. IT debt levert niet alleen een grotere kans op zware verstoringen op, maar zet ook een rem op zowel de groei als het aanpassingsvermogen van de business.

Achterstallig onderhoud in IT is een bedreiging voor iedere organisatie. Het zet de continuïteit en het concurrerend vermogen onder druk, en verergert de complexiteit. IT debt vergroot het risico op verstoringen van de operationele bedrijfscontinuïteit; het laat de beheerkosten stijgen; en het leidt tot een IT-landschap dat ongeschikt is voor toenemende concurrentie.

Aan de CIO de taak om een uitweg te vinden waarbij op alle drie de dimensies resultaten worden geboekt. Het jaarlijks verlagen van het IT-budget als percentage van de omzet – dat is de meest gebruikte internationale benchmark om de IT-kosten in verschillende branches te vergelijken – is misschien wel de minst slimme zet van een CIO. Zeker wanneer deze geen goed zicht heeft op de omvang en impact van IT debt. Hoe herken je de ernst van de kwaal en hoe ga je de strijd aan?

Wanneer bezwijkt IT?

Banken, (zorg)verzekeraars, energiebedrijven en andere ondernemingen uit sterk gereguleerde bedrijfstakken moeten alle zeilen bijzetten om hun systemen continu aan te passen aan de veranderende wet- en regelgeving. Het doorvoeren van verplichte aanpassingen en het uitvoeren van correctief onderhoud bij verstoringen kost veel tijd en geld. In bezuinigingstijd valt het meer strategische onderhoud – om de performance van systemen te verbeteren en verstoringen te vermijden – als eerste af. Door het decennia lang stapelen van generaties aan technologie, het vergroten van het applicatieportfolio, de vele interfaces en de hoeveelheid softwarecode is het IT-landschap niet alleen omvangrijker en complexer, maar ook kwetsbaarder geworden. Wanneer kernsystemen te lang blijven doordraaien op verouderde platformen en software niet goed wordt onderhouden, nemen de continuïteitsrisico’s toe. Zelfs wanneer IT ‘niet stuk’ is en alles nog stabiel draait, blijft het de vraag of de business- en IT-strategie parallel lopen en je klaar bent voor de toekomst. Beschik je over drie of vier jaar over een IT-omgeving die nodig is om de strategische aspiraties waar te kunnen maken? En ben je daarmee voldoende wendbaar in snel veranderende markten?

IT debt is de term die gebruikt wordt voor de achterstand in het up-to-date zijn van IT. Het is een kwaal, te vergelijken met metaalmoeheid: systemen kunnen bezwijken na het overschrijden van een vermoeiingsgrens.

Achter de feiten aanlopen

Elk uur downtime van een belangrijk systeem levert forse financiële schade en een deuk in het imago op

Iedere nieuwe applicatie die wordt opgeleverd, genereert beheerkosten tijdens de levenscyclus. Het ligt voor de hand die jaarlijkse beheerkosten mee te nemen in de budgettering, maar dat is eerder uitzondering dan regel. Daarmee ontstaat een uitdijend beheerprobleem, dat vroeg of laat als een boemerang terugkomt. Wanneer in deze situatie de business gevraagd wordt te kiezen tussen investeren in nieuwe functionaliteit of in beheer, dan ligt de voorkeur vaak bij het eerste. Door de voortsudderende economische crisis schuiven veel bedrijven het onderhoud op de lange baan. Snelle besparingen kun je immers gemakkelijk realiseren door (verder) te bezuinigen op beheer.

Tot voor kort was IT debt een probleem dat alleen binnen de muren van de IT-organisatie werd geadresseerd. Met workarounds en ander kunst- en vliegwerk werden systemen in de lucht gehouden. Daarmee bleef de opgebouwde onderhoudsschuld onzichtbaar voor de buitenwereld, zo was de hoop. Dat dit in één keer kan omslaan, is de afgelopen paar jaar duidelijk geworden met verstoringen die duidelijk zichtbare maatschappelijke gevolgen hadden: denk aan NS, UWV en ING.

Niet alle verstoringen halen de pers, maar wanneer de business stil valt, zijn de gevolgen hoe dan ook groot. Vanaf dat crisismoment is IT debt plotseling een directiekwestie. In eerste instantie overheersen boosheid en ongeloof: hoe is dit mogelijk, waar betalen we die CIO eigenlijk voor, welke service provider kunnen we hiervoor aansprakelijk stellen? Na de emoties komt de bezinning: hebben wij als topmanagement wel goed in de gaten in welke mate onze organisatie afhankelijk is van IT? Managen wij dat proces wel goed? Moeten we niet alsnog extra budget beschikbaar stellen voor het verbeteren van een zwak kernsysteem?

Dergelijk reactief gedrag wijst op het ontbreken van effectief risicomanagement: het managemen  (top, IT en lijn) is dan niet goed in staat de risico’s in een bedrijfseconomische context te plaatsen. Het gevolg is dat er geen structureel budget wordt gereserveerd voor het versterken van zwakke schakels in de keten.

Incidentpreventie bij Change Management

KPN IT Solutions (KPN ITS ) host voor verschillende klanten bedrijfskritische legacy applicaties. KPN ITS is begin 2012 gestart met een programma om het aantal ernstige verstoringen binnen één jaar te halveren. Dit is gelukt door bij het topmanagement van zowel ITS als de klanten met behulp van risk letters besluitvorming af te dwingen over de zwakke schakels in de leveringsketens. Financiële keuzes zijn gemaakt voor technische vernieuwing buiten de gangbare budgetpolitieke arena om. Luis in de pels is een klein schaduwteam met de naam Business Critical Analysis (BCA). Dit team heeft een mandaat om gevraagd en ongevraagd aan te geven wat anders moet. Het BCA-team heeft toegang tot alle logfiles, service management data en rapportages en kan bindend oordelen. Het aantal major incidents bij ITS waarop BCA zich richtte daalde conform het doel: 50 procent minder majors.

Check als een piloot met zijn copiloot; sla geen stap over

Golden rules voor change management

Voor 2013 is het doel wederom het aantal major incidents te halveren ten opzichte van 2012. Daarbij ligt de focus vooral op change management. Nico Dunsbergen, hoofd van het BCA-team, heeft negen gouden regels voor change management opgesteld. Die helpen om het aantal change inflicted incidents sterk te reduceren:

  1. Werk niet op basis van routine. Verwerk changes alsof het de eerste keer is./li>
  2. Controleer stap voor stap en hanteer een checklist. Check als een piloot met zijn copiloot; sla geen stap over.
  3. Accepteer geen onduidelijke changes. Alle instructies moeten 100 procent kloppen.
  4. Ga niet door, wanneer het niet gaat zoals gepland. Stop en zorg dat er eerst duidelijkheid komt.
  5. Hanteer het vier ogen principe. Laat een ander reviewen bij zowel de voorbereiding als de uitvoering.
  6. Degenen die de instructies geven, zijn nooit de uitvoerders: separeer taken om domme fouten te voorkomen.
  7. Wees alert op signalen in de infrastructuur. Monitor of de omgeving error-free is.
  8. Wijk niet voor de druk om tegen architectuurprincipes in te gaan. ‘Tijdelijk’ bestaat niet!
  9. Leg alle incidenten na een change vast en relateer met event mapping. Vaak ontstaan incidenten pas na weken en worden ze niet gekoppeld aan een eerdere change. Evalueer, communiceer en leer van deze cases in groepssessies.

Boardroom en werkvloer

Informatietechnologie heeft het bedrijfsleven veel goeds gebracht, maar de afhankelijkheid ervan levert ook nadelen op. Het permanent vooroplopen met cutting edge technologie betekent bijvoorbeeld dat je vaker te maken krijgt met kinderziektes. Het tegenovergestelde, doorwerken met systemen die zo oud zijn dat de risico’s op meer langdurige verstoringen sterk toenemen, is mogelijk nog risicovoller. De afhankelijkheid van IT is bij de meeste bedrijven en overheden nu zo groot, dat elk uur downtime van een belangrijk systeem forse financiële schade en een deuk in het imago oplevert. Een uur downtime is slecht nieuws dat sneller dan voorheen de directiekamers bereikt. En IT debt heeft, zoals met de aanduiding wordt gesuggereerd, een directe relatie met financiële beslissingen en financiële langetermijneffecten.

Maar IT debt is niet alleen een kwestie voor de bestuurskamer. De risico’s van ernstige verstoringen liggen niet alleen in de techniek, maar ook in menselijke fouten op alle niveaus. IT debt speelt ook mee bij schijnbaar eenvoudige beslissingen die dagelijks op operationeel niveau in de organisatie worden genomen. Waarom zou je een op Windows 2000 draaiende applicatie migreren naar een modern platform? Hij doet het toch nog?! Maar wanneer een niet noemenswaardige update van een driver of vervanging van een kapotte insteekkaart geen Windows 2000 ondersteunt, ligt de applicatie er plotseling voor langere tijd uit. Op operationeeltechnisch niveau ontbrak een cruciaal inzicht: die ene server met die applicatie bleek toch een essentiële dominoschakel in het veel grotere geheel te zijn.

Outsourcing en IT debt

Bij outsourcing van IT ligt vaak de nadruk op het buitenshuis laten managen van de infrastructuurlaag: werkplekken, datacenters en netwerken. De zorg voor het goed draaien van kernapplicaties, databases en websites ligt dan buiten de organisatie; taken als functioneel beheer en systeemontwikkeling blijven in dat geval bij de uitbesteder zelf. Daarmee ontstaat de bekende horizontale knip tussen applicaties, middleware en infrastructuur. Wanneer het onderhoud aan applicaties steeds wordt uitgesteld (door releases steeds over te slaan, door patches niet te installeren, of door het blijven gebruiken van software die niet meer officieel wordt ondersteund) heeft dat effect op de onderliggende infrastructuur en de middleware. Voor een externe service provider is het dan onmogelijk om in het eigen datacenter of op het cloud-platform hardware of software te vervangen, want dat leidt tot problemen met de oudere systemen van de klant.

Het verdienmodel van service providers is grotendeels gebaseerd op het gebruik van platformen waar meerdere klanten gebruik van maken. Dat noodzakelijke schaalvoordeel is niet te behalen wanneer klanten onvoldoende investeren in hun eigen applicaties – bijvoorbeeld door virtualisering achterwege te laten – zodat deze applicaties straks kunnen landen in een cloud-omgeving. Om toch geld te verdienen stelt de service provider vervangingsinvesteringen voor de infrastructuur uit. Applicaties en infrastructuur houden elkaar dan in een wurggreep. Met IT die over de gehele breedte is verouderd, zal het aantal kritische incidenten sterk toenemen.

IT debt en de toekomst

Wendbaarheid en flexibiliteit vragen om toekomstbestendige IT

Wendbaarheid en flexibiliteitEen schuld is meestal de resultante van beslissingen en gebeurtenissen uit het verleden. De gevolgen zijn vooral in de toekomst merkbaar – bijvoorbeeld op het moment van een ernstige verstoring. Ook om een andere reden drukt IT debt op de toekomst van bedrijven en instellingen. De toekomst is steeds minder goed voorspelbaar. In vele branches is niet duidelijk hoe het verdienmodel er over enkele jaren uit zal zien. Ondanks die onzekere toekomst gaan verschillende gevestigde markten momenteel door een transformatieproces. In media, reizen, transport, financiën, energie en gezondheidszorg zal de business de komende jaren drastisch veranderen. Op de lange termijn heeft IT debt invloed op de concurrentiepositie. Wanneer alle concurrenten in hetzelfde schuitje zitten, is er weinig aan de hand. Maar wat gebeurt er wanneer het dominante business model onder druk wordt gezet door een toetreder zonder legacy? Of door een concurrent die niet heeft zitten slapen en al jaren geleden gepaste maatregelen heeft getroffen? Zowel nu als in de toekomst is het voor bedrijven van cruciaal belang sneller te kunnen reageren op nieuwe marktomstandigheden. Daarvoor zijn wendbaarheid en flexibiliteit vereist en die eigenschappen vragen om toekomstbestendige IT.

 

CIO’s kiezen vaker voor aflossen

Het goede nieuws is dat steeds meer CIO’s schoon schip maken, zoals bij ProRail, ABN AMRO en Enexis. Vaak geven ze daarbij prioriteit aan het stabieler krijgen van bestaande omgevingen: niet alleen vervangen ze gericht de zwakke schakels, ook investeren de CIO’s in een betere beschikbaarheid en beveiliging van bedrijfskritische systemen zoals websites en mobiele applicaties. Dit kan software of hardware zijn die niet meer wordt ondersteund door de makers, waarbij garanties zijn vervallen en contractuele afspraken zoals SLA’s niet meer gelden. Andere acties gericht op een betere stabiliteit zijn het sneller anticiperen op en mitigeren van storingen door actieve monitoring op de ketens; en het beter plannen, testen en gecontroleerd laten landen van changes zoals nieuwe releases van software en functionele aanpassingen. Na de realisatie van meer stabiliteit komt de fase van de grote revisies en transformaties – met als doel afscheid te kunnen nemen van de end-of-life systemen.

Hoe krijg je IT debt op de agenda?

De afhankelijkheid van IT geldt niet alleen voor de dagelijkse performance van de business. Wanneer kernsystemen normaal functioneren, wordt de IT-agenda van de business gedomineerd door ontwikkeling van nieuwe functionaliteit. Dat is voor de business namelijk ‘zichtbare innovatie’, in tegenstelling tot de ‘achterkant van IT’, die meestal niet als onderdeel van innovatie wordt beschouwd. Innovatie is cruciaal voor het kunnen bijhouden van de concurrentie. In IT debt schuilt het reële gevaar dat een onderneming tot stilstand komt, omdat de nadruk te veel ligt op alleen functionele innovatie. In veel branches zal onder invloed van nieuwe technologie het verdienmodel veranderen. Hoe kan die nieuwe technologie helpen om te winnen van traditionele en nieuwe concurrenten? Wat zijn de kansen en bedreigingen? Een CIO kan dat soort vragen niet in zijn eentje beantwoorden.

Veel bestuurders en toezichthouders kunnen zich weinig voorstellen bij IT debt. Ze weten zelden welke vragen ze moeten stellen. Goede bestuurders zorgen ervoor dat ze bijblijven op het vlak van IT-vraagstukken en trends, maar ze zijn ook geholpen bij een managementteam waar de CIO de nodige invloed heeft. Het topmanagement als geheel zal moeten bepalen hoe de balans tussen de korte en lange termijn wordt aangebracht als het gaat om IT-investeringen. Er moet in openheid worden gepraat en formeel zal moeten worden vastgesteld wat onaanvaardbare risico’s zijn, bijvoorbeeld met behulp van risk letters, om zo onderbouwde besluiten te kunnen nemen over de balans tussen investeringsbudget en beheerbudget.

Outsourcing moet leiden tot transformatie – met meer wendbaarheid en lagere kosten. Daarbij hoort ook inlossen op de IT debt, in plaats van het verder vergroten van de technologieschuld. Wanneer bedrijfscontinuïteit voldoende hoog op de agenda staat, zal daar ook op moeten worden gestuurd. Voorkomen en preventief onderhoud in de keten wordt dan de norm.

Wat kan de CIO doen?

CIO: 42 miljoen euro, dat was onze jaarlijkse schadepost als gevolg van het plat gaan van belangrijke systemen

De CIO zal het initiatief moeten nemen en zich als een pitbull moeten vastbijten in het toekomstbestendig maken van de IT. ‘Not fit for the future’ gaat niet over trends, maar over het voortbestaan van een onderneming. De CIO zal een plan moeten hebben, dat begint met het stellen van de juiste vragen. Wat beschouwen we binnen onze onderneming als belangrijkste systemen? Bij welke IT-systemen leidt uitval tot het stilvallen van belangrijke bedrijfsprocessen en -onderdelen? Hoeveel wordt gebudgetteerd voor ‘investeren in nieuw’ versus ‘beheer van het bestaande’? Wat is de trend in het aantal majors en de hersteltijden? Hebben we becijferd wat de omvang van schade is die door verstoringen wordt veroorzaakt? Lopen we achter met onze IT op de bestaande en nieuwe concurrentie? Hoeveel tijd is er nog gezien de concurrentiedruk en marktveranderingen?

Wie begint met het stellen van deze vragen, zet het onderwerp IT debt op de kaart bij het topmanagement. Bij een middelgrote AEXgenoteerde onderneming liet de CIO een analyse maken van de schade, die was opgelopen door verloren productie-uren als gevolg van het plat gaan van belangrijke systemen. Conclusie: een jaarlijkse schadepost van 42 miljoen euro, die bij ongewijzigd beleid een stijgende lijn zou vertonen. Die financiële vertaalslag leverde voldoende sense of urgency op – en daarmee draagvlak voor het gericht investeren in het oplossen van de IT debt.