De CIO’s zijn vrij snel benoemd. En toen werd het stil… Als ik een rapport krijg met bevindingen en aanbevelingen van onze interne accountantsdienst, De Nederlandse Bank (DNB), de Autoriteit Financiële Markten (AFM), de externe accountant of (externe) IT-experts, dan krijgen alle punten een actiehouder en een datum waarop een en ander geïmplementeerd moet zijn. Ik kan ook gemotiveerd aangeven of ik de aanbeveling naast mij neer leg: dat is mijn verantwoordelijkheid. Daar hoeven de ‘controlerende’ instanties het niet mee eens te zijn. In het geval van de accountant kan dat van invloed zijn op bijvoorbeeld de jaarrekening of een SAS70-verklaring. En dan krijgen we een (pittige) discussie.

Vervolgens moet ik implementatieplannen opleveren over hoe en wanneer de maatregelen worden doorgevoerd. De plannen moeten worden voorzien van een kostenplaatje en tijdspad. Over de voortgang van de implementatie wordt door mij regelmatig gerapporteerd aan het Risico Beheers Comité (RBC) van KAS BANK.

Ook onze IAD (Internal Audit Department) wil regelmatig weten wat de stand van zaken is. En in de periodieke gesprekken met DNB wordt er ruime aandacht besteed aan de voortgang. Iedere actie heeft een eigenaar en de acties worden vaak in de vorm van een project opgepakt (als de impact en omvang van die actie dat rechtvaardigt). Dit proces is een ‘perpetuum mobile’: zodra een punt is opgelost, komt er wel weer een nieuwe aanbeveling naar voren. Niet zo vreemd natuurlijk, want alles kan altijd beter.

Ik ben dus heel benieuwd hoe dat bij de overheid gaat. Hoe wordt de opvolging van een dermate belangrijk rapport binnen de overheid opgepakt? Wiens kop gaat eraf als de aanbevelingen niet worden opgevolgd? Want de faalkosten van overheids-ICT-projecten lopen in de tientallen miljoenen. Ook ben ik benieuwd of de geadviseerde maatregelen al effect hebben gehad. Met andere woorden: zijn de faalkosten omlaag gegaan en zijn er meer projecten succesvol afgerond?

Bijvoorbeeld het invoeren van de Gateway-methode, op zichzelf al een gigantisch project. Hoe staat het daarmee? Ik als ‘gewone’ burger en dus stakeholder van de vele overheidsprojecten ben uitermate geïnteresseerd in de manier waarop mijn belastinggeld wordt besteed. Hoe kan ik daarachter komen? Wie is de eigenaar van de actiepunten uit het Rekenkamer-rapport en hoe en aan wie wordt er door hem of haar gerapporteerd over de opvolging?

Want nu lijkt het erop dat het rapport is gebruikt als vulling van de beroemde bureaulade en dat de actie om CIO’s te benoemen meer eentje is geweest van: hoe hou ik de Rekenkamer van mijn rug af? Rijks-CIO Maarten Hillenaar is inmiddels vol aan de slag. Hij vergadert iedere zes weken met de departementale CIO’s. Ik ben wel benieuwd naar wat er precies op de agenda staat. En wat precies het mandaat is van zijn ‘club’. Maatregelen doorvoeren op basis van alleen ‘inhoud en gezag’ is volgens mij minder effectief, maar misschien wel de enige manier binnen de overheid.

In de bancaire wereld is het ‘audit en response’ proces sterk ingebed en onderdeel geworden van de reguliere werkzaamheden. Niet alleen bij ICT, maar in alle gebieden. Elke manager krijgt ermee te maken. Steeds meer medewerkers worden betrokken in het proces. En dat wordt alleen maar sterker: wat dat betreft heeft de kredietcrisis een handje mee geholpen. Er wordt op vele terreinen geïnvesteerd en geïnnoveerd om dit proces zo transparant en efficiënt mogelijk te laten verlopen. Omdat het een heel scala van aanbevelingen en bevindingen betreft, die op verschillende momenten geïmplementeerd moeten zijn, is dat ‘handmatig’ niet meer bij te houden. Dus daarvoor wordt een stuk tooling ingezet. Het leuke van dergelijke tools is dat deze je in staat stellen de impact op de operationele risico’s te bepalen. Ook projectmanagement is onderhevig aan operationele risico’s. Te veel risico’s leiden tot te veel mislukte projecten. En wat misschien nog wel belangrijker is: de ondernemingsdoelstellingen worden niet gehaald.

Moet de storm bij de overheids-ICT nog losbarsten of blijft het stil?