De tekst op de achterflap van 'Creating value in organizations: waardecreatie dankzij ICT', geschreven door de bedrijfskundigen Eli de Vries en Hilko Ploeger, maakte me echt enthousiast. Om managers te helpen om de altijd beperkte ICT-budgetten zo effectief en efficiënt mogelijk te besteden wordt de toepassing van risicomanagement voorgesteld. Via een checklist zou het in een interactief proces met alle betrokken stakeholders mogelijk zijn om gefundeerde besluiten te nemen over ICT. Hierdoor wordt de waarde van organisaties dan stap voor stap vergroot. De in het boek beschreven methode zou in de afgelopen jaren al 200 keer zijn toegepast bij de Rijksoverheid en zich daarmee hebben bewezen. Voila, dat is mooi! Zeker na het zoveelste bericht over een uit de hand gelopen ICT-project. Dit keer bij een grote gemeente, waarbij het project 40 miljoen euro méér kost dan de begrootte 54 miljoen euro. Dus met enthousiasme aan het voorwoord begonnen, met zinnen als 'ICT heeft zich in enkele decennia ontwikkeld tot een factor van doorslaggevend belang voor succesvol functioneren.' Helemaal mee eens, en velen met mij veronderstel ik. Ook de introductie van het zogenoemde Governance Maturity Model spreekt me aan. De geeft de mate van volwassenheid aan van gebruikersorganisaties van ICT, als reactie op het Capability Maturity Model dat de software-industrie zelf heeft ontwikkeld. De logische gedachte is dat de vragende en aanbiedende partij veel effectiever met elkaar kunnen samenwerken als ze zich op het zelfde niveau van organisatievolwassenheid bevinden. Tot zover is alles nog oké. Mijn eerste verwondering ontstaat als risicomanagement als instrument voor het genoemde Governance Maturity Model wordt geïntroduceerd. En wel voor alléén voor het vijfde en hoogste volwassenheidsniveau. Met andere woorden, voor al die organisaties die zich nog niet op dat niveau bevinden zou risicomanagement niet van toepassing zijn voor de beheersing van hun ICT-projecten. Op zijn minst een opmerkelijk standpunt, waarmee vele organisaties zichzelf tekort doen als ze zich eraan zouden houden. Na het voorwoord en de managementsamenvatting bestaat het boek uit tien hoofdstukken, waaronder Management, Karakter van ICT en ICT-strategie, Eigenaarschap, Organisatie en Het Menselijke Aspect. Daarmee begon mijn verwondering snel toe te nemen. Waarom juist die 10 hoofdstukken? Wat is het verband tussen die hoofdstukken? Ik ben er niet achter gekomen. Er staan zeker zinnige dingen in het boek, alleen een heldere rode lijn ontbreekt volledig. Elk hoofdstuk presenteert aan het eind aan praktijkgeval, bijvoorbeeld uit de autolease-sector of over het uitbesteden van ICT bij een grote bank. Helaas zijn de voorbeelden zeer algemeen. In de meeste gevallen is de relatie met het desbetreffende hoofdstuk vergezocht en daardoor moeilijk te vinden. Ten slotte de checklist, waarvan op de achterflap wordt gesproken. Het blijkt dat zo'n veertig procent van het boek uit checklists bestaat, met in totaal 481 vragen. Is het de bedoeling dat we al die vragen in een interactieve sessie met de stakeholders gaan beantwoorden, om daarmee tot de voorgehouden gefundeerde ICT-beslissingen te komen? Het mag inmiddels duidelijk zijn. De titel van dit boek is veelbelovend, evenals de tekst op de achterflap. Die beloftes worden echter volstrekt niet waargemaakt. De in het boek beschreven methode mag dan 200 keer bij de Rijksoverheid zijn toegepast, de effecten ervan blijven onbesproken en ik zal er niets mee gaan doen.
Over Martin van Staveren
Martin van Staveren is adviseur, auteur, docent en spreker. Hij ontwikkelde het gedachtegoed voor risicoleiderschap. Met zijn bureau VSRM helpt hij organisaties doelgericht om te gaan met risico’s én kansen in complexe situaties. Hij is auteur van Risicogestuurd werken (2015), Risicoleiderschap (2018), Iedereen Risicoleider (2020) en Risicodialoog (2023).
