Vijf miljoen euro of meer, dat kosten de IT-projecten van de overheid waar het Bureau ICT-toetsing (BIT) zich over buigt. Het oordeel van het BIT kan zo’n project maken of breken. Sander van Amerongen is waarnemend hoofd van het BIT. Hij legt uit hoe zijn organisatie omgaat met de grote verantwoordelijkheid om monsterprojecten te beoordelen. En hoe die organisatie wil voorkomen dat steeds dezelfde fouten worden gemaakt.
IT-projecten van de overheid staan vaak in een kwaad daglicht. Ze worden geregeld niet of niet binnen de planning opgeleverd en kosten meestal veel meer dan geraamd. Maar het beeld van de overheid als het sloomste jongetje van de klas is te eenzijdig. Ook in de commerciële sector zijn IT-projecten vaak geldverslinders, blijkt bijvoorbeeld uit onderzoek van Oxford University en McKinsey. Toch is met overheidsprojecten publiek geld gemoeid en daarom bestaat het BIT, om opdrachtgevers van dit soort projecten scherp te houden.
Het BIT onderzoekt
Zodra een project meer dan vijf miljoen euro kost, buigt het BIT zich erover. “We zijn zo vroeg mogelijk betrokken. Het liefst voordat het programma of het project moeilijk omkeerbare beslissingen neemt. Zoals het aangaan van contracten”, vertelt Van Amerongen. “We zoeken antwoord op twee vragen: Lost dit project een probleem op, en zo ja, kunnen we erop vertrouwen dat het met de gekozen aanpak gaat lukken?”
“We zijn zo vroeg mogelijk betrokken. Het liefst voordat het programma of het project moeilijk omkeerbare beslissingen neemt .”
“We onderwerpen een project aan ons toetskader. Dat bestaat uit dertien risicogebieden. We kijken bijvoorbeeld of het project niet te afhankelijk is van andere projecten. En of alle rollen, taken en verantwoordelijkheden goed zijn vastgelegd. Ook onderzoeken we of de omvang (scope) niet te groot is. En of de IT-architectuur en de planning reëel zijn. Zo doorgronden we een IT-project. Daarna brengen we een advies uit aan de bewindspersoon onder wiens verantwoordelijkheid het project valt. Deze bewindspersoon stuurt het BIT-advies en de bestuurlijke reactie naar de Tweede Kamer. Het advies wordt openbaar en ook gepubliceerd op onze website.”
Impact van het BIT
Een langlopend project wordt door een advies van het BIT soms alsnog afgeblazen of gaat flink op de schop. Een oordeel van het BIT kan dus veel impact hebben. “Toch kunnen wij met onze veertien toetsers niet het hele IT-landschap van de overheid bestrijken”, stelt Van Amerongen. “Dat moet ook niet de taak van een toezichthouder zijn. Bovendien scheppen niet wij de voorwaarden voor succes, dat doet de organisatie zelf. Wél kunnen we risico’s transparant maken zodat die beheerst kunnen worden. En nog liever helpen we problemen zoveel mogelijk voorkomen. Daarom is er nu meer aandacht voor het delen van onze kennis over fouten die herhaaldelijk worden gemaakt. De rode draden die wij zien, delen we met CIO-officers en opdrachtgevers binnen de overheid.”
“Veel projecten hebben van tevoren geen goed antwoord op de vraag welk probleem het project oplost.”
De rode draden
Er valt een hoop te leren, zien Van Amerongen en zijn collega’s: “Er worden nog te veel enorme projecten opgetuigd waarbij een organisatie tegelijkertijd met een nieuwe technologie wil gaan werken, processen standaardiseert én de organisatie reorganiseert. Wij adviseren om dat op te knippen, zo verklein je het risico dat het project misloopt.”
Een andere rode draad die het BIT ontwaart, is dat veel projecten van tevoren geen goed antwoord hebben op de vraag welk probleem het project oplost. “Een groot systeem vervangen simpelweg omdat het oud is en helemaal opnieuw beginnen, is bijvoorbeeld nog geen overtuigend antwoord”, stelt Van Amerongen. “Verder zien we dat er vaak niet genoeg ervaring is met projecten om een realistische planning te maken. Wij adviseren dan om eens te rade te gaan bij vergelijkbare organisaties die zo’n type project hebben uitgevoerd.”
Kleine verbeteringen
Zijn er dankzij het BIT minder falende IT-projecten? “Dat is moeilijk te zeggen. BIT bestaat nog maar vijf jaar en de projecten die we beoordelen hebben vaak een langere doorlooptijd dan dat”, stelt Van Amerongen. “We zien wel dat projecten onze adviezen ter harte nemen. Zo werd vorig jaar in een paar zeer grote IT-projecten heroverwogen of stevig bijgestuurd naar aanleiding van ons advies. Een van die projecten beoordelen we nu weer en we zien duidelijk dat er geleerd is en dat nu adviezen worden opgevolgd. Maar het blijft inherent aan grote IT-projecten dát er risico’s zijn.”
“Het blijft inherent aan grote IT-projecten dát er risico’s zijn.”
“Eerlijk gezegd zien we ondanks ons toezicht en adviezen ook nog steeds veel te grote projecten. Die kosten veel, duren vaak langer dan gepland en leveren pas na jaren de eerste tastbare resultaten op. Dat kan sneller met een projectopzet die in stukken is opgedeeld. Wat wel hoopvol stemt, is dat de afgelopen jaren opdrachtgevers en -nemers steeds meer kwaliteitsbeheersing in hun projecten inbouwen. Dat betekent dat zij onderweg scherper in de gaten houden of het de goede kant op gaat. Ook zien we gelukkig meer aandacht voor lifecyclemanagement. Dan wordt er vanaf het begin van een project al rekening gehouden met de levensduur van onderdelen van het systeem. Hierdoor kunnen vervangingsinvesteringen veel gerichter en met minder risico worden uitgevoerd.”
Het BIT blijft waken
Internationaal heeft het BIT ook impact. Van Amerongen: “Een mooi voorbeeld is het stevige advies dat we gaven over de ERTMS-aanpak in Nederland. Dat is een project waarin volgens een Europese standaard treinbeveiliging wordt opgezet. Wij gaven onder andere aan dat er te weinig aandacht was voor cybersecurity. Dat advies heeft de bewindspersoon die ons rapport ontving in het Engels laten vertalen om er ook op Europees niveau aandacht voor te vragen. Het is goed om te zien dat opdrachtgevers, maar ook de politiek, waakzaam zijn voor de valkuilen van grote IT-projecten. Dat zal met de toename van dit soort projecten ook in de toekomst hard nodig blijven. Wij zullen als IT-waakhond alle partijen op de risico’s blijven wijzen en hen adviseren wat ze moeten doen om de kans op succes verder te vergroten.”
Hoe zat het ook weer met het BIT?
Het BIT werd in 2015 opgericht om te adviseren en controleren bij de start van IT-projecten van de overheid. Het kijkt mee met alle projecten die meer dan vijf miljoen euro kosten en valt onder het ministerie van Binnenlandse Zaken. Het adviseert de CIO’s van de verschillende ministeriële departementen en zelfstandige bestuursorganen die onder de ministeries vallen. Die zouden na vijf jaar zoveel kennis over het runnen van IT-projecten opdoen, dat het BIT kon worden opgeheven.
Dat liep anders: er valt nog steeds veel op te merken over IT-projecten van de overheid. Bovendien werd de positionering van het BIT in twijfel getrokken. Daarom is eind 2019 besloten dat het BIT doorgaat als een onafhankelijk adviescollege. Het BIT – en straks ook het adviescollege – rapporteert aan de staatssecretaris van het ministerie van Binnenlandse Zaken. De taken worden uitgebreid met onderzoek naar het beheer en onderhoud van IT. En behalve in advies gaat het meer energie steken in kennisdeling en de lerende werking van haar adviezen.
