Architectuuraudit: de toegevoegde waarde

David Campbell en Arjan de Vries, maandag 18 mei 2009

In de automatiseringsgids van 30 januari 2009 brak Daan Rijsenbrij een lans voor de architectuuraudit. Een opdrachtgever staat voor een nogal verstrekkend besluit wanneer hij een realisatietraject start op basis van een (kersverse) architectuur. De architectuur moet ondersteuning bieden bij dit besluit. De auditor kan aanvullende zekerheid geven over de aanwezige beheersmaatregelen ter borging van de kwaliteit van de architectuur en het werken onder architectuur. De auteurs hebben binnen de Rijksauditdienst ervaring opgedaan met het managementinstrument architectuuraudits. Met dit artikel willen wij onze ervaringen met de lezers delen.

In de automatiseringsgids van 30 januari 2009 brak Daan Rijsenbrij een lans voor de architectuuraudit. Een opdrachtgever staat voor een nogal verstrekkend besluit wanneer hij een realisatietraject start op basis van een (kersverse) architectuur. De architectuur moet ondersteuning bieden bij dit besluit. De auditor kan aanvullende zekerheid geven over de aanwezige beheersmaatregelen ter borging van de kwaliteit van de architectuur en het werken onder architectuur. De auteurs hebben binnen de Rijksauditdienst1ervaring opgedaan met het managementinstrument architectuuraudits. Met dit artikel willen wij onze ervaringen met de lezers delen.

Architectuur als management instrument

Een goede informatievoorziening is onmisbaar voor de bedrijfsvoering en vindt grotendeels geautomatiseerd plaats. Ontwikkeling en beheer van informatiesystemen gaan daarom hand in hand met de ontwikkeling en het beheer van organisatieprocessen. Een integrale aanpak in business en ITalignment is van doorslaggevend belang. Architectuur is een instrument dat bijdraagt aan een optimale afstemming tussen processen en de informatievoorziening. Kort door de bocht: in de architectuur worden de afspraken vastgelegd waar iedereen (business en IT) zich aan heeft te houden ter waarborging van de afstemming tussen business en IT. Architectuur, ofwel duidelijk vastgelegde ontwerpprincipes en afspraken, is onmisbaar om de inrichting en het beheer van processen en informatiesystemen beheerst te laten plaatsvinden. Laat de bouwvakkers niet los van de gebruikers en inrichters hun gang gaan: bouw onder architectuur! Als instrument maakt het onderdeel uit van een stelsel aan instrumenten die tijdens ontwikkeling en exploitatie een rol spelen. Vanuit deze optiek is (het werken onder) architectuur een beheersmaatregel.

Wat is een audit?

De auditfunctie staat onafhankelijk van de primaire processen van de organisatie en kan worden ingezet om te bepalen of en hoe een instrument als architectuur bijdraagt aan de beheersing. Een audit geeft een onafhankelijke visie op de kwaliteit van het stelsel van beheersmaatregelen en biedt zo aanvullende zekerheid. De auditfunctie kan worden ingezet om de kwaliteit van architectuur te beoordelen. De belanghebbenden bij de audit (bestuurder, afnemer diensten et cetera) krijgt op die manier aanvullende zekerheid over de effectiviteit van architectuur als beheersmaatregel. Een auditor is methodisch primair geschoold in onderzoeken gericht op het geven van zekerheid over de beheersbaarheid en controleerbaarheid van een onderzoeksobject. De auditinsteek is dan: draagt (het werken onder) architectuur bij aan een beheersbare en controleerbare ontwikkeling van processen en informatiesystemen c.q. leidt dit uiteindelijk tot een voldoende beheersbare en controleerbare exploitatieomgeving?

Architectuuraudits

In hoofdlijn zien wij drie soorten audits die van toegevoegde waarde kunnen zijn bij het bepalen van de beheersbaarheid en de controleerbaarheid van architectuur als beheersmaatregel.

1. Een audit naar het proces van totstandkoming en onderhoud van de architectuur (architectuur governance). Centrale vragen die hierbij een rol spelen zijn:

    • of de belangen van alle relevante betrokkenen zijn meegenomen in de ontwikkeling;
    • of wijzigingen in de architectuur beheerst (dus ook "onder architectuur") zijn doorgevoerd.

Door deze audit krijgt de bestuurder aanvullende zekerheid over de mate waarin de organisatie haar architectuur governance beheerst en de mate waarin de kwaliteit van het eindresultaat van dit proces kan worden bestuurd.

2. Een audit naar het werken onder architectuur (architectuur compliance). De IT-auditor stelt door middel van onderzoek vast in welke mate de organisatie (of onderdelen daarvan) feitelijk werkt volgens de vastgestelde architectuur. De architectuur is hierbij de norm. Door deze audit voorziet de auditor de bestuurder van aanvullende zekerheid over de mate waarin het werken onder architectuur bijdraagt aan de beheersbaarheid en controleerbaarheid van het beheer en de verdere ontwikkeling van de processen en informatiesystemen. 1 http://www.automatiseringgids.nl/artikelen/2009/5/architectuuraudit.aspx

3. Een audit naar de kwaliteit van de architectuur. Deze audit is in het algemeen gericht op de verschaffing van aanvullende zekerheid of de beoogde rol van het instrument architectuur in een beheersbare en controleerbare ontwikkeling c.q. toekomstige exploitatie feitelijk wordt bereikt.

Een audit als middel, niet als doel

Wij zijn van mening dat een audit van een architectuur slechts een middel is om de kwaliteit van de architectuur en het werken onder architectuur te waarborgen. Primair is een goed ingericht architectuurproces, met voldoende kennis en kunde, van belang. De auditor kan vanuit een auditrol adviezen geven over de inrichting van dit proces. Uiteindelijk heeft dit alleen toegevoegde waarde wanneer de organisatie dit proces zodanig heeft ingericht dat de auditor de kwaliteit daadwerkelijk kan vaststellen. Dit impliceert navolgbaar ingerichte processen, vastleggingen van de uitgevoerde werkzaamheden in goed gestructureerde ‘rapportages’ en een stelsel van interne controle op de juiste uitvoering van deze processen en de kwaliteit van de rapportages. Ofwel, de organisatie zal zelf een controleerbare en beheersbare architectuur governance moeten opzetten.

Samenvattend stellen wij dat het bieden van aanvullende zekerheid aan organisaties over (het werken onder) architectuur zeker van toegevoegde waarde is voor deze organisaties, maar wij benadrukken dat het aanvullende zekerheid betreft. De verantwoordelijkheid voor een beheersbare en controleerbare architectuur governance en architectuur ligt in eerste instantie bij de organisatie zelf.

Een audit op architectuur is geen panacee en moet ook niet als alibi worden gehanteerd om een kwaliteitslabel te verkrijgen ter "dekking" van de eigen verantwoordelijkheid.

1 De Rijksauditdienst (RAD) bestaat sinds 1 oktober 2008 en bundelt de krachten van de voormalige departementale auditdiensten van de ministeries van BZK, Financiën, VROM en VWS, de Samenwerkende Auditdiensten Noord Nederland, EDP AUDIT POOL en de afdeling Auditbeleid van de directie Coördinatie Auditbeleid Departementen.

[PDF]

Opmerking

Je moet lid zijn van Via Nova Architectura om reacties te kunnen toevoegen!

Wordt lid van Via Nova Architectura

Reactie van Stichting Digital Architecture op 1 Juni 2012 op 11.58

Geschreven door Mark Paauwe op 18-05-2009 10:07

David en Arjan,

Ik kan mij grotendeels vinden in wat jullie stellen. Wij denken volgens mij redelijk hetzelfde over architectuuraudits, maar toch nog en paar vragen voor een goede discussie.

Ik heb een vraag bij jullie stelling: “Wij zijn van mening dat een audit van een architectuur slechts een middel is om de kwaliteit van de architectuur en het werken onder architectuur te waarborgen”.

Ik heb zelf veel ervaring in het reviewen/auditen van architectuur, waaronder die van WIA bij UWV en architecturen bij andere overheidsorganisaties.

Wat mij bij deze organisaties opvalt is dat men er niet in slaagt om de kwaliteit van de architectuur en het architectuurproces, op basis van resultaten uit het review/audit proces (meetbaar) te verhogen.

Bij deze organisaties liggen er vaak kilometers aan auditdocumenten die ook vaak steeds weer met dezelfde bevindingen, conclusies een aanbevelingen komen afkomstig van dezelfde grote audit/consultancy-organisaties.

Wat ik zelf altijd aanbeveel is dat het bestuur en de directie op basis van elk audit rapport een maatregelen-plan maakt, waarin ook daadwerkelijk meetbaar de aanbevelingen van audits worden opgevolgd. Daarnaast dient het maatregelenplan in het eerste jaar elk kwartaal te worden gemonitord op voldoende opvolging. Dit is een randvoorwaarde volgens mij voor jullie stelling.

vraag 1: Hoe staan jullie hier tegenover?

Een tweede vraag die ik aan jullie wil stellen is: Van welk normenkader maken jullie gebruik bij het doen van architectuuraudits? Ikzelf heb onderzocht dat het afvinken van het volgen zelfuitgeroepen standaarden (zoals SOA, Archimate, TOGAF en NORA) onvoldoende werkt om de kwaliteit van een architectuur in de overheid vast te stellen. Van deze zelf uitgeroepen standaarden zijn geen benchmarks gegevens beschikbaar.

Een derde vraag die ik aan jullie wil stellen is: Waarom maken overheidsorganisaties niet gebruik van auditors bij het opstarten van een strategisch project met een lessons learned-document als input voor het maken van een plan van aanpak?

Er zijn drie zaken die ik zelf mis in jullie bijdrage.

Punt 1: Een architect dient in hoofdzaak een ontwerp te maken op basis van architectuur, waarin hij de conceptuele vertaalslag maakt van (kwaliteits)eisen van de opdrachtgever naar flexibele, adaptieve, duurzame en toekomstvaste oplossingen. Een architectuuraudit moet daar altijd ook naar het programma van eisen en het architectonisch ontwerp kijken om de kwaliteit van het architectuurproces en de architectuur zelf te kunnen beoordelen.

Het tweede punt dat ik mis is de ridiculiteits-paradox van het beoordelen van architectuur. Als architectuur de ‘kunst en kunde van het op een juiste ontwerpen en bouwen van bouwwerken is’, waarom zou je dan een architectuur moeten auditen achteraf. Is een kersverse architectuur zoals jullie die zelf noemen, wat net bedacht is door een paar huis-architecten dan wel een architectuur of is het een theorie, axioma, postulaat danwel hypothese? Jullie geven aan dat architectuur een beheersingsinstrument is. Ik kom uit de school die zegt dat architectuur een ontwerpinstrument is. Graag jullie reactie.

Het derde punt is: Ik kom nog te vaak tegen dat externe ingehuurde architecten van dezelfde consultancy-organisatie zijn als de ontwerpers en bouwers van de oplossingen onder architectuur. Dit is volgens mij een zeer ongewenste verstrengeling van belangen. Immers de architect dient uit naam van de opdrachtgever richting de leverancier te kunnen handelen. Wat is jullie mening hierover? Hoe adviseren jullie in deze situatie?

Ik hoor graag op korte termijn jullie reacties en antwoorden voor een goede discussie omtrent architectuuraudits.

Mark Paauwe

gsm: 06 284 17 269
e-mail: mark@paauwe.info

Reactie van Stichting Digital Architecture op 1 Juni 2012 op 11.57

Geschreven door David Campbell op 01-06-2009 13:12

Beste Mark,

Bedankt voor je reactie. Wij zullen per punt dat je aandraagt een reactie geven.

Je eerste vraag richt zich op het ‘niet landen’ van auditrapporten. Stapels aanbevelingen waar niets mee wordt gedaan. Dit is geen probleem dat specifiek geldt voor architectuuraudits. In onze ervaring heeft dit een aantal oorzaken.

Vaak zien we dat noch het onderwerp architectuur, noch (in het verlengde daarvan) een uitgevoerde audit daarop landt bij de boardroom. Wij hebben het gevoel dat het vak architectuur zich in algemene zin nog onvoldoende in de ogen van de boardroom heeft bewezen wat betreft de toegevoegde waarde ervan. Toegevoegde waarde in bijvoorbeeld het licht van effectiviteit (betere systemen?), efficiency (goedkopere systemen) of compliance-/beheersingsvraagstukken (architectuur als randvoorwaarde binnen IT-Governance). Aan de andere kant dient de auditor natuurlijk de hand in eigen boezem te steken en na te gaan waar verbeteringen mogelijk zijn. Net als architecten het niet altijd voor elkaar krijgen dat architectuur begrepen wordt in de boardroom, slagen auditors er niet altijd in om aanbevelingen te laten landen in diezelfde boardroom. Dit gelt net specifiek voor architectuuraudits. Let dan op de volgende oorzaken, of, indien positief geformuleerd remedies:
- het voldoende positioneren van het belang van de (audit op) architectuur in de doelstellingen van de boardroom; spreek hen aan op de eigen KPI's, laat architectuur "geen feestje van specialisten zijn;
- Onvoldoende afstemming met de opdrachtgever over de auditvraag. Afstemming vergroot het belang dat de opdrachtgever bij de audit heeft.
- Onvoldoende aansprekende rapporten en aanbevelingen. De opdrachtgever wil doorgaans geen lappen tekst, maar visualisaties van de stand van zaken in het perspectief van voor hem begrijpelijke en aansprekende doelstellingen en risico's. Kleuren en dashboards doen wonderen. In het bijzonder bij een architectuuraudit is nadenken over visualisering van onderzoeksresultaten belangrijk.
- We merken overigens dat bovenstaande punten qua invulling erg afhankelijk zijn van de auditor die het onderzoek uitvoert.

Je tweede vraag betreft het gebruik van normenkaders. Dit is inderdaad een lastig onderwerp.
- De standaarden die je aandraagt zijn vaak ‘kinderen’ van bloedgroepen architecten en dit zorgt voor nogal wat discussie. Leidend is het principe dat een organisatie zelf een norm zal moeten adopteren. Binnen de Overheid is dit de NORA (maar dit stelt je niet in staat de kwaliteit van onderliggende domeinarchitecturen vast te stellen, hooguit de NORA-compliancy, immers, NORA is geen kwaliteitsmodel, maar een referentiearchitectuur).
- Veel normenkaders zijn nogal formeel. Leiden tot inzicht over de volledigheid en controleerbaarheid van de architectuur. Er worden eisen gesteld aan minimaal op te nemen onderdelen. Hoewel dit nuttig is als startpunt, is dit onvoldoende voor een onderzoek naar de juistheid, effectiviteit en efficiëntie van de architectuur.
- Door de complexiteit van architectuur als object zijn deze laatste aspecten lastig productgericht te controleren. Procesmatig kunnen wel waarborgen worden geboden. TOGAF biedt hier inderdaad weinig echt concrete handvatten voor.
- Een mogelijkheid is soft controls. Vraag de belanghebbenden of zijn belangen in de architectuur terugkomen. Dit analoog aan ISO9001:2000 waarbij de klanteisen leidend zijn voor de kwaliteit.

Reactie van Stichting Digital Architecture op 1 Juni 2012 op 11.57

Afsluitend kun je wat betreft het onderwerp normenkaders eigenlijk concluderen dat je als architect en auditor eerst goed aan de slag moet met de boardroom om de doelstellingen van architectuur helder te krijgen. Worden daar de goede dingen gedaan in het licht van bereiken van doelstellingen en/of het beheersen van risico's? Na die positionering en keuze voor de toepassing van het instrument architectuur is het zaak dit op een goede manier te doen. Met een audit kun je dus niet "zomaar" een normenkader hanteren. Je zult met de opdrachtgever goed moeten nagaan of de audit:
- gericht is op de strategische positionering van het instrument architectuur (dan nauwelijks concrete normenkaders bruikbaar), ofwel
- gericht is op de juiste implementatie van gemaakte keuzes (meer compliance gerichte audit waar concrete normenkaders vanuit de gemaakte keuzes toepasbaar zijn).

Je derde vraag is een gewetensvraag. “Waarom maken overheidsorganisaties niet gebruik van auditors bij het opstarten van een strategisch project met een lessons learned-document als input voor het maken van een plan van aanpak? “ Soms gebeurt dit natuurlijk. Dit is bijvoorbeeld afhankelijk van de opdrachtgever. Maar waarom dit niet structureel gebeurt is lastig aan te geven. Binnen de rijksoverheid is het in ieder wel zo dat grote ICT-projecten (> € 20 mln.) een startreview moeten ondergaan. Ook is het opstellen van een Project Start Architectuur voor dergelijke projecten verplicht.

Vervolgens draag je een drietal punten aan.

Je eerste punt betreft het betrekken van het PVE als uitgangpunt bij een architectuuraudit. Een architectuuraudit met voldoende toegevoegde waarde moet verder gaan dat de formele toetsing die we in het antwoord op je tweede vraag aangeven. Het proces van totstandkoming van de architectuur en de governance (beide processen zullen aan vergelijkbare eisen dienen te voldoen) bevatten waarschijnlijk maatregelen die waarborgen dat een PVE meegenomen wordt bij het opstellen, c.q. aanpassen van een architectuur. Door als auditor zelf verband te leggen tussen het PVE en de architectuur kan wellicht ook een meer inhoudelijke productgerichte beoordeling plaatsvinden. Dit lijkt ons dus een goed punt.

Je tweede punt betreft feitelijk de doelstelling van architectuur. Is het een ontwerpinstrument of een beheersinstrument? We zouden de vraag terug kunnen leggen: Is er een verschil? Waarom wordt een complex object eerst ontworpen? Om de risico’s van verkeert uitgevoerde bouw te beperken toch zeker?

Je derde punt over minimale functiescheiding in de architectuurfunctie, en breder bij de systeemontwikkeling, is vrij stellig. Wij zien de logica van een scheiding tussen architect en bouwer zeker in. Of de vermenging van de functies zeer ongewenst is, dat durven wij niet te beweren. Er kunnen omstandigheden zijn die deze functievermenging minder erg maken (bijvoorbeeld een opdrachtgever die zelf goed in staat is zijn vraag te formuleren en kan inschatten wat de bouwer kan, of een kleinere onderneming, die het geld niet heeft om twee bureaus in te schakelen, maar wel onder architectuur wil werken. Wij kunnen ons dus vinden in de strekking van het punt, maar niet de stelligheid.

Het lijkt ons nuttig om onze ervaringen uit te wisselen en de discussie voort te zetten tijdens een gesprek. Wij zullen hierover contact met je opnemen.

Namens de architectuurwekgroep van de RAD

David Campbell
06 1830 42 56

Sponsoren

Sessies

15-02: GIA sessie over digitale transformatiespel meer...

19-03: NAF Insight met Jeanne Ross meer...

Advertenties

Je kunt hier adverteren

© 2018   Gemaakt door Stichting Digital Architecture.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden