Wordt Service Management straks Risicomanagement?

Gaat beheer straks over Risicomanagement?

In de gesprekken met onze klanten merk ik dat het onderwerp ‘controle’ over IT dienstverlening steeds hoger op de agenda komt. Waar een kleine twee jaar de focus met name lag op efficiëntie en kostenbesparingen, lijkt het nu alsof Service Management steeds vaker voor een ander doeleinde gebruikt wordt: het managen van risico’s (oftewel Risk Management). Met name in de financiële sector (denk aan internetbankieren bij de ING) en de Overheid (bijvoorbeeld DigiD) ligt een steeds hogere druk om de risico’s van IT dienstverlening te weten en te kunnen beheersen. Daarbij gaat het niet zo zeer om het onbereikbaar zijn van een stuk hardware of andere componenten, maar om de risico’s die bestaan bij het onbereikbaar zijn van de complete dienst. Het omvallen van een server leidt immers niet tot Kamervragen, het onbereikbaar zijn van internetbankieren wel.

IT Governance en Service Management

De relatie tussen Service Management en controle is natuurlijk niet nieuw. Al jaren worden er vanuit wettelijke regelingen zoals Sarbanes-Oxley (SOX) IT Governance eisen gesteld over de controle die een bedrijf moet hebben over de IT middelen, systemen en de bijbehorende beveiliging. Vaak is dit keurig beschreven met zogenaamde ‘contol objectives’ en zijn er uitvoerige plannen over hoe alles ook nog gemeten wordt.

Het probleem is echter dat het daar dan ook vaak stopt. Controle over systemen is prachtig, uiteindelijk draait het over de de manier waarop die systemen samen een dienst leveren en wat de impact en risico’s zijn van het onbeschikbaar zijn van deze IT dienst of Service. Het is in mijn ogen dan ook niet meer dan logisch dat er steeds meer naar Service Management gekeken wordt voor de praktische uitvoering van IT Governance. Daarbij komt dat er in Service Management (op basis van ITIL) keurig rollen en verantwoordelijkheden gedefinieerd worden die perfect passen in de vereiste controle die IT Governance eist. Een goed voorbeeld hiervan is het beroemde en populaire RACI model:

RACI Model

Hoe past risicomanagement in dit verhaal?

Sinds de introductie van ITIL Versie 3 (ITIL V3) is het onderwerp Service Strategy aan Servicemanagement toegevoegd. De essentie van dit strategische onderdeel van service management is om op een continue wijze te beoordelen of de huidige IT dienstverlening nog waarde toevoegt voor de klant, en of er misschien nieuwe IT diensten moeten geïntroduceerd die beter passen bij de (toekomstige) eisen van de klant.

In mijn ogen is dit onderwerp (Service Strategy) zeer nauw verbonden met het onderwerp risicomanagement. Bij risicomanagement gaat het immers ook om het bepalen welke risico’s de huidige IT dienstverlening met zich meebrengt, en of er in de toekomst misschien beslissingen moeten worden genomen die minder of (meer gecontroleerde) risico’s van de dienstverlening met zich meebrengen. In feite wordt in Service Strategy en Risicomanagement hetzelfde proces doorlopen, alleen dan vanuit een ander oogpunt.

Omdat het managen van IT risico’s een steeds belangrijkere plek inneemt in de beslissingen over de IT dienstverlening, zou dus de stelling verdedigd kunnen worden dat het onderwerp Service Strategy geleidelijk overgaat in Risicomanagement en dat dus de gehele Service Management keten uiteindelijk niet gebaseerd is op het toevoegen van waarde voor de klant – maar het minimaliseren van risico’s.

De vraag is dus of we effectief bezig zijn met kwalitatieve IT dienstverlening, of dat we in werkelijkheid bezig zijn om onszelf in te dekken. Ik hoor graag uw reactie!

Deel via:
LinkedInTwitterFacebookGoogle+WhatsAppEmail