De bladderende verf bij IT-systemen

Net zoals iedereen zijn huis onderhoudt, moet je ook je IT-systemen onderhouden. Als je tien jaar lang de kozijnen van je huis niet verft, dan gaat de verf bladderen. Bij IT-systemen werkt het net zo. Alleen kun je die bladderende verf niet zien. De belangrijkste vragen die een commissaris in dit verband kan stellen, zijn:

Wat is de kwaliteit van de belangrijkste IT-systemen?
Wat is de status van het onderhoud van de IT-systemen?
Hoe goed is het patch management ingericht?

Tesla vs oude Volvo

Goed onderhoud van IT-systemen is cruciaal. Maar dat wil niet zeggen dat je altijd het allernieuwste IT-systeem hoeft te hebben. Die goede oude Volvo van vijftien jaar oud werkt nog prima en heeft zeer lage kosten per kilometer. Tegelijkertijd vraag je je wel elke ochtend af of hij überhaupt nog wil starten. Je kunt de Volvo vervangen door de nieuwste Tesla. Deze is uiterst betrouwbaar en splinternieuw, maar de kosten per kilometer zijn vele malen hoger. Onderhoud is dus een delicate balans. Te veel onderhoud is duur, te weinig kent op termijn relatief hogere kosten.

De kwaliteit van IT-systemen laat zich over twee assen beschrijven. De eerste as gaat over de kwaliteit van de functionaliteit van het IT-systeem. Wat levert het IT-systeem aan goede bruikbare functionaliteit voor de medewerkers? Dit heeft veel te maken met de tevredenheid van medewerkers over die IT-systemen. De tweede as gaat over de technische kwaliteit van de IT-systemen. Hoe is het IT-systeem gebouwd en in hoeverre is de technologie van het IT-systeem nog wel van deze tijd? Je hoeft als commissaris niet exact per IT-systeem te weten wat de kwaliteit over deze twee assen is. Maar je wilt wel graag van de directie een beeld krijgen over welke systemen er in de gevarenzone zitten en wat dan de acties zijn om de kwaliteit van die IT-systemen te verbeteren.

Upgraden

IT-systemen moeten goed onderhouden worden. Dit betekent dat gekochte systemen (bijvoorbeeld SAP of Oracle) op de juiste tijden een upgrade moeten krijgen. Systemen die zelfgebouwd zijn (dit noem je ‘maatwerk’), moeten ook worden onderhouden. Softwareontwikkelaars moeten van tijd tot tijd een softwarecode bekijken, kleine fouten corrigeren, herschrijven of anders rangschikken. Het onderhouden van systemen is kostbaar. Maar als dit onvoldoende gebeurt, ontstaat er achterstallig onderhoud. De consequenties van achterstallig onderhoud zijn niet alleen dat het beheer van die systemen dan nog duurder zal worden.

Net zoals bij huizen geldt bij IT-systemen ook: hoe groter het achterstallig onderhoud, hoe hoger de kosten om dit weer bij te werken. Je moet het eigenlijk zien als extra reparatiekosten bij grootschalig onderhoud. Ook zijn systemen met achterstallig onderhoud veel vatbaarder voor informatiebeveiligingsproblemen. Het is dus zaak dat bedrijven het onderhoud van deze systemen heel goed in kaart brengen en met de juiste prioriteit inplannen.

T-1-regel

Voor gekochte IT-systemen wordt door bedrijven vaak de ‘T-1-regel’ gehanteerd. Dat betekent dat een bedrijf altijd de een-na-laatste versie van een gekocht IT-systeem actief wil hebben. De reden om niet de meest recente versie te nemen, is omdat in deze versie mogelijk nog wat kinderziektes zitten. Voor de commissaris is het vervolgens van belang om te kijken in hoeverre het bedrijf ook daadwerkelijk het beleid van T-1 weet te realiseren. En als er afwijkingen zijn, wat daarvan de reden is en of het nodig is om actie te ondernemen.

Digitalisering en IT voor commissarissen en toezichthouders

Op de longlist voor Managementboek van het Jaar 2023. Bestel op Boom.nl

Softwareleveranciers stoppen daarnaast op een bepaald moment met de ondersteuning van bepaalde oudere versies. Dit kan een groot risico zijn voor een bedrijf en daarmee een reden om zo snel mogelijk de upgrade te volbrengen naar een versie die wel wordt ondersteund.

Patchen

Naast de upgrade van de versie van de software moeten er soms ook kleinere aanpassingen in de software worden gemaakt. Vaak omdat er een klein issue is of omdat er een beveiligingslek is geconstateerd. Deze kleine aanpassing wordt ook wel een patch genoemd. Bij sommige softwarepakketten kunnen er wel meerdere patches per maand zijn. Dit soort patches moeten snel worden geïmplementeerd. Het zijn in de regel kleine simpele wijzigingen, die met weinig inspanning ook snel te implementeren zijn. Alleen worden de implementaties van deze patches nog weleens opgespaard dan wel overgeslagen. En dat kan een risico zijn, bijvoorbeeld op het moment dat een belangrijk beveiligingslek niet op tijd gepatcht wordt. Als commissaris wil je dan ook graag weten of er een gedegen proces is om ervoor te zorgen dat alle patches ook daadwerkelijk tijdig worden geïmplementeerd.

Bron: Digitalisering en IT voor commissarissen en toezichthouders

Door: Arnoud Klerkx

Tesla vs oude Volvo

Upgraden

T-1-regel

Patchen

Navigeren door Tricky Tijden met de kracht van Theorie U

Het stellen van de diagnose Verwaarloosde Organisatie: hoe werkt dat?

Rolverdeling in crisistijd tussen Raad van Commissarissen en Bestuur

Positief werkklimaat door sociale en psychologische veiligheid

Waarom zegt niemand er wat van?!

Reputatiemanagement voor commissarissen en toezichthouders

Strategisch managen in turbulente tijden

Activerende ontwikkelgesprekken

Programmacanvas

De Make Mindset

De kracht van Theorie U

De irrationele organisatie

Agile

Organisatieverandering, hoe moeilijk kan het zijn

Boom Management Podcast: De irrationele organisatie met Cornell Vernooij

Brochure Collegereeks Psychologische en sociale veiligheid in teams en organisaties – Voorjaar 2025

Boom Management Podcast: Het generatie-effect met Kim Jansen

Tesla vs oude Volvo

Upgraden

T-1-regel

Patchen

Mis nooit meer de nieuwste inzichten met de gratis nieuwsbrief van Boom Management!