Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

“Bringing IT Back Home”

Afstudeerscriptie voor de Post-graduate IT Audit opleiding aan de Vrije Universiteit te Amsterdam Opstellers: Scriptienummer: Scriptiebegeleider: Bedrijfsbegeleider: Datum: Versie:

Mariska Dubbeldam, Harry Braam en Maarten Eijkhout 909 Tjakko de Boer RE CISA Tom van de Ven RE 28 maart 2009 1.0 Definitief

Voorwoord Deze scriptie is geschreven ter afsluiting van de Post-graduate IT Audit opleiding aan de Vrije Universiteit (VU) te Amsterdam. Het onderwerp van de afstudeerscriptie betreft: ‘Beëindiging van IT uitbestedingscontracten’. Het idee voor dit onderwerp is ontstaan vanuit de praktijk. Alle drie de auteurs hebben in hun dagelijkse werkzaamheden te maken (gehad) met uitbesteding: • •

•

Mariska Dubbeldam is werkzaam bij het Universitair Medisch Centrum Groningen. Het UMCG heeft zijn IT in beperkte mate uitbesteed. Harry Braam is werkzaam bij ABN AMRO bank. ABN AMRO heeft zijn volledige IT uitbesteed, maar is inmiddels overgenomen door een consortium van drie banken. Deze banken hebben een andere visie op uitbesteding dan ABN AMRO had. Als gevolg daarvan wordt de IT-uitbesteding gedeeltelijk teruggedraaid. Dit proces is momenteel gaande. Maarten Eijkhout was werkzaam bij Shell als externe consultant en is, als onderdeel van een uitbestedingsconstructie, overgegaan naar één van de service providers: T-Systems.

Tijdens de initiële brainstormsessies constateerden we dat, hoewel er al heel veel over IT-uitbesteding is geschreven, er nauwelijks literatuur te vinden is over het beëindigen van uitbestedingscontracten. Deze scriptie is een eerste aanzet dit gat te vullen. Als onderdeel van onze scriptie hebben wij een groot aantal personen mogen interviewen. Ruimtegebrek belet ons hier een ieder persoonlijk te noemen, maar wij willen via deze weg iedereen hartelijk bedanken voor hun tijd en waardevolle input op deze scriptie. De bereidwilligheid en openhartigheid waarmee zij ons te woord hebben gestaan maakten ons afstuderen behalve leerzaam ook leuk! Tenslotte, deze scriptie zou niet tot stand zijn gekomen zonder de begeleiding vanuit de VU door Tjakko de Boer en de begeleiding van onze bedrijfscoach Tom van de Ven (Audit manager, ABN AMRO). Hun scherpe, maar altijd opbouwende, kritiek zorgde ervoor dat we de rode draad door deze scriptie niet uit het oog verloren en heeft in hoge mate bijgedragen aan de kwaliteit en leesbaarheid van het eindresultaat. We willen hen hiervoor hartelijk danken.

Amsterdam, maart 2009. Mariska Dubbeldam Maarten Eijkhout Harry Braam


pagina ii

Samenvatting De eindfase van een IT-uitbestedingscontract, al dan niet voortijdig, is een precaire periode. Tijdens deze periode vindt overdracht van werk, kennis, assets, etc. plaats naar een andere service provider, terwijl gelijktijdig het niveau van de dienstverlening niet mag dalen. In toenemende mate beginnen uitbestedende organisaties zich te realiseren dat ze niet goed zijn voorbereid op de contractbeëindiging. Dit komt vooral doordat hier weinig aandacht voor is geweest tijdens de voorbereiding van het IT-uitbestedingstraject. Tijdens de voorbereiding is de aandacht vooral gericht geweest op het selecteren van de juiste leverancier en het opzetten van de regieorganisatie. Dit introduceert het risico dat wisseling van service provider bij contractbeëindiging duurder en tijdrovender wordt dan nodig is. In sommige gevallen resulteert het zelfs in (tijdelijke) verlenging van het contract bij de huidige service provider ondanks dat er betere alternatieven aanwezig zijn. Maatregelen om tot een soepele contractbeëindiging te komen, moeten daarom reeds bij het aangaan van het contract worden vastgesteld en geïmplementeerd. Deze afstudeerscriptie voor de Post-graduate IT Audit opleiding geeft aanbevelingen aan (IT) auditors voor hun beoordeling van de mate waarin de uitbestedende organisatie is voorbereid op de beëindiging van het contract. Deze aanbevelingen zijn uit het onderzoek naar voren gekomen bij de beantwoording van de centrale onderzoeksvraag: “Hoe blijft een organisatie in control na beëindiging van een uitbestedingscontract?” Het onderzoek bestaat uit een literatuuronderzoek en een praktijkonderzoek. Het praktijkonderzoek bestaat uit dertien interviews met uitbestedende organisaties, uitbestedingsconsultants en service providers. Het onderzoek heeft geresulteerd in het identificeren van vijftien risicogebieden die van toepassing zijn op contractbeëindiging. Hierbij is kennisverlies als het belangrijkste risicogebied naar voren gekomen. Per risicogebied zijn vervolgens verschillende mitigerende maatregelen geïdentificeerd. Deze maatregelen bestaan uit een combinatie van contractuele maatregelen (bijvoorbeeld een exitclausule) als niet-contractuele maatregelen (bijvoorbeeld inrichting regieorganisatie). Ten aanzien van de beëindiging van een uitbestedingscontract kan een uitbestedende organisatie in control blijven door de volgende stappen te nemen: • Tijdig onderkennen van het belang van een gestructureerde aanpak van de beëindiging. Hierbij zal de uitbestedende organisatie een risicoanalyse moeten uitvoeren waaruit blijkt welke risicogebieden voor hen van toepassing zijn. Daarna zal de uitbestedende organisatie moeten bepalen welke contractuele en niet-contractuele maatregelen relevant zijn om de geïdentificeerde risicogebieden af te dekken. De contractuele maatregelen zullen in het contract moeten worden opgenomen en de niet-contractuele maatregelen zullen in de organisatie moeten worden geïmplementeerd; • Tijdens de contractperiode moeten de genomen maatregelen consequent worden uitgevoerd en gemonitored; • Ruim voor het einde van de looptijd van het contract zal de uitbestedende organisatie moeten beginnen met de voorbereiding van de beëindiging en overgang. Het onderkennen van de in dit onderzoek vermelde risicogebieden helpt de (IT) auditor te beoordelen in welke mate een uitbestedende organisatie in control is ten aanzien van de beëindiging van een uitbestedingscontract.


pagina iii

Inhoudsopgave 1.

Inleiding.......................................................................................................................................................1 1.1. Aanleiding van het onderzoek .............................................................................................................1 1.2. Doelstelling..........................................................................................................................................1 1.3. Centrale onderzoeksvraag....................................................................................................................2 1.4. Aanvullende onderzoeksvragen...........................................................................................................2 1.5. Afbakening ..........................................................................................................................................2 1.6. Onderzoeksmethode en aanpak ...........................................................................................................2 1.7. Leeswijzer............................................................................................................................................3 2. Uitbesteding (literatuurstudie).....................................................................................................................5 2.1. Inleiding...............................................................................................................................................5 2.2. Fasen in het uitbestedingsproces .........................................................................................................5 2.3. Redenen voor uitbesteding ..................................................................................................................5 2.4. Risico’s van uitbesteding.....................................................................................................................6 2.5. Deelconclusies.....................................................................................................................................8 3. Contractbeëindiging (literatuurstudie).........................................................................................................9 3.1. Inleiding...............................................................................................................................................9 3.2. Meest voorkomende redenen voor contractbeëindiging......................................................................9 3.3. Risico’s rond de beëindiging van een uitbestedingscontract .............................................................12 3.3.1. Bevindingen per risicogebied: Kwaliteitsverlies .......................................................................13 3.3.2. Bevindingen per risicogebied: Financiële gevolgen..................................................................14 3.3.3. Bevindingen per risicogebied: Tijdsverlies ...............................................................................15 3.4. Waargenomen trends m.b.t. contractbeëindiging ..............................................................................16 3.5. Deelconclusies...................................................................................................................................18 4. Praktijkonderzoek: resultaten en vergelijking met literatuuronderzoek ....................................................20 4.1. Inleiding.............................................................................................................................................20 4.2. Opzet praktijkonderzoek....................................................................................................................20 4.3. Bevindingen per risicogebied ............................................................................................................20 4.3.1. Bevindingen per risicogebied: Kwaliteitsverlies .......................................................................21 4.3.2. Bevindingen per risicogebied: Financiële gevolgen..................................................................24 4.3.3. Bevindingen per risicogebied: Tijdsverlies ...............................................................................25 4.4. Algemene observaties uit het praktijkonderzoek...............................................................................29 4.4.1. Onvoldoende aandacht voor contractbeëindiging volgens uitbestedende organisaties .............29 4.4.2. Trends die van invloed kunnen zijn op contractbeëindiging .....................................................29 4.4.3. Opvallende observaties uit het praktijkonderzoek.....................................................................30 4.5. Deelconclusies...................................................................................................................................30 5. Aanbevelingen voor de (IT) auditor voor contractbeëindiging .................................................................32 5.1. Inleiding.............................................................................................................................................32 5.2. Risicoanalyse.....................................................................................................................................32 5.3. Mitigerende maatregelen: ..................................................................................................................33 5.3.1. Mitigerende maatregelen: Kwaliteitsverlies ..............................................................................33 5.3.2. Mitigerende maatregelen: Financiële gevolgen.........................................................................34 5.3.3. Mitigerende maatregelen: Tijdsverlies ......................................................................................35 5.4. Deelconclusies...................................................................................................................................37 6. Conclusies: Beantwoording onderzoeksvragen.........................................................................................38 6.1. Inleiding.............................................................................................................................................38 6.2. Onderzoeksvraag 1: Voldoende aandacht voor het beëindigen van contracten ................................38 6.3. Onderzoeksvraag 2: Risico’s bij het beëindigen van een IT-uitbestedingscontract ..........................38 6.4. Onderzoeksvraag 3: Mitigerende maatregelen ..................................................................................39 6.5. Onderzoeksvraag 4: Trends die van invloed kunnen zijn op het beëindigen van contracten ............39 6.6. Centrale onderzoeksvraag: Hoe blijft een organisatie in control na beëindiging van een uitbestedingscontract? ...................................................................................................................................40 7. Aanbeveling voor verder onderzoek en persoonlijke reflectie ..................................................................42 7.1. Inleiding.............................................................................................................................................42 7.2. Aanbeveling voor verder onderzoek..................................................................................................42 7.3. Persoonlijke reflectie auteurs.............................................................................................................42 Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina iv

Bijlagen .............................................................................................................................................................44 Bijlage 1: Literatuurlijst ....................................................................................................................................44 Bijlage 2: Begrippenlijst....................................................................................................................................48 Bijlage 3: Interviewvragen Afstudeerscriptie ‘Beëindigen van een uitbestedingscontract’..............................51 Bijlage 4: Geanonimiseerde beschrijving van de geïnterviewde organisaties...................................................53


pagina v

1. Inleiding 1.1. Aanleiding van het onderzoek Het uitbesteden van IT-diensten aan gespecialiseerde bedrijven, service providers, is inmiddels gemeengoed geworden. De voordelen van het uitbesteden van IT zijn, in ieder geval in theorie, talrijk: uitbestedende organisaties kunnen zich richten op hun kerncompetenties en hoeven geen tijd en managementcapaciteit te besteden aan IT. Daarnaast zijn de kosten inzichtelijk en afgestemd op de behoeften van de organisatie. Ook hoeven er geen grote investeringen meer te worden gedaan in vernieuwing van de hardware en heeft de uitbestedende organisatie geen zorgen meer om schaars en gespecialiseerd personeel aan te trekken en te behouden [Boldea, 2006]. Er kleven ook risico’s aan het uitbesteden van IT. Hoewel uitbestedende organisaties IT niet als hun core business beschouwen, zijn hun primaire processen in hoge mate afhankelijk van het goed functioneren van diezelfde IT. Daarmee zijn ze afhankelijk geworden van een externe partij voor de continuïteit van hun dienstverlening. Deze sterke afhankelijkheid maakt de relatie tussen uitbestedende organisatie en service provider bijna vergelijkbaar met een huwelijk. Maar wat nou als dit ‘huwelijk’ eindigt? Hoe zorgt een uitbestedende organisatie ervoor dat ze ook nog na de ‘scheiding’ de controle behoudt over haar eigen toekomst? Hoe wordt het risico vermeden dat een uitbestedende organisatie dermate afhankelijk is van zijn service provider dat de overgang naar een andere, commercieel aantrekkelijkere, service provider zeer tijdrovend, kostbaar of zelfs onmogelijk kan worden? Dit kan bijvoorbeeld optreden doordat alle kennis inmiddels bij de huidige service provider zit en er geen afspraken zijn over de overdracht van de kennis. Dit risico wordt des te groter wanneer de contractbeëindiging voortijdig plaatsvindt. In dat geval ligt er meestal een conflict aan ten grondslag en is de wederzijdse goodwill tot een minimum gedaald. Het is belangrijk dat uitbestedende organisaties zich van te voren realiseren dat een uitbestedingscontract per definitie eindig is en reeds bij het aangaan van de relatie maatregelen treffen voor de daaropvolgende periode. Om in gelijke termen te blijven: het is bij een ‘uitbestedingshuwelijk’ niet aan te raden om in gemeenschap van goederen te trouwen, maar juist in de huwelijkse voorwaarden goed vast te leggen wat er moet gebeuren aan het einde van de relatie. Uit een recent onderzoek blijkt dat in 2008 en 2009 zes van de tien organisaties in Nederland hun uitbestedingscontracten zullen vervangen of verlengen [Sanders, 2007]. Een deel hiervan wordt voortijdig beëindigd [Beek, 2008_2]. In toenemende mate lijken uitbestedende organisaties zich nu te realiseren dat er (te) weinig aandacht is geweest voor contractbeëindiging en dat er maar weinig afspraken zijn gemaakt over de afwikkeling van de ‘scheiding’. Redenen hiervoor zijn onder andere het gebrek aan ervaring met het uitbesteden van IT, maar ook een vorm van naïviteit: de beëindiging is van later zorg; er moeten eerst nog zoveel andere zaken geregeld worden om ervoor te zorgen dat de uitbestedende organisatie in control blijft tijdens de duur van het contract dat de beëindiging ervan enigszins ondersneeuwt. Uit diverse case studies in de literatuur komt het beeld naar voren dat uitbestedende organisaties meestal tot in detail geregeld hebben hoe ze met de service provider omgaan tijdens de looptijd van het contract (SLA’s, afgesproken rapportages, definitie van werkzaamheden, escalatieprocedures, etc.), terwijl er nauwelijks aandacht is voor de beëindiging van het contract. De bovenstaande observatie is aanleiding geweest voor het schrijven van deze scriptie.

1.2. Doelstelling Het doel van deze scriptie is om te onderzoeken welke risico’s een uitbestedende organisatie loopt bij het beëindigen van een uitbestedingscontract en welke mitigerende maatregelen hiertegen getroffen kunnen worden. Dit moet resulteren in een set aanbevelingen waarmee een (IT) auditor aan het begin van een uitbestedingscontract kan toetsen in hoeverre de uitbestedende organisatie is voorbereid op het beëindigen


pagina 1 van 55

van het contract, welke risicogebieden nog nadere aandacht vereisen en over welke onderwerpen nog aanvullende afspraken moeten worden gemaakt met de toekomstige service provider. De aanbevelingen kunnen ook gebruikt worden bij assessments van al lopende uitbestedingscontracten. Hierbij kan de uitbestedende organisatie tussentijds de balans opmaken over zijn positie in geval van contractbeëindiging.

1.3. Centrale onderzoeksvraag Op basis van de hierboven beschreven aanleiding en doelstelling is de volgende centrale onderzoeksvraag geformuleerd:

Hoe blijft een organisatie in control na beëindiging van een uitbestedingscontract?

1.4. Aanvullende onderzoeksvragen De centrale onderzoeksvraag zal worden beantwoord door eerst onderzoek te doen naar, en antwoord te geven op, de volgende onderzoeksvragen: 1. Is er, volgens de uitbestedende organisaties, tijdens de voorbereiding van IT uitbestedingstrajecten voldoende aandacht voor het beëindigen van contracten? 2. Welke risico’s loopt de uitbestedende organisatie bij het beëindigen van een IT uitbestedingscontract? 3. Welke maatregelen kunnen worden toegepast om deze geconstateerde risico’s te mitigeren? 4. Welke trends zijn er waarneembaar in de visie op uitbesteding die van invloed kunnen zijn op het beëindigen van contracten?

1.5. Afbakening Uitbesteding vindt op vele gebieden plaats, o.a. complete business processen, IT-diensten, schoonmaakdiensten of catering. Deze scriptie beperkt zich tot het uitbesteden van IT-diensten. De risico’s en risicogebieden die worden geïdentificeerd in deze scriptie zijn afkomstig uit literatuuronderzoek en interviews met deskundigen op de desbetreffende gebieden. Hoewel we van mening zijn dat we hiermee de belangrijkste en meest risicovolle gebieden hebben geraakt, willen we, mede gezien de beperkte tijd die ons ter beschikking stond, niet pretenderen compleet te zijn in ons overzicht. In plaats van gedetailleerde stappenplannen op te leveren, is ervoor gekozen om per risicogebied op hoofdlijnen een aantal mitigerende maatregelen aan te reiken. Deze bieden een uitbestedende organisatie voldoende houvast om deze plannen zelf op te stellen, afgestemd op hun specifieke situatie.

1.6. Onderzoeksmethode en aanpak De volgende methoden en technieken zijn gebruikt bij het beantwoorden van de onderzoeksvragen: • Literatuurstudie; • Het houden van interviews (in totaal 13): hierbij is gekozen voor drie invalshoeken: • Interviews met vertegenwoordigers van uitbestedende organisaties; • Interviews met vertegenwoordigers van service providers; • Interviews met vertegenwoordigers van consultancybureaus die uitbestedingsprocessen begeleiden tot aan de contractondertekening.


pagina 2 van 55

Onderzoeksvraag 1 is vooral bedoeld om een rechtvaardiging te vinden voor deze scriptie. Hij wordt beantwoord door middel van de literatuurstudie en interviewsessies. De onderzoeksvragen 2 en 3 resulteren in een set aanbevelingen waarmee een (IT) auditor aan het begin van een uitbestedingscontract kan toetsen in hoeverre de uitbestedende organisatie is voorbereid op het beëindigen van het contract. Hiervoor is de volgende aanpak gekozen: • Eerst is een brede literatuurstudie uitgevoerd om mogelijke risicogebieden te identificeren; • Daarna is per risicogebied gezocht naar relevante literatuur; • Op basis hiervan zijn de theoretische aanbevelingen voor de (IT) auditor voor beëindiging van uitbestedingscontracten opgesteld. De aanbevelingen bestaan uit een verzameling van mogelijke risicogebieden met bijbehorende (globale) mitigerende maatregelen; • Vervolgens zijn de interviews gehouden waarin de theoretische aanbevelingen zijn getoetst aan de praktijk van de geïnterviewden; • De resultaten van de confrontatie van praktijk en theorie zijn verwerkt in de uiteindelijke aanbevelingen voor de (IT) auditor. Onderzoeksvraag 4 heeft vooral als doel om te toetsen of nieuwe trends en inzichten rondom het beëindigen van uitbestedingscontracten wel verwerkt zijn in de aanbevelingen. Hij wordt beantwoord door middel van de literatuurstudie en interviewsessies.

1.7. Leeswijzer Deze paragraaf geeft een korte introductie op het vervolg van deze scriptie: Hoofdstuk 2 presenteert de resultaten van de literatuurstudie over uitbesteding. Het doel is een korte achtergrond te schetsen van uitbesteding. Na een beschrijving van de verschillende fasen in het uitbestedingsproces wordt een overzicht gepresenteerd van de belangrijkste voordelen en risico’s die kleven aan uitbesteding. Hoofdstuk 3 presenteert de resultaten van het literatuuronderzoek over contractbeëindiging. Het begint met een overzicht van de meest voorkomende redenen om uitbestedingscontracten (voortijdig) te beëindigen. Daarna gaat het in op de risico’s die kleven aan beëindigen van uitbestedingscontracten. Per risicogebied wordt tevens een aantal mitigerende maatregelen uit de literatuur gepresenteerd. Daarna volgt een aantal overige bevindingen uit het literatuuronderzoek waaronder een overzicht van recente trends die zijn waargenomen op het gebied van uitbesteding en die van invloed zijn op het beëindigen van uitbestedingscontracten. De resultaten van dit hoofdstuk worden gebruikt bij de beantwoording van de onderzoeksvragen 1, 2, 3 en 4. Hoofdstuk 4 presenteert de resultaten van het praktijkonderzoek. Tijdens de interviewsessies is getoetst of en in hoeverre uitbestedende organisaties in een vroegtijdig stadium al aandacht besteden aan de contractbeëindiging. Tevens is getoetst of de risicogebieden, die geïdentificeerd zijn in hoofdstuk 3, ook in de praktijk voorkomen en welke mitigerende maatregelen uitbestedende organisaties hiertegen nemen. Eventuele verschillen tussen theorie en praktijk worden in dit hoofdstuk toegelicht. De resultaten van dit hoofdstuk worden gebruikt bij de beantwoording van de onderzoeksvragen 1, 2, 3 en 4. Hoofdstuk 5 presenteert de aanbevelingen voor de (IT) auditor voor beëindiging van uitbestedingscontracten. De aanbevelingen zijn een resultaat van zowel de literatuurstudie als het praktijkonderzoek. Ze bestaan uit de verzamelde mitigerende maatregelen per risicogebied. Hierbij wordt onderscheid gemaakt tussen afspraken die expliciet kunnen worden opgenomen in het uitbestedingscontract en aanvullende activiteiten die een uitbestedende organisatie kan ondernemen ter voorbereiding op de contractbeëindiging. De resultaten van dit hoofdstuk geven het antwoord op de onderzoeksvragen 2 en 3. Hoofdstuk 6 beantwoordt uiteindelijk de onderzoeksvragen met de resultaten uit de voorgaande hoofdstukken. Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 3 van 55

Hoofdstuk 7 bevat de aanbeveling voor verder onderzoek en de persoonlijke reflectie van de auteurs op de totstandkoming van deze scriptie. Tenslotte is er een aantal bijlagen opgenomen: Bijlage 1 bevat het literatuuroverzicht dat gebruikt is bij het literatuuronderzoek. Bijlage 2 bevat een begrippenlijst met een overzicht van de gebruikte definities. Bijlage 3 bevat de gebruikte vragenlijst tijdens de interviewsessies. Bijlage 4 bevat een beknopte en geanonimiseerde beschrijving van de organisaties die de geïnterviewde personen vertegenwoordigen.


pagina 4 van 55

2. Uitbesteding (literatuurstudie) 2.1. Inleiding Dit hoofdstuk geeft de resultaten van het uitgevoerde literatuuronderzoek weer. Er wordt ingegaan op de fasen in het uitbestedingsproces, redenen waarom organisaties overgaan tot uitbesteding en de risico’s die ze hierbij tegenkomen. De doelstelling van dit hoofdstuk is de lezer een algemeen beeld te geven van uitbesteding op basis van het uitgevoerde literatuuronderzoek.

2.2. Fasen in het uitbestedingsproces In het proces tot uitbesteden kunnen de volgende fasen worden onderscheiden namelijk [Delen, 2005 en Platform Outsourcing Nederland]: • Besluitvorming. In deze fase wordt bepaald welke processen kunnen worden uitbesteed en wordt nagegaan wat de voor- en nadelen van een eventuele uitbesteding zijn. • Leveranciersselectie. Op basis van een programma van eisen en wensen wordt de beste leverancier gekozen. Het contract wordt afgesloten, waarna deze fase eindigt met de overdracht van de dienstverlening van de uitbestedende organisatie aan de service provider en het inpassen van deze dienstverlening in de organisatie van de service provider. Hierbij kunnen mensen en middelen vanuit de uitbestedende organisatie worden overgedragen aan de service provider. Bij de overdracht van de ITdienstverlening is het van belang dat er door de uitbestedende organisatie en de service provider gezamenlijk wordt opgetrokken en er een goed inzicht is in de huidige IT-infrastructuur en dienstverlening. • Contractmanagement. De IT-dienstverlening wordt door de service provider uitgevoerd onder aansturing van de uitbestedende organisatie. Voor de aansturing van de service provider moet binnen de uitbestedende organisatie een regieorganisatie worden ingericht, waar het service management en het demand management worden ondergebracht: • Service management. Over het algemeen is tijdens de contractonderhandelingen een Service Level Agreement (SLA) opgesteld, waarin het niveau van de dienstverlening is beschreven. De uitbestedende organisatie moet het niveau van de dienstverlening bewaken en, indien gewenst, aanvullende of andere afspraken maken met de service provider indien de behoefte aan bepaalde ITdiensten bij de uitbestedende organisatie wijzigt (service management). Het afgesloten contract moet echter wel ruimte bieden voor deze flexibiliteit. • Demand management. Een goede relatie tussen de service provider en de uitbestedende organisatie wordt bevorderd indien duidelijk is, wat men van elkaar kan verwachten. De regieorganisatie vormt het aanspreekpunt voor de service provider en zorgt ervoor dat vragen/wensen vanuit de organisatie worden gebundeld en geprioriteerd. • Contractbeëindiging. Om twee redenen kan het contract worden beëindigd: de contractduur is verstreken, of het contract wordt voortijdig opgezegd. Voordat een contract eindigt, moet worden nagedacht, of het contract bij de huidige leverancier wordt verlengd, een andere leverancier wordt gezocht (follow-up sourcing), of de IT-dienstverlening weer in huis wordt genomen (backsourcing). Volgens een onderzoek van het onderzoeksbureau Giarte [Giarte, 2008], worden veel contracten met een jaar verlengd als gevolg van gebrek aan tijd of aandacht.

2.3. Redenen voor uitbesteding Bij de afweging of de gehele IT-dienstverlening of onderdelen daarvan kunnen worden uitbesteed, moet een onderscheid worden gemaakt tussen kerncompetenties en commodities. Alles wat een organisatie tot zijn kerncompetenties rekent moet een organisatie niet uitbesteden, omdat hij daarmee zijn onderscheidend vermogen ten opzichte van zijn concurrenten kwijtraakt [Delen, 2005]. Commodities zijn standaardonderdelen waarmee een organisatie zich niet kan onderscheiden en die generiek op de markt worden aangeboden, bijvoorbeeld IT-infrastructuur. Voor uitbestedende organisaties is het noodzakelijk om van ieder uit te besteden onderdeel na te gaan of het tot een kerncompetentie of tot een commodity kan worden gerekend. Een organisatie kan zonder problemen commodities uitbesteden, omdat hierbij haar concurrentiekracht intact blijft. Het literatuuronderzoek heeft geleid tot diverse artikelen die ingaan op de Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 5 van 55

redenen van bedrijven om over te gaan op uitbesteding. De verschillende redenen hebben wij verdeeld in de volgende groepen: ‘Financiële motieven’, ‘Kwaliteit van de IT-dienstverlening’ en ‘Concurrentiekracht van de organisatie’. Financiële motieven • Variabele kostenstructuur. De uitbestedende organisatie betaalt alleen voor de diensten die zij afneemt [Gonzales, 2008]. Dit betekent dat in geval van tijdelijke drukte geen extra personeel hoeft te worden ingehuurd omdat dit wordt opgevangen door de service provider. Andersom geldt dit ook voor een verminderde behoefte aan personeel. In geval van een investering in hardware (bijvoorbeeld extra geheugen) betaalt de uitbestedende organisatie alleen voor de extra afname van diensten en hoeft hij niet de gehele investering te financieren. De IT-kosten worden op deze wijze voor de loopduur van het contract transparanter (directe relatie met de afname bij de service provider) en beter voorspelbaar. Voor uitbestedende organisaties die niet hun middelen hebben overgedragen speelt dit motief een geringe rol omdat zij nog steeds verantwoordelijk zijn voor investeringen in de IT-infrastructuur. Alleen een tijdelijke, grotere, behoefte aan personeel zal door de service provider worden opgevangen. • Transparantie van IT-kosten [Overby, 2007]. Bij het afsluiten van het contract is bij de uitbestedende organisaties bekend hoe hoog de IT-kosten zullen zijn voor de duur van het contract. • Reductie van operationele kosten. Uitbestedende organisaties hebben vaak de verwachting dat zij aanzienlijk kunnen besparen op IT wanneer zij uitbesteden. Allereerst kunnen service providers IT-diensten voordeliger aanbieden dankzij hun schaalgrootte [Boldea, 2006]. Service providers kunnen hun personeel, IT-infrastructuur en licenties verdelen over verschillende accounts, waardoor de kosten per account worden verlaagd. Daarnaast worden uitbestedende organisaties niet meer geconfronteerd met hoge investeringen in IT omdat zij alleen diensten afnemen van de service providers (zie bovenstaand punt over de variabele kostenstructuur). • De verkoop van middelen (hard- en software, gebouwen) aan een service provider levert een eenmalige kapitaalinjectie op. Dit kan erg aantrekkelijk zijn indien de uitbestedende organisatie kampt met een hoge schuldenlast of kapitaal nodig heeft voor andere investeringen [Sanders, 2007_2]. De uitbesteding van de IT-afdeling van KPN naar Atos Origin had als hoofddoel het verkrijgen van een eenmalige kapitaalinjectie. Kwaliteit van de IT-dienstverlening • Core business voor service provider. De interne IT-afdeling binnen een organisatie wordt als ondersteunend gezien waardoor het management minder tijd en geld aan IT zal besteden. Voor service providers is IT-dienstverlening hun core business waardoor er meer aandacht zal zijn om bijvoorbeeld door opleidingen het kennisniveau van de medewerkers te behouden en te verhogen. Daarnaast kunnen service providers meer doorgroeimogelijkheden bieden aan IT-specialisten [Gonzales, 2008]. • Beschikbaarheid personeel. Service providers zijn in staat om meer specialisten aan te trekken, omdat zij vanwege de schaalgrootte specialisten kunnen verdelen over meerdere accounts. Daarnaast is het voor sommige uitbestedende organisaties moeilijk dan wel kostbaar om IT-specialisten aan te trekken en te behouden in de huidige arbeidsmarkt; dit kan voor hen een reden zijn om over te gaan tot uitbesteding [Giarte, 2008]. Service providers kennen dit probleem echter ook, namelijk door een toenemende vraag naar IT-diensten en een dalende instroom in de IT-opleidingen [Es, 2008]. Het is aannemelijk, dat ITspecialisten eerder voor een service provider zullen kiezen vanwege de grotere doorgroeimogelijkheden. • Innovatiekracht. Service providers hebben meer mogelijkheden om te innoveren. Door de schaalgrootte wordt het voor hen eerder aantrekkelijker om innovatiemogelijkheden toe te passen [Gonzales, 2008]. Concurrentiekracht van de organisatie • Richten op kerncompetenties. Door het uitbesteden van de IT kan de uitbestedende organisatie zich richten op haar kerncompetenties waardoor zij sneller in staat zou moeten zijn om bijvoorbeeld een nieuw product in de markt te zetten of te reageren op fluctuaties in de vraag [Gonzales, 2008].

2.4. Risico’s van uitbesteding In de voorgaande paragraaf zijn de voordelen van uitbesteding verdeeld in vier groepen. In deze paragraaf zullen, aan de hand van dezelfde indeling, de risico’s van uitbesteding worden benoemd. Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 6 van 55

Financiële motieven Door een drietal oorzaken kan het financiële voordeel lager uitvallen dan verwacht: • Meerwerk. De kosten vallen voor de uitbestedende organisatie hoger uit als gevolg van het meerwerk dat door de service provider in rekening wordt gebracht. Vooral in het geval dat het afgesloten contract te weinig voordelen biedt voor de service provider zal hij ertoe neigen om zoveel mogelijk meerwerk te identificeren en in rekening te brengen. Volgens een onderzoek van Gartner bedraagt het meerwerk gemiddeld 50% van het afgesloten contract [Scheffel, 2004]. • Wijzigende behoefte. De behoefte aan de hoeveelheid IT-dienstverlening kan bijvoorbeeld door een veranderende organisatie wijzigen nádat het contract is afgesloten. Indien het contract niet flexibel is opgesteld is de uitbestedende organisatie, in geval van een verminderde vraag, relatief gezien duur uit. Een toegenomen vraag is geen probleem, daar de service provider er belang bij heeft een aanvullend contract af te sluiten [Gonzales, 2008]. Ook kan de afgesproken contractprijs voor de geleverde diensten na enkele jaren niet meer marktconform zijn. Voorbeelden hiervan zijn de prijzen voor CPU power en opslagcapaciteit die over de jaren heen sterk dalen. • Aanwezigheid regieorganisatie. De uitbestedende organisatie moet mensen in dienst houden om het contract te managen en vragen uit de organisatie te bundelen en te prioriteren richting de service provider (regiefunctie). Volgens onderzoek bedragen de kosten 8% van het contract en, in geval van offshoring, 10% van het contract [Delen, 2005]. Deze kosten zullen toenemen bij multi-vendor sourcing. Met deze coördinerende kosten heeft een organisatie doorgaans geen rekening gehouden. • Verborgen IT-kosten. Uitbestedende organisaties komen er vaak na het afsluiten van het contract achter dat zij geen rekening hebben gehouden met IT-dienstverlening door decentrale afdelingen. Hiervoor moet aanvullende dienstverlening worden ingekocht bij de service provider, waardoor de uiteindelijke ITkosten hoger uitvallen [Delen, 2005]. Kwaliteit van de IT-dienstverlening • Personeel blijft hetzelfde. Als een uitbestedende organisatie voor het eerst zijn IT-dienstverlening uitbesteedt, gaat het IT-personeel, met uitzondering van enkele medewerkers voor de aansturing, vaak over naar de service provider. Indien dit personeel door de service provider alleen wordt ingezet voor de dienstverlening aan de betreffende uitbestedende organisatie en er geen vermenging plaatsvindt met het overig personeel van de service provider, dan zal de uitbestedende organisatie niet kunnen profiteren van een verhoogd kennisniveau. Daarnaast kan onder het overgeplaatste IT-personeel weerstand ontstaan tegen de gedwongen overplaatsing. Hierdoor wordt de kwaliteit van het werk beïnvloed [Overby, 2005_2]. • Kwaliteit van het personeel. Een service provider besluit, na het binnenhalen van een contract, om daar niet meer de beste mensen in te zetten, maar slechts op accounts die nog binnengehaald moeten worden. Ook is het denkbaar dat deze situatie zich voordoet bij het aflopen van een contract waarvan de service provider weet dat dit niet verlengd gaat worden [Gonzalez, 2008]. • Generieke oplossingen. Vanwege de schaalgrootte is een service provider in staat IT-dienstverlening aan te bieden tegen een scherp tarief. Hij zal dan ook die technologie gaan toepassen waarbij hij zoveel mogelijk klanten kan bedienen. Dit hoeft niet de beste oplossing voor een specifieke klant te zijn [Gonzalez, 2008]. • Innovatie kost geld. Een service provider innoveert alleen als hij hiervan de toegevoegde waarde inziet. De uitbestedende organisatie profiteert hierdoor niet van innovatie [Overby 2007_2]. • Kloof tussen uitbestedende organisatie en service provider. De service provider begrijpt de uitbestedende organisatie niet en stelt de verkeerde prioriteiten waardoor frustratie bij de uitbestedende organisatie over de geleverde IT-dienstverlening ontstaat [Giarte, 2008]. Concurrentiekracht van de organisatie • Kerncompetenties worden uitbesteed. De concurrentiekracht van een organisatie wordt juist verlaagd wanneer achteraf blijkt dat, door voortschrijdend inzicht of veranderende marktomstandigheden, een kerncompetentie is uitbesteed aan een externe partij. Door het uitbesteden van een kerncompetentie raakt men invloed kwijt op de uitvoering hiervan en kan men zich niet meer onderscheiden ten opzichte van concurrenten. Een voorbeeld hiervan was KPN die zijn IT-dienstverlening had uitbesteed aan Atos Origin [Delen, 2005].


pagina 7 van 55

•

•

•

Ontbreken van innovatie. Veelal wordt in contracten wel het niveau en volume van dienstverlening vastgelegd en niet bijvoorbeeld de mate waarin de service provider innovatie moet toepassen. Op de lange termijn zou dit kunnen leiden tot een afname van de productiviteit en een verslechtering van de concurrentiepositie [Gonzalez, 2008]. Continuïteit van de IT-dienstverlening loopt gevaar. Wanneer eenmaal de beslissing is genomen om te gaan uitbesteden is het kostbaar en tijdrovend om de IT-dienstverlening zelf weer in huis te gaan uitvoeren (backsourcing). Het benodigde personeel moet worden aangetrokken en een IT-infrastructuur moet worden opgebouwd [Gonzalez, 2008]. Daarnaast brengt een eventueel faillissement van de service provider grote risico’s met zich mee voor de continuïteit van de IT-dienstverlening van de uitbestedende organisatie. Eventuele overgedragen middelen en eigendomsrechten van ontwikkelde of in ontwikkeling zijnde applicaties kunnen hierbij een extra punt van aandacht zijn. Minder controle op vertrouwelijke informatie. Een uitbestedende organisatie heeft minder controle op privacygevoelige en bedrijfskritische informatie op de servers van de service provider [Boldea, 2006]. Indien deze informatie in de openbaarheid wordt gebracht kan de uitbestedende organisatie reputatieschade ondervinden.

2.5. Deelconclusies •

Uit het literatuuronderzoek blijkt dat de geïdentificeerde voordelen van uitbesteden tegelijkertijd ook risico’s met zich meebrengen waartegen de uitbestedende organisatie mitigerende maatregelen dient te nemen.

•

De reden om te gaan uitbesteden wordt vaak ingegeven door financiële motieven. Het verwachte financiële voordeel blijkt echter vaak tegen te vallen.


pagina 8 van 55

3. Contractbeëindiging (literatuurstudie) 3.1. Inleiding Dit hoofdstuk bevat de resultaten van het praktijkonderzoek naar de beëindiging van uitbestedingscontracten. Zoals reeds eerder gesteld, komt aan elk uitbestedingscontract een einde. Op dat moment bestaat er een keuze om verder te gaan met dezelfde provider, het contract over te hevelen naar een andere provider (follow-up sourcing) of het werk weer zelf uit te voeren (backsourcing). De uiteindelijke keuze hangt niet alleen af van de mogelijkheden bij de eventuele nieuwe service provider, maar ook van de beperkingen in de vorm van afhankelijkheid van de huidige service provider. In hoeverre deze afhankelijkheid een rol speelt voor de uiteindelijke keuze wordt in sterke mate bepaald door de mate waarin er maatregelen getroffen zijn om de afhankelijkheid te beperken. De literatuur beschrijft slechts in beperkte mate mislukte beëindigingen van uitbestedingscontracten. Uitbestedende organisaties die geconfronteerd worden met problematische situaties rond de beëindiging proberen de reputatieschade hiervan zoveel mogelijk te beperken door zo weinig mogelijk details openbaar te maken. De openbare informatie blijkt zich vaak te beperken tot de mededeling dat het contract beëindigd is. Hierdoor is de hoeveelheid informatie in de literatuur over werkelijke risico’s en redenen niet in ruime mate aanwezig. Vaak bestaat het uit informatie die door uitbestedingsconsultants op een generiek niveau wordt beschreven en uit informatie uit de tweede hand. • • • •

Dit hoofdstuk begint met een overzicht uit de literatuur van de meest voorkomende redenen voor het beëindigen van uitbestedingscontracten. Daarna volgt een overzicht van risicogebieden die van toepassing zijn op het beëindigen van uitbestedingscontracten die geïdentificeerd zijn tijdens het literatuuronderzoek. Dan volgt een aantal algemene bevindingen uit het literatuuronderzoek die van belang zijn bij de beantwoording van de onderzoeksvragen 1 en 4. Tenslotte worden in de deelconclusies de resultaten van dit hoofdstuk gebruikt bij de deelbeantwoording van onderzoeksvragen 1, 2, 3 en 4.

3.2. Meest voorkomende redenen voor contractbeëindiging Hoewel het aantal uitbestedingsdeals nog steeds toeneemt, stelt een studie van Gartner uit 2008 dat 70% van alle uitbestedingscontracten in meer of mindere mate onbevredigend zijn voor de uitbestedende organisatie [Vest, 2008]. Volgens diezelfde studie zal 10% daarvan vroegtijdig worden beëindigd. Veel uitbestedende organisaties blijken niet tevreden te zijn met de geleverde diensten door hun service provider. In sommige gevallen is de onvrede terecht en worden de afspraken in SLA’s niet nagekomen. In andere gevallen is de onvrede niet terecht. De afspraken uit de SLA’s worden wel nageleefd, maar de uitbestedende organisatie had toch meer verwachtingen. De regieorganisatie is dan blijkbaar niet in staat geweest om binnen de eigen organisatie duidelijk te maken wat wel en wat niet van de service provider mag worden verwacht en om hier draagvlak voor te creëren [Dekhuijzen, 2006]. Echter, perceptie is bepalend en teleurstelling over niet uitgekomen verwachtingen (terecht of onterecht) leidt veelal tot (vroegtijdige) beëindiging van het uitbestedingscontract. Voor contractbeëindiging worden daarom in een aantal gevallen dezelfde redenen genoemd als bij het aangaan van de uitbestedingsrelatie. Hieronder volgt een overzicht uit de literatuur van de meest voorkomende redenen waarom uitbestedingsdeals (vroegtijdig) zijn/worden beëindigd. Hierbij zijn dezelfde hoofdgroepen uit paragrafen 2.3 en 2.4 aangehouden: Financiële motieven Kostenbesparing niet gerealiseerd: Kostenbesparing was vaak de voornaamste drijfveer van de eerste generatie uitbestedingscontracten. Helaas werd deze in de praktijk vaak niet gehaald. Hier zijn twee hoofdredenen voor:


pagina 9 van 55

•

•

Meerwerk: de service provider was, om het contract maar in de wacht te slepen, akkoord gegaan met een voor hem ongunstige prijsstelling. Het berekenen van meerwerk werd hierdoor voor hem de enige mogelijkheid om toch zijn winstmarges te halen. Als gevolg hiervan werd de uitbesteding uiteindelijk toch veel duurder voor de uitbestedende organisatie dan verwacht [Overby, 2007]; Verborgen kosten: Uitbesteding blijkt veel verborgen kosten met zich mee te brengen waar aanvankelijk geen rekening mee was gehouden. Voorbeelden hiervan zijn: • Het service provider selectietraject zelf: selectie van service provider is zeer kostbaar en tijdsintensief [Gonzales, 2008]; • Transitiekosten: tijd die interne medewerkers kwijt zijn bij het helpen van de service provider (o.a. kennisoverdracht. Ook blijkt dat in de beginperiode van de transitie systemen vaker en langer niet beschikbaar zijn. Dit komt door kennisgebrek bij service provider waardoor het oplossen van verstoringen langer duurt; • Extra verborgen kosten door de noodzaak om veelvuldig af te stemmen zoals: telecommunicatie, reiskosten, verblijfskosten [Vest, 2008]. • Kosten van ‘verborgen’ IT: binnen een uitbestedende organisatie zijn, naast de centrale IT afdeling, vaak verschillende lokale IT afdelingen actief. De kosten hiervan komen meestal niet terug in het centrale IT budget. Na uitbesteding worden deze ‘verborgen’ IT kosten echter transparant wanneer de service provider alle IT activiteiten in rekening brengt. Hierdoor kan (ten onrechte) de perceptie ontstaan dat de service provider veel duurder is dan een eigen IT afdeling.

Managen van uitbestedingscontract kost (te) veel tijd Een belangrijke reden om uit te besteden is dat uitbestedende organisaties zich willen richten op hun core competenties en geen tijd willen investeren in processen die ze niet als primair zien. Deze organisaties zijn teleurgesteld als blijkt dat het managen van een uitbestedingscontract toch substantieel veel tijd en managementaandacht kost. Volgens een studie uit 2006 blijkt dat een uitbestedende organisatie gemiddeld tussen de 8% en 20% van zijn managementcapaciteit kwijt is aan het managen van de uitbestedingscontracten, afhankelijk van de professionaliteit van de regieorganisatie. Dit percentage kan nog oplopen in geval van complexe multi-vendor sourcing [Maughan, 2006]. Daarnaast kost het opstellen van requirements voor een externe partij meer tijd dan voor een interne IT-afdeling. Een interne IT-afdeling heeft in de regel veel achtergrondkennis van zowel de IT-systemen als de achterliggende businessprocessen. Zeker in het geval van offshoring moeten de requirements veel explicieter opgesteld worden dan men voorheen gewend was. Hoewel expliciete requirements zeker een positieve invloed zullen hebben op de succesrate van IT-projecten is door uitbestedende organisaties toch vaak niet gerekend op deze extra tijd. Dit kan zorgen voor teleurstelling ten aanzien van de uitbesteding [Baal, 2007]. Kwaliteit van de IT-dienstverlening Ontevredenheid over de kwaliteit van de IT-dienstverlening kan ook worden veroorzaakt door cultuurverschillen tussen de uitbestedende organisatie en de service provider. Dit geldt in het bijzonder in geval van offshoring, waar deze verschillen versterkt worden door de grote afstand en verschillende tijdszones [Baal, 2007; Flinders, 2009]. Een veelgehoorde klacht over offshoring in bijvoorbeeld India is de passieve houding van de lokale medewerkers. In Nederland is het gebruikelijk dat programmeurs kritisch kijken naar de specificaties en in geval van onduidelijkheden om opheldering vragen [Lizatec, 2009]. Lokale medewerkers in offshore landen zullen dit veel minder snel doen. Het gevolg is dat niet altijd wordt opgeleverd wat wordt verwacht, ondanks dat het volgens de letter van de specificaties wel klopt. De hieruit voortvloeiende noodzaak om alle requirements zeer gedetailleerd te specificeren kost veel tijd en wordt extra bemoeilijkt vanwege verschillende tijdzones, grote afstand en taalbarrière. Dit resulteert in langere tijdslijnen wat al snel de ontevredenheid bij de uitbestedende organisatie vergroot. Daarnaast is het verloop onder medewerkers in typische offshore locaties zoals India zeer groot. Hierdoor verdwijnt kennis bij de service provider wat een negatief effect heeft op de opleversnelheid en kwaliteit [Sanders, 2007_3].

Concurrentiekracht van de organisatie Uitbesteding leidt niet tot een snellere time-to-market: In de literatuur wordt het snel kunnen inspelen op nieuwe ontwikkelingen in de markt vaak als reden voor uitbesteding genoemd. Er is echter een aantal redenen waardoor uitbesteding juist tot een langere time-tomarket leidt: Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 10 van 55

•

•

Voorafgaand aan de uitbesteding zaten de business en IT-afdelingen vaak dicht op elkaar. De IT-afdeling hielp vaak mee bij het opstellen van functionele eisen omdat ze veel kennis hadden van de business processen. In geval van problemen volstond meestal een telefoontje naar de IT-afdeling om het probleem op te lossen. Bij uitbesteding worden deze trajecten veel formeler. De business moet zelf requirements opstellen die veel gedetailleerder zijn dan voorheen. Bij operationele problemen volstaat een snel telefoontje niet meer, maar moeten in plaats daarvan formele procedures worden gevolgd. Bij offshoring wordt dit nog eens extra bemoeilijkt vanwege verschillende tijdzones en grote afstand. Hierdoor worden de werkprocessen bureaucratischer, zullen opleveringen vertragen en neemt de time-to-market af [Dirven, 2008]. In de gevallen waar het contract of de SLA geen uitsluitsel biedt, kunnen langdurige discussies ontstaan over wat meerwerk is en wat niet. Dit gebeurt vooral als de service provider geld blijft verliezen op de deal. Alle acties worden dan vertraagd door de commerciële onderhandelingen. De vele discussies, de capaciteit die dit van de uitbestedende organisatie vraagt en de vertraagde oplevering leiden al snel tot ontevredenheid bij de uitbestedende organisatie [Overby, 2005]. Deze situatie komt vaak voor bij uitbestedende organisaties die tijdens de contractonderhandelingen (te) sterk op de kosten hebben gestuurd.

Gebrek aan innovatie door service provider Een belangrijke reden om IT uit te besteden is de verwachting dat een service provider veel zal doen aan technische innovatie, aangezien IT zijn kerncompetentie is. De uitbestedende organisatie hoopt door toepassing van innovatieve technieken een concurrentievoorsprong te krijgen (ook al heeft hij vaak niet echt een beeld bij wat die innovaties dan zouden moeten zijn). In de praktijk blijkt dat een service provider nauwelijks proactief op zoek gaat naar nieuwe technieken, maar er meer bij gebaat is te wachten totdat de huidige hardware is afgeschreven [Overby, 2007_2]. Het gebrek aan innovatie door de service provider kan een reden te zijn om het uitbestedingscontract te beëindigen. Hiermee samenhangend poneert Windrum de stelling dat uitbesteding het innovatieve vermogen van een organisatie reduceert [Windrum, 2006]. De gedachte hierachter is dat de processen binnen een organisatie in modules kunnen worden opgesplitst. Door vervolgens met deze modules te ‘spelen’ (overlap verminderen, volgorde wijzigen, wijzigen van inputs en van outputs, etc.) zijn organisatorische innovaties mogelijk. Door uit te besteden wordt een aantal processen (de IT-processen) buiten de invloedsfeer van de organisatie geplaatst. Hierdoor wordt dus ook het aantal modules waarmee kan worden gespeeld verminderd waardoor ook de mogelijkheden tot innovatie worden beperkt. Casus: MEPA: In 1995 sloot de Metropolitan Pier and Exposition Authority (MEPA) uit Chicago een uitbestedingscontract met RedSky technologies voor het leveren van Network en Internet diensten. Op dat moment zag de MEPA deze diensten niet als core business. Dit veranderde eind 90’er jaren toen een enorme vraag naar deze diensten ontstond van klanten van MEPA. Echter de service provider RedSky had geen interesse in de uitbreiding van zijn uitbestedingactiviteiten en was niet genegen te innoveren om aan de veranderende vraag van MEPA te voldoen. Uiteindelijk is dit contract een jaar voor de feitelijke afloop voortijdig beëindigd [Overby, 2003].

Overige motieven Looptijd uitbestedingscontract verstreken Hoewel deze reden triviaal lijkt, heeft het grote gevolgen voor overheidsinstanties die hun IT hebben uitbesteed. Zij zijn namelijk verplicht door de wet op Europese aanbestedingen om een nieuw aanbestedingstraject op te starten. Hierdoor hebben ze niet de mogelijkheid een bestaand contract zonder meer te verlengen, zelfs als ze tevreden zijn over hun service provider. Aanleiding voor uitbesteding is gewijzigd Het kan voorkomen dat door veranderende omstandigheden de aanleiding om te gaan uitbesteden is verdwenen. In die gevallen is het beëindigen van het contract een logische keuze: • Verandering van strategische visie van de uitbestedende organisatie: Een veel voorkomende reden voor uitbesteding is dat het in eigen beheer houden van de IT-afdeling niet (meer) past in de strategische visie van een organisatie. Als deze visie wijzigt, is dat een reden om de uitbesteding te beëindigen:


pagina 11 van 55

Casus: Washington Mutual en IBM: Tijdens de groei van Washington Mutual was uitbesteding nodig omdat de eigen (IT) organisatie de groeisnelheid niet aankon. Echter, de marktomstandigheden veranderden waardoor de groei terugliep. Om deze veranderde omstandigheden het hoofd te bieden, werd de strategische visie aangepast en kwam de focus te liggen op klanttevredenheid. Een consequentie van de nieuwe visie was dat het uitbestedingscontract werd beëindigd, waarna de IT terug in huis is genomen [Overby, 2003]. Casus: KPN en Atos Origin: Een ander voorbeeld is het Nederlandse KPN. KPN had in 2001, na het betalen van de, achteraf bezien, veel te hoge prijs voor UMTS-frequenties, zeer dringend liquide middelen nodig. Als noodgreep, om niet ten onder te gaan, verkocht het bedrijf toen alle assets die maar mogelijk waren, inclusief de IT-dienstverlening. Echter, op verzoek van vele klanten besloot KPN dat het bieden van een totaalpakket aan IT-diensten weer tot de kerncompetenties moest gaan horen. Onder andere om deze reden kocht KPN in 2007 service provider Getronics op en begon met het terugnemen in eigen beheer van de IT-diensten die waren uitbesteed aan Atos Origin [Sanders, 2007_2].

•

Fusies en overnames: Indien de uitbestedende organisatie te maken krijgt met een fusie of overname kan de nieuw ontstane organisatie besluiten dat uitbesteding niet meer binnen hun beleid valt [Overby, 2005_2]. Casus: ABN AMRO: De Nederlandse ABN AMRO bank heeft een groot deel van zijn IT uitbesteed aan verschillende vendors met een totale waarde van ongeveer 1.5 miljard euro over een looptijd van vijf jaar. In 2007 werd de bank overgenomen door een consortium van drie banken. Eén van deze banken (Royal Bank of Scotland, (RBS)) vindt dat IT, hoewel geen kerncompetentie, dusdanig belangrijk is voor het functioneren van de bank dat uitbesteding niet binnen hun strategie past. Momenteel is de RBS bezig met backsourcing van de IT-activiteiten uit het gedeelte dat zij hebben gekocht [Toet, 2008_2].

3.3. Risico’s rond de beëindiging van een uitbestedingscontract In de literatuur worden veel redenen aangegeven waarom uitbestedingscontracten niet succesvol zijn en niet eenvoudig kunnen worden beëindigd (zie ook paragraaf 3.2). Wanneer de beëindiging niet soepel verloopt, kan dit onder andere financiële schade opleveren en reputatieschade veroorzaken. De problemen die ontstaan bij de beëindiging worden vaak veroorzaakt door het onvoldoende onderkennen of afdekken van risico’s. In de literatuur worden diverse van deze risico’s genoemd, zowel in algemene, beschouwende essays over uitbesteding als in specifieke casussen. Regelmatig komt het voor dat uitbestedende organisaties zich tijdens de uitbestedingsperiode realiseren dat ze bepaalde zaken omtrent beëindiging en transitie beter hadden moeten regelen bij het afsluiten van het contract, bijvoorbeeld door deze in de exitclausule op te nemen. Ook risico’s die niet contractueel af te dekken zijn, worden soms al duidelijk tijdens de uitbestedingsperiode. Als dit wordt bijtijds onderkend, kunnen er soms nog maatregelen worden genomen. In werkelijkheid worden de problemen vaak pas duidelijk wanneer de beëindiging van het contract moet gaan worden geregeld. Dit leidt dan regelmatig tot (al dan niet kortdurende) verlengingen van het contract. Het niet onderkennen van deze risico’s kan tot gevolg hebben dat de uitbestedende organisatie afhankelijk blijft van de service provider (zogenaamde “vendor lock-in”) In het hiernavolgende wordt regelmatig gesproken over de “exitstrategie” en “exitclausule”. De exitclausule is dat deel van het contract dat de contractuele afspraken in het uitbestedingscontract gericht op de beëindiging bevat. Buiten de exitclausule kan het contract ook nog andere afspraken bevatten die van invloed zijn op een succesvolle beëindiging. Naast de contractuele afspraken zijn er ook andere maatregelen die kunnen worden getroffen buiten het contract om. Dit zijn over het algemeen maatregelen die te maken hebben met interne organisatie, personeelsbeleid, communicatie met de vendor en kennisbehoud in de uitbestedende organisatie. De combinatie van contractuele afspraken en niet-contractuele maatregelen wordt hier de “exitstrategie” genoemd. Tezamen vormen deze het raamwerk voor de uitbestedende organisatie om het contract succesvol te kunnen beëindigen. De exitstrategie is dus het overkoepelende begrip.


pagina 12 van 55

Hieronder worden de uit de literatuur geïdentificeerde risicogebieden beschreven. De risicogebieden zijn ingedeeld in drie categorieën, waarbij gekeken is op welk van de volgende aspecten het onvoldoende afdekken van het risicogebied de grootste impact heeft: kwaliteitsverlies, financiële gevolgen en tijdsverlies. Sommige risicogebieden vallen onder meerdere categorieën. In deze gevallen is er voor gekozen om ze in te delen bij de categorie waar het onvoldoende afdekken van het risicogebied de grootste impact heeft. 3.3.1. Bevindingen per risicogebied: Kwaliteitsverlies 1. Kennisverlies Veel van de risico’s rondom de beëindiging van het contract bevinden zich op het gebied van kennisverlies. Uitbestedende organisaties kunnen geneigd zijn om het punt van kennisbehoud te verwaarlozen aangezien ze de IT-diensten hebben uitbesteed omdat het veelal geen kerncompetenties meer zijn. Het kennisverlies kan zich op meerdere terreinen afficheren: a) Gebrek aan inzicht in de configuraties. Met de uitbesteding kan de kennis verloren gaan over welke assets zich waar bevinden en hoe die zijn geconfigureerd. Dit gebrek aan kennis verhoogt de afhankelijkheid van de (huidige) service provider en maakt een aanbiedingstraject met een nieuwe service provider moeilijker. Wanneer de huidige omgeving niet goed bekend is, is het immers lastig voor een leverancier om een goede aanbieding te doen voor de support hiervan. • Risico: financiële risico’s door afhankelijkheid van de huidige service provider. Hierdoor is het moeilijk een goed aanbiedingstraject te doorlopen. • Mitigerende maatregel: bijhouden van configuratie van assets in CMDB. b) Gebrek aan architectuurkennis. Met het uitbesteden van infrastructuurbeheer ontstaat het risico van kennisverlies op het gebied van architectuur. Dit wordt mede gevoed door een gebrek aan een natuurlijke “kweekvijver” voor personeel in de organisatie zelf. Daardoor gebeurt het regelmatig dat de architectuurkennis in de uitbestedende organisatie door externe medewerkers wordt bijgehouden. Bij reorganisaties zullen zij vaak als eersten worden ontslagen waardoor die kennis verloren gaat. Bij gebrek aan voldoende architectuurkennis ontstaat er een afhankelijkheid op kennisgebied van de service provider en zal de architectuurontwikkeling bij de service provider niet meer voldoende kunnen worden gestuurd. Hierdoor verliest de uitbestedende organisatie de controle over de richting van de ontwikkelingen. Het zou bijvoorbeeld kunnen gebeuren dat de technologieontwikkelingen bij de service provider uitsluitend plaatsvinden in een richting die voordeel oplevert voor de service provider. • Risico: onvoldoende business opportunities kunnen benutten door gebrek aan moderne technologiekennis of doordat de migratiestap te groot is geworden vanwege achterstallige ontwikkelingen. • Risico: personeel voor architectuurvraagstukken loopt een verhoogd ontslagrisico bij de eerstvolgende reorganisatie omdat ze niet tot de kerncompetenties gerekend worden. • Mitigerende maatregel: bestendig positie van architecten in organisatie. c) Onvoldoende beschikbaarheid sleutelpersonen tijdens transitieperiode. De sleutelpersonen binnen de service provider met cruciale kennis van de klant of van de gebruikte technologieën zullen voldoende beschikbaar moeten zijn voor de overdracht van de werkzaamheden. Vaak zijn deze personen multi-inzetbare medewerkers. De latende service provider zal deze willen inzetten voor andere accounts en daarvoor in de plaats minder goed ingevoerde medewerkers beschikbaar willen stellen. • Risico: kennisverlies door gebrek aan kwaliteit bij overdracht. • Risico: verminderde beschikbaarheid van systemen door tekortschietende kennisoverdracht van de kritieke systemen. • Mitigerende maatregel: vastleggen dat bij naam genoemde sleutelpersonen op het account moeten blijven werken. • Mitigerende maatregel: overname personeel (bijvoorbeeld onder de Wet Overgang Onderneming) d) In het geval van offshoring is personeel niet meer terug te halen of over te dragen bij einde contract [Overby, 2007]. Bij nearshoring, waarbij al het personeel meestal is overgegaan naar een service provider, bestaat de mogelijkheid dat het personeel teruggehaald wordt of naar een volgende service provider overgaat als het contract wordt beëindigd. Hierbij geldt de EU regeling Wet Overgang Onderneming. • Risico: onvoldoende geschikt personeel beschikbaar. • Mitigerende maatregel: Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 13 van 55

2. De overdraagbaarheid en onderhoudbaarheid van de ontwikkelde software is onvoldoende Bij uitbesteding van de ontwikkeling van applicaties is het van belang om zorg te dragen voor onderhoudbaarheid en overdraagbaarheid van de applicatie aan het eind van het uitbestedingscontract. Hierbij is het van belang om een bepaalde ontwikkelmethodiek en documentatiemethode aan te houden. • Risico: beschikbaarheid van de applicatie is niet gegarandeerd door beperkte onderhoudbaarheid bij overdracht naar een andere partij. • Risico: financiële risico’s ontstaan doordat de afhankelijkheid van de huidige service provider zo hoog is dat er geen goed biedingstraject meer kan worden gestart met eventuele andere vendors. • Mitigerende maatregel: afspreken dat een vastgelegde, gangbare ontwikkelmethodiek wordt gebruikt. • Mitigerende maatregel: afspreken dat documentatie volledig en up-to-date is. 3. Geen medewerking van de latende service provider bij de overdracht Wanneer de beslissing is genomen om het contract te beëindigen zullen werkzaamheden moeten worden overgedragen [Overby, 2003]. Op dit moment is de service provider mogelijk niet meer gemotiveerd om veel energie in documentatie, training en consultancy te steken voor dit ‘verloren’ werk. Als gevolg hiervan zal er kennisverlies optreden met mogelijk gevolgen voor een succesvolle overdracht en de periode daarna. Er dienen daarom duidelijke afspraken te zijn hoe de service provider gaat meewerken. • Risico: kennisverlies door gebrek aan kwaliteit bij de overdracht. • Risico: verminderde beschikbaarheid van infrastructuur doordat de nieuwe service provider de benodigde informatie om deze goed te beheren niet of te laat krijgt opgeleverd. • Mitigerende maatregel: vastleggen verplichting service provider om tegen bepaald uurtarief mee te werken aan de overdracht. 4. Onvoldoende systeembeveiliging tijdens en na transitieperiode Tijdens en na de overgang naar een andere service provider (of bij backsourcing) bestaat het risico dat personeel van de service provider toegang heeft tot data die voor hen ontoegankelijk zou moeten zijn. Hierbij kunnen gevoelige gegevens weglekken. Er zal een duidelijke strategie moeten zijn ten aanzien van het wijzigen van wachtwoorden en het intrekken van toegangsrechten tijdens de transitieperiode. • Risico: databeveiligingsrisico’s zoals vertrouwelijkheid, integriteit en beschikbaarheid. • Risico: financiële risico’s in de (her)onderhandeling doordat service provider mogelijk kennis kan nemen van de gevolgde strategie (dit is een gevolg van het vertrouwelijkheidsrisico). • Mitigerende maatregel: ontwikkel user access policy en voer deze ook uit tijdens de overgang. 5. Onzekerheid personeel. Rond de beëindiging van het contract kan er veel onzekerheid bij personeel ontstaan. Dit speelt zowel aan de zijde van de service provider als ook aan de zijde van de uitbestedende organisatie. Deze onzekerheid kan ongewenste personeelsmobiliteit veroorzaken van personen met kritieke competenties. • Risico: verlies aan belangrijke kennis (zowel kwalitatief als kwantitatief) die benodigd is voor de overdracht. • Mitigerende maatregel: direct communiceren naar personeel van voorgenomen plannen en genomen beslissingen. 3.3.2. Bevindingen per risicogebied: Financiële gevolgen 6. Eigendomsrechten van ontwikkelde applicaties zijn niet vastgelegd Wanneer applicatieontwikkeling is uitbesteed moeten er duidelijke afspraken zijn over het eigendom van de ontwikkelde applicaties. Dit is van belang om de applicaties te kunnen blijven gebruiken na de beëindiging van het contract. Als dit niet gebeurt, kunnen er langdurige juridische conflicten ontstaan over het eigendom. Dit kan tot gevolg hebben dat de applicaties slechts moeizaam beschikbaar kunnen blijven voor de uitbestedende organisatie. • Risico: de service provider kan de gebouwde applicaties aan anderen beschikbaar gaan stellen waardoor concurrentievoordeel verloren gaat. • Risico: imagoschade door juridische conflicten. • Risico: gebrek aan beschikbaarheid en onderhoudbaarheid van applicaties door de onduidelijkheid rondom het eigendom van de sourcecode. Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 14 van 55

• • •

Risico: financiële onzekerheid, bijvoorbeeld door de noodzaak van tijdelijke maatregelen of nieuw te ontwikkelen applicaties. Mitigerende maatregel: contractueel vastleggen wie de eigenaar van de applicaties is. Mitigerende maatregel: afspreken escrowregeling.

7. Onduidelijkheid over gemaakte afspraken door zwakke regieorganisatie Als de regieorganisatie onvoldoende sterk optreedt, zowel naar de service provider toe als intern naar de eigen organisatie, zal de aansturing van de service provider weinig gecoördineerd verlopen [Dekhuijzen, 2006]. Hierdoor ontstaat het risico dat commerciële beslissingen ten aanzien van de relatie niet op het juiste niveau, in de juiste samenhang en met de juiste belangenafwegingen worden genomen. Door onvoldoende invulling van het demand management zal de organisatie geen duidelijk overzicht bezitten van wat het van een service provider nodig heeft. • Risico: veel tijd nodig om een overzicht te krijgen van wat er commercieel afgesproken is met de huidige service provider. • Risico: decentrale aansturing maakt gecoördineerde afspraken met nieuwe service provider moeilijk waardoor het contract minder scherp wordt dan nodig is. • Risico: gebrek aan IT-ondersteunde business innovatie. • Mitigerende maatregel: professionalisering van regieorganisatie door voldoende management support en door het inrichten van een voldoende sterke managementstructuur van de regieorganisatie. 8. Onvoldoende vastlegging opzeggingsgronden en afwezigheid escalatieprocedure Als de redenen tot voortijdige beëindiging van het contract niet voldoende duidelijk zijn vastgelegd in het contract, kan er al snel onenigheid ontstaan tussen partijen over de rechtmatigheid van de opzegging [Dekhuijzen, 2006]. Beide partijen kunnen in dit geval rechtszaken overwegen die de beëindiging vertragen en imagoschade kunnen veroorzaken door de (relatieve) openbaarheid waarin deze plaatsvinden. • Risico: vertraging beëindiging door onzekerheid over rechtmatigheid beëindiging. • Risico: imagoschade door rechtszaken. • Mitigerende maatregel: vastleggen van opzeggingsgronden. • Mitigerende maatregel: vastleggen welke escalatieprocedure doorlopen moet worden bij een geschil. • Mitigerende maatregel: vastleggen van externe arbitrage bij een geschil. 3.3.3. Bevindingen per risicogebied: Tijdsverlies 9. Infrastructuurvervlechting en onduidelijkheid over het eigendom van de infrastructuur Vaak zal de service provider applicaties willen consolideren en delen met infrastructuur voor andere klanten. Op die manier kan de service provider schaalvoordelen creëren. Te denken valt bijvoorbeeld aan gezamenlijk gebruik van routers, blade servers voor virtualisatie, storage hardware en dergelijke. In het algemeen is er ook veel geld gemoeid met de overdracht van licenties en apparatuur. Daarom is het belangrijk dat er duidelijke afspraken zijn over de waarde van deze assets. Deze verwevenheid van infrastructuur kan onduidelijkheid veroorzaken ten aanzien van wat er benodigd is bij de nieuwe service provider en kan de migratie bemoeilijken. • Risico: tijdsverlies bij overdracht. • Risico: onverwachte kosten door verkeerde inschatting van benodigde infrastructuur of de waarde van de over te dragen infrastructuur. • Mitigerende maatregel: bijhouden van assets en hun financiële waarde in CMDB. • Mitigerende maatregel: vastleggen terugkoopregeling met inbegrip van waardevermindering van de assets. 10. Vertraging in lopende projecten bij voortijdige beëindiging Op het moment dat een voortijdige beëindiging voor het eerst wordt besproken, kan dit een omslagpunt in het gedrag van de service provider veroorzaken [Overby, 2005]. Het risico bestaat dat de service provider vanaf dat moment geen activiteiten meer wil ontplooien die extra kosten opleveren, zoals projecten en investeringen. Dit gebeurt omdat de service provider niet meer verliezen wil maken dan nu mogelijk al gebeurt, bijvoorbeeld doordat assets niet voldoende zijn afgeschreven. Voor de uitbestedende partij brengt dit het risico met zich mee dat businessprojecten in gevaar komen. • Risico: directe stopzetting van businessprojecten, innovaties en investeringen. Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 15 van 55

• •

Mitigerende maatregel: open communiceren waarbij het belang van beide partijen in het oog wordt gehouden. Mitigerende maatregel: financieel aantrekkelijk maken van continuering projecten.

11. Innovatie, investeringen en projecten haperen in de periode vóór het einde van de reguliere looptijd van het contract De service provider zal in de periode, voorafgaand aan de beëindiging van het contract, zo weinig mogelijk kosten meer willen maken. Dit betekent dat de service provider, met het oog op afschrijving van de infrastructuur, in de laatste periode van de uitbesteding zo weinig mogelijk investeringen zal willen doen en hierop gedurende de gehele contractperiode zijn plannen heeft afgestemd. Ook zal de service provider mogelijk weinig projecten willen draaien indien die niet direct geld opbrengen (meerwerk). Dit kan gevolgen hebben voor de ontwikkeling van kritieke projecten in de business. • Risico: gebrek aan uitvoering van kritieke businessprojecten. • Risico: verminderde beschikbaarheid en technische mogelijkheden door verouderde infrastructuur. • Mitigerende maatregel: financieel aantrekkelijk maken en houden om investeringen te doen in innovaties en projecten. 12. Gebrek aan een goede werkrelatie tussen contractpartijen Door een tekort aan kennis en een persoonlijke band tussen belangrijke personen (bijvoorbeeld service managers) bij de contractpartijen, kan er ook een tekort aan inzicht in elkaars drijfveren en belangen ontstaan. Hierdoor kan er een gebrek aan vertrouwen ontstaan. Dit zal niet alleen een probleem zijn tijdens de uitbestedingsperiode, maar in nog sterkere mate tijdens de beëindiging van het contract. Tijdens dat traject zijn immers de spanningen over het algemeen hoger, omdat er commerciële onderhandelingen zijn waarbij grote belangen op het spel staan. Indien het contract wordt beëindigd zal er, door een gebrek aan binding, minder enthousiasme zijn om de werkzaamheden op een degelijke manier over te dragen naar een nieuwe service provider. • Risico: moeizame overdracht naar nieuwe service provider. • Mitigerende maatregel: bewust investeren in een goede werkrelatie bijvoorbeeld door vaste contactpersonen voor een lange periode aan te houden aan zowel de zijde van de service provider als de uitbestedende organisatie. 13. Te weinig managementaandacht beschikbaar voor aanbieding- en transitieproces Omdat er veel aandacht van het management wordt gevraagd om het aanbiedingsproces en de daaropvolgende transitie uit te voeren, zou de neiging kunnen ontstaan om bij dezelfde service provider het contract te verlengen in plaats van het contract objectief te beoordelen [Overby, 2005]. Hierdoor kan een nieuwe contractperiode worden aangegaan met een service provider die mogelijk niet de beste service provider is voor de gevraagde activiteiten. • Risico: bestaande contract wordt voortgezet ondanks dat er betere contracten af te sluiten zouden zijn. Hierdoor worden kostenvoordelen en business opportunities gemist. • Mitigerende maatregel: vroegtijdig ontwikkelen van exitstrategie. 14. Onvoldoende ervaring met contractbeëindiging bij uitbestedende organisatie Het beëindigen van het contract is een kritieke fase in het leveren van IT-diensten aan de onderneming. Vaak hebben de service providers dit proces al vele malen doorgemaakt. Voor de uitbestedende organisatie zal het geen dagelijkse activiteit zijn. Dit brengt het risico met zich mee dat het proces onderschat wordt op het gebied van tijd en inspanning die nodig zijn om het proces succesvol te doorlopen. • Risico: afronding contract kost teveel tijd. • Risico: te weinig managementcapaciteit beschikbaar voor het afsluiten van een goed nieuw contract. • Mitigerende maatregel: inhuren van externe kennis en resources, gespecialiseerd in uitbesteding.

3.4. Waargenomen trends m.b.t. contractbeëindiging Hoewel uitbesteding al in de jaren 80 voorkwam, heeft het vooral de laatste 5 á 8 jaar een enorme vlucht genomen. Veel van de laatstgenoemde uitbestedingscontracten naderen inmiddels het eind van hun looptijd of hebben deze reeds bereikt. Volgens [Sanders, 2007] verlengen of vervangen in Nederland de komende twee jaar, zes van de tien organisaties hun uitbestedingscontracten. Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 16 van 55

De ervaringen die zijn opgebouwd, zowel bij service providers als bij uitbestedende organisaties, bepalen voor een groot deel de vorm van huidige en toekomstige generatie uitbestedingscontracten. Hieronder volgt een overzicht van trends in uitbesteding die in de literatuur zijn waargenomen en die van invloed kunnen zijn op het beëindigen van uitbestedingscontracten: 1. Onvoldoende aandacht voor contractbeëindiging: Uit het literatuuronderzoek komt het beeld naar voren dat uitbestedende organisaties zich in toenemende mate beginnen te realiseren dat ze niet goed zijn voorbereid op de contractbeëindiging. Dit komt vooral doordat tijdens de voorbereiding van het IT-uitbestedingstraject de aandacht vooral was gericht op het selecteren van de juiste leverancier en het opzetten van de regieorganisatie en niet zozeer op de beëindiging van het contract. In de literatuur zijn er veel referenties te vinden waarin (indirect) wordt gesproken over dit gebrek aan aandacht [Moran, 2007; Heering, 2002; Beulen/Delen, 2003]. 2. Van Single- vendor sourcing naar Multi-vendor sourcing Bij een single-vendor uitbestedingsmodel zijn alle uitbestede activiteiten ondergebracht bij één of hooguit twee service providers. Bij een multi-vendor uitbestedingsmodel zijn activiteiten verdeeld over meerdere service providers. De trend dat steeds meer uitbestedende organisaties overgaan op multi-vendor sourcing valt terug te zien in het aantal uitbestedingscontracten met een waarde van meer dan 1 miljard dollar: In 2003 zijn er hiervan 29 getekend. In 2004 waren dat 25 en in 2005 was dit aantal verder teruggelopen naar 15. De reden is dat grote brokken werk nu worden gesplitst in meerdere kleinere stukken en worden verdeeld over verschillende service providers, soms inclusief de eigen organisatie [Maughan, 2006]. Multi-vendor sourcing heeft verschillende voordelen voor een uitbestedende organisatie [Giarte, 2008; Maughan, 2006; Sanders, 2007]. Met betrekking tot het beëindigen van uitbestedingscontracten is het grootste voordeel dat de uitbestedende organisatie minder afhankelijk wordt van één specifieke service provider die daarmee een (te) sterke machtspositie krijgt binnen de uitbestedende organisatie. Bij eerste generatie uitbestedingscontracten kwam het geregeld voor dat alle kennis en ervaring van de IT systemen van de uitbestedende organisatie volledig in handen was van één service provider. Hiermee kwam de uitbestedende organisatie in een zeer slechte onderhandelingspositie bij het doorvoeren van gewenste wijzigingen en werd het vaak een kwestie van ‘stikken of slikken’. Ook aan het eind van zo een uitbestedingscontract was de uitbestedende organisatie regelmatig noodgedwongen veroordeeld tot verlenging van het contract. 3. Kortstondige verlenging van lopende contracten Veel uitbestedende organisaties komen pas op het moment dat de contractbeëindiging nadert tot de ontdekking dat deze fase (te) weinig aandacht heeft gekregen bij het aangaan van uitbestedingscontracten. Vaak blijkt dan dat ze nog niet goed voorbereid zijn op de periode na de contractbeëindiging [Beulen/Delen, 2003]. Steeds meer uitbestedende organisaties lossen dit probleem op door hun lopende contracten kortstondig te verlengen, meestal met één of maximaal twee jaar, zodat er meer tijd is om na te kunnen denken over andere opties [Sanders, 2007]. 4. Professionalisering van de regieorganisatie: Aan het begin van de eerste uitbestedingsgolf van 5 á 8 jaar geleden, leefde bij uitbestedende organisaties nogal eens het idee dat hun taak was volbracht na het tekenen van het uitbestedingscontract. Alle afspraken waren immers vastgelegd in het contract en aanvullende Service Level Agreements (SLA). Hierdoor was er nog nauwelijks capaciteit nodig om de service provider aan te sturen. Inmiddels raken uitbestedende organisaties er meer en meer van doordrongen dat het goed managen van de service provider tijdens het uitbestedingsproces een voorwaarde voor succes is [Coul, 2007]. Ook de opkomst van het hierboven genoemde multi-vendor uitbestedingsmodel draagt ertoe bij dat de complexiteit van het managen van de service providers door de uitbestedende organisatie sterk toeneemt. Wanneer verschillende IT-diensten zijn ondergebracht bij verschillende service providers, is het aan de uitbestedende organisatie om deze services op elkaar aan te laten sluiten, te integreren en zorg te dragen voor de end-to-end keten beheersing. Dit allemaal op een dusdanige wijze dat de eindgebruiker hier niets van merkt. Om de toegenomen complexiteit van de regiefunctie het hoofd te kunnen bieden, is een professionaliseringsslag van de regieorganisatie noodzakelijk. De afgelopen jaren was al de trend zichtbaar Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 17 van 55

dat contract management steeds vaker ondergebracht werd in een aparte regieorganisatie. Voorheen was dit vaak als losse taak ondergebracht bij één persoon of meerdere personen, naast hun overige werk. Daarnaast gaan regieorganisaties steeds professioneler te werk gaan, bijvoorbeeld door het gebruik van bewezen modellen als ITIL en COBIT. Deze best practises bieden goede frameworks voor de inrichting van regieorganisaties [Giarte, 2008]. In aanvulling hierop heeft de beroepsvereniging van IT-auditors NOREA in 2007 een studierapport uitgebracht met daarin normen voor de beheersing van uitbestede ICT-Beheerprocessen [NOREA, 2007]. Dit studierapport is bedoeld voor zowel uitbestedende organisaties, als service providers als IT-auditors. Het bevat een normenkader voor de algemene IT-beheersmaatregelen dat toepasbaar moet zijn in de situaties van uitbesteding van IT-dienstverlening Een uitbestedende organisatie die zijn regieorganisatie goed op orde heeft, is beter in staat te anticiperen op het beëindigen van het uitbestedingscontract. Er is immers een goed overzicht van welke IT diensten precies worden afgenomen, tot wanneer de contracten lopen en wat de consequenties zijn als het contract afloopt.

3.5. Deelconclusies •

Uit de literatuur blijkt dat de meest voorkomende redenen voor vroegtijdige beëindiging van uitbestedingscontracten bestaan uit niet-waargemaakte verwachtingen. Deze bevinden zich op het gebied van kosten- en tijdsbesparing, innovatievermogen (van service provider maar ook van eigen organisatie als gevolg van de uitbesteding). Daarnaast worden ook verandering van de bedrijfsstrategie ten aanzien van IT en problemen rond cultuurverschillen veelvuldig genoemd als redenen.

•

De risico’s die de uitbestedende organisatie loopt ten aanzien van de contractbeëindiging kunnen worden verdeeld in risico’s die kunnen worden gemitigeerd via contractuele maatregelen en in risico’s die kunnen worden gemitigeerd via niet-contractuele maatregelen. De contractuele maatregelen bestaan uit zowel de exitclausule in het contract als uit andere contractclausules die niet direct op de beëindiging gericht zijn. De niet-contractuele maatregelen bestaan voornamelijk uit organisatorische maatregelen tot kennisbehoud, communicatie met de service provider en personeelsbeleid in de uitbestedende organisatie. Kennisverlies in enigerlei vorm speelt bij veel risicogebieden een rol. In de literatuur blijkt dat er weinig onderscheid is tussen de risico’s van voortijdige en normale beëindiging.

Deelbeantwoording van onderzoeksvragen: Onderzoekvraag 1 “Is er, volgens de uitbestedende organisaties, tijdens de voorbereiding van IT-uitbestedingstrajecten voldoende aandacht voor het beëindigen van contracten?” Uit het literatuuronderzoek komt het beeld naar voren dat uitbestedende organisaties zich in toenemende mate beginnen te realiseren dat ze niet goed zijn voorbereid op de contractbeëindiging. Vooral bij de beëindiging van een aantal eerstegeneratie contracten geven organisaties achteraf regelmatig aan dat er te weinig aandacht is geweest voor contractbeëindiging bij de voorbereiding van de uitbesteding. Onderzoeksvraag 2 “Welke risico’s loopt de uitbestedende organisatie bij het beëindigen van een IT-uitbestedingscontract?” • De in de literatuur aangetroffen risico’s die een organisatie loopt tijdens de beëindiging zijn beschreven in paragraaf 3.3. De belangrijkste risico’s bevinden zich op het gebied van kennisverlies. Onderzoeksvraag 3”Welke maatregelen kunnen worden toegepast om deze geconstateerde risico’s te mitigeren?”. • In de literatuur worden diverse maatregelen aangetroffen om de risico’s te mitigeren. Daarbij worden zowel maatregelen genoemd die in het contract zijn vastgelegd als maatregelen die zich op het gebied van organisatie-inrichting, aansturing van de service provider en samenwerkingsvormen bevinden. Onderzoeksvraag 4:”Zijn er trends waarneembaar in de visie op uitbesteding die van invloed kunnen zijn op het beëindigen van contracten?” • Uit recente literatuur is een aantal trends in de visie op uitbesteding waargenomen die van invloed kunnen zijn op het beëindigen van uitbestedingscontracten:


pagina 18 van 55

•

•

•

Uitbestedende organisaties kiezen steeds vaker voor multi-vendor sourcing: Dit vermindert de afhankelijkheid van één specifieke service provider hetgeen een voordeel is bij de beëindiging van het contract: betere onderhandelingspositie en kleinere impact bij wisseling van service provider. Lopende uitbestedingscontracten worden kortstondig verlengd: Steeds vaker kiezen uitbestedende organisaties ervoor hun lopende contracten kortstondig te verlengen, meestal met één of maximaal twee jaar, zodat meer tijd is om zich voor te bereiden op de periode na de contractbeëindiging. Uitbestedende organisaties professionaliseren hun regieorganisatie: Een uitbestedende organisatie die haar regieorganisatie goed op orde heeft, is beter in staat te anticiperen op het beëindigen van het uitbestedingscontract.


pagina 19 van 55

4. Praktijkonderzoek: resultaten en vergelijking met literatuuronderzoek 4.1. Inleiding Dit hoofdstuk bevat de resultaten van het praktijkonderzoek naar de beëindiging van uitbestedingscontracten. Het praktijkonderzoek is uitgevoerd aanvullend op het literatuuronderzoek en heeft als doel de resultaten uit het literatuuronderzoek te toetsen aan ervaringen uit de praktijk. Met de uitkomsten kunnen de onderzoeksvragen van deze scriptie vollediger worden beantwoord. • •

• •

Dit hoofdstuk begint met een beschrijving van de opzet van het praktijkonderzoek. Vervolgens wordt ingegaan op de risicogebieden die zijn geïdentificeerd tijdens het literatuuronderzoek in paragraaf 3.3 “Risico’s rond de beëindiging van een uitbestedingscontract”. Gedurende de interviews zijn deze gebieden besproken en dit hoofdstuk geeft een samenvatting van de resultaten per risicogebied. Eventuele verschillen tussen deze resultaten en de resultaten van het literatuuronderzoek worden benoemd en waar mogelijk toegelicht. In aanvulling hierop wordt een nieuw risicogebied geïntroduceerd die uit het praktijkonderzoek naar voren kwam en niet als zodanig in de literatuur is benoemd: ontoereikend contractmanagement. Een aantal algemene observaties uit het praktijkonderzoek wordt vervolgens beschreven. Tenslotte worden in de deelconclusies de resultaten van dit hoofdstuk gebruikt bij de deelbeantwoording van onderzoeksvragen 1, 2, 3 en 4.

4.2. Opzet praktijkonderzoek Tijdens het praktijkonderzoek zijn in totaal dertien interviews gehouden waarin de resultaten uit het literatuuronderzoek zijn getoetst aan ervaringen uit de praktijk. De geïnterviewden zijn te verdelen in kleine, middelgrote en grote uitbestedende organisaties (8), service providers (2) en in IT-uitbesteding gespecialiseerde consultants (3). Met de diverse samenstelling van onze geïnterviewden is getracht een zo representatief mogelijk beeld te geven van de uitbestedingsbranche. Vanaf het tiende interview kwamen er nog nauwelijks nieuwe inzichten naar boven. Op dat moment hebben we besloten dat bij dertien interviews het praktijkonderzoek voldoende illustratief is voor deze afstudeerscriptie. Om de uitkomsten van de verschillende interviews te kunnen vergelijken is dezelfde vragenlijst tijdens alle interviews gebruikt. Deze vragenlijst is terug te vinden in bijlage 3. De interviews hadden globaal de volgende opbouw: • Verkrijgen van achtergrondinformatie van de organisatie (categorie, type, grootte). • Verkrijgen van achtergrondinformatie van de uitbestedingsdeal(s) (uitbestede processen, omvang van de uitbestedingsdeal in euro’s, looptijd van het contract, single/multi-vendor sourcing). • Vragen naar de ervaringen van de geïnterviewden met betrekking tot de risicogebieden die geïdentificeerd zijn tijdens het literatuuronderzoek uit hoofdstuk 3, en eventuele mitigerende maatregelen. Bijlage 4 presenteert een beknopte en geanonimiseerde beschrijving van de organisaties die onze geïnterviewden vertegenwoordigden.

4.3. Bevindingen per risicogebied Alle geïnterviewden is gevraagd in hoeverre de gevonden risicogebieden uit het literatuuronderzoek voor hen van toepassing zijn. Indien dit het geval bleek, is hen gevraagd aan te geven welke mitigerende maatregelen ze getroffen hebben. Hieronder volgt een samenvatting van de interviews per risicogebied. Deze resultaten zijn vergeleken met de risico’s en mitigerende maatregelen uit het literatuuronderzoek. Opvallende zaken en eventuele relevante verschillen tussen literatuur en praktijk worden toegelicht. Evenals in hoofdstuk 3 zijn de risicogebieden onderverdeeld in drie categorieën die aangeven op welk aspect het risicogebied het meeste impact heeft: kwaliteitsverlies, financiële gevolgen en tijdsverlies.


pagina 20 van 55

4.3.1. Bevindingen per risicogebied: Kwaliteitsverlies 1. Kennisverlies Risico: • Grote afhankelijkheid van de service provider bij beëindiging van een uitbestedingscontract door kennisverlies. Mitigerende maatregelen uit het literatuuronderzoek 1. Het overnemen van personeel van de latende service provider door de nieuwe service provider of, in het geval van backsourcing, door de uitbestedende organisatie zelf. 2. Sleutelpersonen bij de service provider mogen alleen na toestemming van de uitbestedende organisatie van het account worden afgehaald. 3. Het aanhouden van medewerkers met inhoudelijke kennis (vooral met betrekking tot in de IT-architectuur) in de regieorganisatie van de uitbestedende organisatie. 4. Verplichting aan de service provider om alle documentatie (inclusief de configuratie van assets in CMDB en architectuuroverzichten) volledig en up-to-date te houden. Aanvullende mitigerende maatregelen uit het praktijkonderzoek 5. Verplichting aan de latende service provider om tot een vastgestelde periode na beëindiging het contract alsnog ondersteuning te bieden aan de nieuwe service provider. 6. De overgang van maatwerk naar commodities. 7. Opstellen en regelmatig bijwerken van een retransitieplan door de service provider. Toelichting op het praktijkonderzoek • Algemene observatie: Kennisverlies werd door alle geïnterviewde uitbestedende organisaties onderkend als het grootste risico. • Algemene observatie: In vergelijking met uitbestedende organisaties, maken service providers zich minder zorgen over kennisverlies bij wisseling van service provider. Omdat het hun kerncompetentie betreft, weten ze precies welke kennis ze nodig hebben om de benodigde IT-diensten te kunnen leveren. Hiervoor zijn uitgebreide vragenlijsten opgesteld die de vorige service provider moet beantwoorden. Op basis hiervan en van bijvoorbeeld een periode van schaduwdraaien is de nieuwe service provider in staat de IT-dienstverlening over te nemen. • Algemene observatie: Alle mitigerende maatregelen uit het literatuuronderzoek werden in de praktijk door één of meerdere uitbestedende organisaties toegepast. Geen van de uitbestedende organisaties paste alle maatregelen volledig toe. • Ad 1 Overname van personeel: Hoewel de wet op Overdracht van Onderneming (OVO) overname van personeel binnen de EU kan afdwingen, blijkt dat dit in de praktijk bijna alleen voorkomt in geval van een initiële uitbesteding, of van een backsourcing. Medewerkers van service providers zijn vaak werkzaam voor meerdere ‘accounts’ en daardoor is het moeilijk om mensen aan te wijzen die fulltime voor één uitbestedende organisatie werken en die dus overgaan naar de nieuwe service provider. Daarnaast bleek dat (onder de huidige marktomstandigheden) de twee geïnterviewde service providers er zelf ook niet op zitten te wachten om op deze manier nieuwe medewerkers ‘opgedrongen’ te krijgen of medewerkers te zien vertrekken. • Ad 2 Binding sleutelpersonen: Zes van de acht geïnterviewde uitbestedende organisaties hebben vastgelegd dat sleutelpersonen bij de service provider niet zomaar van het account mogen worden afgehaald. In de praktijk blijkt echter dat ze vaak geen specifieke namen hebben van sleutelpersonen bij de service provider. Daarnaast is het niet tegen te houden wanneer medewerkers de service provider verlaten. Ook wanneer medewerkers van de service provider intern willen doorstromen, zou het tegenhouden hiervan resulteren in demotivatie. • Ad 3 Aanhouden interne medewerkers: Het aanhouden van inhoudelijke kennis in de regieorganisatie komt vooral voor bij de vijf geïnterviewde grote uitbestedende organisaties. De drie kleinere geïnterviewde uitbestedende organisaties hebben echter vaak niet de financiële reserves om extra mensen met inhoudelijke kennis aan te houden. Daarnaast is bij kleinere organisaties de complexiteit van de IT-architectuur meestal beperkt, waardoor de noodzaak tot het aanhouden van experts afneemt. • Ad 4 Documentatie: Hoewel zes van de acht geïnterviewde uitbestedende organisaties de verplichting aan de service provider hebben opgenomen om alle documentatie (inclusief configuratiemanagement en architectuuroverzichten) volledig en up-to-date te houden, blijkt dit in hun dagelijkse praktijk bij de helft Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 21 van 55

• •

•

niet of nauwelijks te gebeuren. Hetzelfde geldt voor veel andere documenten die geen deel uitmaken van de primaire processen en die niet actief worden bewaakt door de uitbestedende organisatie. In deze gevallen gaf hun service provider als reden prioriteit te schenken aan zaken die wel direct betrekking hebben op de primaire processen. Daarnaast bleek dat de regieorganisatie van zes geïnterviewde uitbestedende organisaties niet de resources of de kennis heeft om de volledigheid en actualiteit van de documentatie te bewaken. Gedurende de looptijd van het contract is dit meestal geen probleem, maar dat wordt het wel bij de beëindiging van het contract omdat de uitbestedende organisaties op dat moment een compleet overzicht missen van wat er precies bij hun service provider ‘draait’. Ad 5 Ondersteuning latende service provider. Geen bijzonderheden. Ad 6 Gebruik commodities: De overgang van maatwerk naar commodities als onderdeel van de uitbestedingsdeal werd tijdens vijf interviews met uitbestedende organisaties ook genoemd als mitigerende maatregel om het risico van kennisverlies bij het beëindigen van een uitbestedingscontract te beperken. Door zoveel mogelijk gebruik te maken van marktconforme standaarden, zowel voorinfrastructuur als voor applicaties, wordt de overgang van de ene service provider naar de andere veel makkelijker. De benodigde kennis is niet meer specifiek organisatieafhankelijk, maar breed verkrijgbaar in de markt. Deze maatregel speelt vooral bij de vijf geïnterviewde grote uitbestedende organisaties. De drie geïnterviewde kleinere uitbestedende organisaties maken over het algemeen veel minder gebruik van maatwerkapplicaties. Ad 7 Retransitieplan: Een retransitieplan is een plan van aanpak van de service provider waarin hij aangeeft wat er moet gebeuren om de uitbestede IT-diensten over te dragen aan een eventuele nieuwe service provider. Deze maatregel zal uitsluitend effectief zijn als de uitbestedende organisatie ook regelmatig bewaakt dat het plan wordt bijgewerkt. Drie van de geïnterviewde uitbestedende organisaties hebben deze verplichting aan de service provider laten vastleggen in het contract. Echter, in de praktijk blijkt dat dit plan zeer high level is en dat de status niet wordt bewaakt door de uitbestedende organisatie.

2. De overdraagbaarheid en onderhoudbaarheid van de ontwikkelde software is onvoldoende Risico: • Applicaties die slecht gecodeerd of gedocumenteerd zijn, zijn moeilijk te doorgronden door een nietexpert. Hierdoor ontstaat het risico op (langdurig) beschikbaarheidverlies bij incidenten en afhankelijkheid van de latende service provider, die wel de expertise over de applicatie heeft. Mitigerende maatregelen uit het literatuuronderzoek: 1. Verplichting aan de service provider om alle documentatie (inclusief configuratiemanagement en architectuuroverzichten) volledig en up-to-date te houden. 2. Verplichting aan de service provider tot het gebruik van een gangbare en gedocumenteerde ontwikkelmethodiek inclusief gangbare programmeerstandaarden. Aanvullende mitigerende maatregelen uit het praktijkonderzoek: • Geen Toelichting op het praktijkonderzoek: Ad 1 Documentatie: Bij zes van de acht geïnterviewde uitbestedende organisaties waar • softwareontwikkeling van toepassing is, is de eis tot goede, volledige en bijgewerkte documentatie expliciet contractueel vastgelegd. Echter, zoals ook hierboven bij kennisverlies vermeld, controleren deze uitbestedende organisaties nauwelijks of de service provider zich aan deze afspraken houdt. Ad 2 Ontwikkelmethodiek: Onderhoudbaarheid, bijvoorbeeld van programmatuur, wordt zelden genoemd. • Slechts bij één geïnterviewde uitbestedende organisatie is in het contract expliciet opgenomen dat de ontwikkelde software moet voldoen aan voorgeschreven programmeerstandaarden. Dit betreft zowel door de fabrikant voorgeschreven standaarden (SAP), als algemeen aanvaarde best practises. Een van de geïnterviewde service providers bevestigde dat programmeerstandaarden eigenlijk nooit genoemd worden.


pagina 22 van 55

3. Gebrek aan medewerking van de latende service provider bij de transitie Risico: • Verminderde beschikbaarheid doordat de nieuwe service provider de benodigde informatie om de infrastructuur en applicaties te beheren niet, niet goed of te laat krijgt opgeleverd. Mitigerende maatregelen uit het literatuuronderzoek: 1. Opnemen van een ‘Termination Assistance’ (TA) clausule in het contract. In een Termination Assistance clausule verplicht de latende service provider zich tot medewerking bij de transitie naar de nieuwe service provider. Aanvullende mitigerende maatregelen uit het praktijkonderzoek: 2. De latende service provider heeft een financiële stimulans om mee te werken aan de transitie. Toelichting op het praktijkonderzoek: • Algemene observatie: Service providers werken in het algemeen wel mee aan transities. De twee geïnterviewde service providers gaven aan dat, als ze niet meewerken aan een transitie, ze een groot risico lopen op reputatieschade. Als in de markt breed bekend wordt dat een service provider geen medewerking verleent aan een transitie, zal dit een negatief effect hebben op het verkrijgen van nieuwe uitbestedingsopdrachten. Ook loopt de service provider het risico dat hij het bij deze uitbestedende organisatie verpest en ook andere opdrachten in de toekomst kan vergeten. Andersom geldt dat, wanneer de transitie soepel gaat, uitbestedende organisaties hem in de toekomst andere opdrachten zullen gunnen. • Ad 1 Termination Assistance (TA): Alle acht geïnterviewde uitbestedende organisaties hebben een TA clausule in hun contracten. De mate van detaillering van de TA clausule verschilt sterk van geïnterviewde tot geïnterviewde. In drie gevallen gaat dit niet verder dan het generieke statement “de leverancier zal naar beste kunnen meewerken aan de transitie”. Bij drie geïnterviewde uitbestedende organisaties, met vooral grote uitbestedingscontracten, is in de TA clausule zeer gedetailleerd vastgelegd welke sleutelpersonen/specialisten tegen welk tarief en voor welke periode hun medewerking verlenen aan de transitie. • Ad 2 Financiële stimulans: Een transitie zal soepeler verlopen wanneer de latende service provider een incentive krijgt om mee te werken. Dit kan bijvoorbeeld zijn dat hij de transitiekosten in rekening mag brengen.

4. Onvoldoende systeembeveiliging tijdens en na transitieperiode Risico: • Medewerkers van de latende service provider hebben toegang tot data die voor hen ontoegankelijk zou moeten zijn. Dit resulteert in databeveiligingsrisico’s zoals vertrouwelijkheid en integriteit. Mitigerende maatregelen uit het literatuuronderzoek: 1. Ontwikkel een user access policy en monitor hier strikt op tijdens de transitie. Aanvullende mitigerende maatregelen uit het praktijkonderzoek: 2. Zowel de latende als de nieuwe service provider zijn gebonden aan een geheimhoudingsverklaring. Toelichting op het praktijkonderzoek: • Ad 1 User acces policy: Het blijkt dat alle geïnterviewden (zowel uitbestedende organisaties, als service providers als consultants) systeembeveiliging als een groot risico onderkennen; tevens blijkt dat security en user access in alle gevallen al een onderwerp is dat veel aandacht krijgt tijdens de contractonderhandelingen en gedurende de looptijd van het contract. De strikte afspraken die hiervoor gemaakt worden (bijvoorbeeld de genoemde user access policy) gelden ook voor de fase van transitie naar een nieuwe service provider. • Ad 2 Geheimhoudingsverklaring: Geen opmerkingen. 5. Onzekerheid personeel Risico: Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 23 van 55

•

Kennisverlies door ongewenste personeelsmobiliteit als gevolg van onzekerheid bij personeel van zowel de service provider als de uitbestedende organisatie.

Mitigerende maatregelen uit het literatuuronderzoek: 1. Goed communiceren naar de desbetreffende medewerkers over de gevolgen van contractbeëindiging voor hun positie. Aanvullende mitigerende maatregelen uit het praktijkonderzoek: 2. Introduceren van retentiebonussen door uitbestedende organisaties om medewerkers met kritieke kennis tijdens de transitieperiode vast te houden. Toelichting op het praktijkonderzoek: • Algemene observatie: Dit risico wordt door de twee geïnterviewde service providers niet als zodanig herkend. De service providers geven aan dat het beëindigen van een contract (tenzij het over een zeer groot account gaat) in de praktijk weinig problemen oplevert. De meeste medewerkers zijn verdeeld over meerdere accounts en er komt altijd wel een ander account voor in de plaats. • Ad 1 Communicatie: Geen opmerkingen. • Ad 2 Retentiebonussen: Geen opmerkingen. 4.3.2.

Bevindingen per risicogebied: Financiële gevolgen

6. Eigendomsrechten van ontwikkelde applicaties zijn niet vastgelegd Risico: • Onduidelijkheid omtrent licentie- en onderhoudskosten. Mogelijk verlies van concurrentievoordeel wanneer de service provider een onderscheidende applicatie aan anderen ter beschikking stelt. Mitigerende maatregelen uit het literatuuronderzoek: 1. Contractueel vastleggen wie de eigenaar is van applicaties. 2. Afspreken van een escrowregeling voor applicaties die eigendom zijn van de service provider. Aanvullende mitigerende maatregelen uit het praktijkonderzoek: 3. De overgang van maatwerk naar commodities. Toelichting op het praktijkonderzoek: • Ad 1 Eigendom vastleggen: Alle geïnterviewden (zowel service providers als uitbestedende organisaties als consultants) zijn het erover eens dat maatwerkapplicaties eigendom zijn van de uitbestedende organisatie. Bij de vier geïnterviewde uitbestedende organisaties waar softwareontwikkeling ook van toepassing is, is dit expliciet contractueel vastgelegd. • Ad 2 Escrowregeling: Bij één van de geïnterviewde uitbestedende organisaties was een escrowregeling opgesteld. • Ad 3 Gebruik commodities: Zie hierboven bij risicogebied ‘Kennisverlies’. 7. Onduidelijkheid over gemaakte afspraken door zwakke regieorganisatie Risico: • Vertraging in beëindiging van het contract omdat niet duidelijk is welke afspraken er exact zijn met de service provider en welke diensten er precies worden afgenomen. De vele discussies hierover kosten nodeloos tijd en energie. Mitigerende maatregelen uit het literatuuronderzoek: 1. Professionaliseren van de regieorganisatie. Aanvullende mitigerende maatregelen uit het praktijkonderzoek: • Geen


pagina 24 van 55

Toelichting op het praktijkonderzoek: • Ad 1 Professionalisering: Het blijkt dat, mede door ervaringen met eerdere uitbestedingstrajecten en ondersteuning van gespecialiseerde consultancybureaus, alle geïnterviewde uitbestedende organisaties het belang onderkennen van een professionele regieorganisatie en hier naar handelen. Deze maatregel is niet specifiek ingericht voor het beëindigen van het uitbestedingscontract, maar voor de hele contractduur.

8. Onvoldoende vastlegging opzeggingsgronden van contract Risico: • In geval van voortijdige beëindiging: vertraging door onzekerheid over rechtmatigheid van de beëindiging en wie voor welke kosten verantwoordelijk is. Mitigerende maatregelen uit het literatuuronderzoek: 1. Het opnemen van een optie in het contract waarin de omstandigheden voor het voortijdig beëindigen van het contract zijn benoemd. 2. Vastleggen welke escalatieprocedure, eventueel met externe arbitrage, doorlopen moet worden bij een geschil. Aanvullende mitigerende maatregelen uit het praktijkonderzoek: • Geen Toelichting op het praktijkonderzoek: • Ad 1 Omstandigheden voor voortijdige beëindiging: Zeven van de acht geïnterviewde uitbestedende organisaties hebben deze optie opgenomen in hun contract. Er wordt onderscheid gemaakt tussen twee situaties: • Termination for Cause: contract wordt voortijdig beëindigd omdat één van de partijen zich (meerdere malen) niet aan de contractuele verplichtingen heeft gehouden. • Termination for Convenience: De partijen zijn hun contractuele verplichtingen nagekomen, maar één van de partijen, meestal de uitbestedende organisatie, wil het contract toch voortijdig beëindigen. Reden hiervoor kan bijvoorbeeld een fusie of overname zijn waardoor uitbesteding niet meer binnen de strategie past, of een faillissement van één van de contractpartijen. Het blijkt dat de mate van gedetailleerdheid onderling sterk verschilt tussen de uitbestedende organisaties. Hoe groter het uitbestedingscontract, des te meer scenario’s zijn uitgewerkt die zouden kunnen leiden tot een termination for convenience. • Ad 2 Vastleggen escalatieprocedure: Geen opmerkingen. 4.3.3. Bevindingen per risicogebied: Tijdsverlies 9. Infrastructuurvervlechting en onduidelijkheid over het eigendom van de infrastructuur Risico: • Bij vervlechting van de infrastructuur van meerdere uitbestedende organisaties bij dezelfde service provider kan bij contractbeëindiging onduidelijk zijn welke hardwarecomponenten bij welke klant(en) horen. Indien dit niet goed is vastgelegd, kan ontvlechting zeer tijdrovend en kostbaar worden. Mitigerende maatregelen uit het literatuuronderzoek: 1. Verplichting aan de service provider tot het actueel en volledig houden van een Configuration Management database (CMDB) waarmee de uitbestedende organisatie een overzicht heeft van al haar assets en hun financiële waarde. 2. Vastleggen terugkoopregeling met inbegrip van waardevermindering van de assets. 3. Verplichting aan de service provider tot gebruik van dedicated hardware die niet mag worden gedeeld met andere klanten van de service provider. Aanvullende mitigerende maatregelen uit het praktijkonderzoek: 4. Uitbestedende organisatie houdt zelf alle licenties en hardware, inclusief de (huurcontracten met de) datacentra, in eigendom. Beheer hiervan wordt uitgevoerd door de service provider.


pagina 25 van 55

Toelichting op het praktijkonderzoek: • Algemene observatie: De acht geïnterviewde uitbestedende organisaties onderling schatten het risico van infrastructuurvervlechting heel verschillend in. Opmerkelijk is dat deze verschillen niet afhankelijk lijken te zijn van het type of de grootte van de uitbestedende organisatie, maar eerder van persoonlijke visies van het management. • Algemene observatie: Opvallend bij dit risicogebied is dat de twee geïnterviewde service providers infrastructuurvervlechting totaal niet als relevant zien. In hun visie is er bij een wijziging van de service provider geen sprake van verhuizing van bestaande hardware naar het datacentrum van de nieuwe service provider (in één geval werd dit zelfs als levensgevaarlijk bestempeld). In sommige gevallen neemt de nieuwe service provider complete datacentra over waardoor geen migratie nodig is. Vaak schaft de service provider simpelweg nieuwe hardware aan en installeert deze volgens zijn eigen hosting concept. Vervolgens wordt een datamigratie uitgevoerd. • Ad 1 Actueel CMDB: Zie ook hierboven bij risicogebied ‘Kennisverlies’. De verplichting om alle documentatie (inclusief configuratiemanagement en architectuuroverzichten) volledig en up-to-date te houden, blijkt in de praktijk niet of nauwelijks te worden nageleefd. • Ad 2 Terugkoopregeling van de assets: Geen opmerkingen. • Ad 3 Dedicated hardware: Geen opmerkingen. • Ad 4 Eigendom hardware bij uitbestedende organisatie: Vier van de acht geïnterviewde uitbestedende organisaties onderkennen het risico op infrastructuurvervlechting en houden de hardware in eigendom met als belangrijkste redenen: • Het risico van infrastructuurvervlechting bij een toekomstige contractbeëindiging speelt niet wanneer uitbestedende organisaties de hardware zelf in eigendom houden. • Door de hardware zelf in eigendom te houden is de uitbestedende organisatie onafhankelijk van afschrijvings- en winstoverwegingen van de provider rondom deze assets. Zo wordt voorkomen dat er gewerkt wordt met een verouderde infrastructuur. Voor een service provider zou het mogelijk financieel aantrekkelijk kunnen zijn om gebruik te blijven maken van afgeschreven apparatuur. De andere vier geïnterviewde uitbestedende organisaties zien het niet in eigendom houden van de hardware niet als een onoverkomelijk risico en hebben geen bezwaar tegen het gebruik van een gemeenschappelijke infrastructuur die gedeeld wordt door verschillende klanten van de service provider. Daarnaast zien drie uitbestedende organisaties het risico op vervlechting van de infrastructuur als een probleem van de (oude en nieuwe) service provider. Als belangrijkste argumenten om een gedeelde hardware toe te staan werden genoemd: • Beslissingen over aanschaf van de juiste hardware is de verantwoordelijkheid van de service provider. Door hem deze flexibiliteit te geven kan hij zijn serverpark optimaliseren en een betere en goedkopere service leveren. • Wanneer de service provider eigenaar is van de hardware, biedt dit de mogelijkheid tot een uitbestedingsmodel waarin de uitbestedende organisatie alleen betaalt voor wat daadwerkelijk wordt afgenomen (zoals geheugen; betalen per Gigabyte).

10. Vertraging in lopende projecten bij voortijdige beëindiging Risico: • Vertraging in lopende projecten omdat de service provider geen prioriteit meer aan het account toekent wanneer is aangekondigd dat het contract niet wordt verlengd. Mitigerende maatregelen uit het literatuuronderzoek: 1. Open communiceren met het belang van beide partijen in het oog houdend. 2. Financieel aantrekkelijk maken continuering projecten. Aanvullende mitigerende maatregelen uit het praktijkonderzoek: 3. Strikt monitoren op het halen van de SLA. Toelichting op het praktijkonderzoek: • Ad 1 Open communicatie: Geen opmerkingen. • Ad 2 Financiële incentive: Eén van de geïnterviewde uitbestedende organisaties heeft bij een voortijdige contractbeëindiging, de latende service provider de kans op deelname aan nieuwe projecten in het Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 26 van 55

•

vooruitzicht gesteld. Hierbij is duidelijk gemaakt dat de performance van deze service provider tijdens afwikkeling van het bestaande contract meeweegt in de uiteindelijke gunning van de nieuwe projecten. Ad 3 Monitoren op SLA: Geen opmerkingen.

11. Innovaties, investeringen en projecten haperen in de periode vóór het einde van de reguliere looptijd van het contract Risico: • Vertraging bij de oplevering van projecten. Mitigerende maatregelen uit het literatuuronderzoek: 1. Financieel aantrekkelijk maken om investeringen te doen in innovaties en projecten. Belangrijke projecten worden via een aparte opdracht, die los staat van het uitbestedingscontract, aan de service provider verstrekt. Aanvullende mitigerende maatregelen uit het praktijkonderzoek: 2. Terughoudendheid in het starten van grote projecten of investeringen tegen het einde van de contractduur. Toelichting op het praktijkonderzoek: • Algemene observatie: Opvallend is dat de twee geïnterviewde service providers dit niet als een risico zien. Voor hen is het niets bijzonders dat contracten worden afgesloten en beëindigd. Het is een kwestie van professionaliteit om ook aflopende contracten goed af te handelen. Daarnaast speelt voor de service providers het risico van reputatieschade wanneer ze op het einde hun dienstverlening verzaken. • Ad 1 Aparte opdrachtverstrekking: Deze maatregel wordt door zeven van de geïnterviewde uitbestedende organisaties als afdoende gezien in het geval er (bijvoorbeeld door wettelijke bepalingen) toch een belangrijk project moet worden gestart vlak vóór de einddatum van het uitbestedingscontract. • Ad 2 Geen nieuwe projecten: Geen opmerkingen. 12. Gebrek aan een goede werkrelatie tussen contractpartijen Risico: • Vertraging in transitie naar de nieuwe service provider, doordat de latende service provider en uitbestedende organisatie minder snel geneigd zijn elkaar tegemoet te komen als gevolg van een slechte werkrelatie en een resulterend gebrek aan vertrouwen. Mitigerende maatregelen uit het literatuuronderzoek: 1. Bewust investeren in een goede werkrelatie door zowel de uitbestedende organisatie als de service provider. Aanvullende mitigerende maatregelen uit het praktijkonderzoek: • Geen Toelichting op het praktijkonderzoek: • Ad 1 Investeren in relatie: Deze maatregel werd door alle geïnterviewden als cruciaal bestempeld voor de gehele contractduur. Zowel de geïnterviewde uitbestedende organisaties als de geïnterviewde service providers investeren bewust in het managen van de relatie. Een contract kan nooit 100% alles afdekken en door uit te gaan van een win-win situatie wordt het onderhouden van het contract eerder een kwestie van geven en nemen (en gunnen!). Dit is op de lange termijn voordeliger voor beide partijen aangezien hierdoor veel tijdrovende discussies worden voorkomen.

13. Te weinig managementaandacht beschikbaar voor aanbiedings- en transitieproces Risico: • Kiezen voor een mogelijk suboptimale oplossing (verlengen van bestaande contract) omdat het management geen tijd kan vrijmaken om zich met het aanbiedingsproces en de transitie te bemoeien.


pagina 27 van 55

Mitigerende maatregelen uit het literatuuronderzoek: 1. Vroegtijdig ontwikkelen van exitstrategie. Aanvullende mitigerende maatregelen uit het praktijkonderzoek: 2. Inhuren van externe capaciteit. 3. Kortstondige verlenging van het uitbestedingscontract. Toelichting op het praktijkonderzoek: • Ad 1 Vroegtijdig ontwikkelen van exitstrategie: In de praktijk blijkt dat het traject van uitschrijven van een tender tot de aanvang van de transitie langer duurt dan ingeschat. Vier van de uitbestedende organisaties gaven aan dat ze hier toch te laat mee waren begonnen. Hierdoor moesten ze hun toevlucht nemen tot de onderstaande mitigerende maatregelen. • Ad 2 Externe capaciteit: Zeven van de acht geïnterviewde uitbestedende organisaties hebben externe medewerkers ingehuurd om voorwerk te verrichten en hiermee het management zoveel mogelijk te ontlasten. • Ad 3 Kortstondige verlenging contract: Vijf van de acht geïnterviewde uitbestedende organisaties hebben gebruik gemaakt van de mogelijkheid om het bestaande contract kortstondig te verlengen met als doel de contractbeëindiging beter te kunnen voorbereiden. (Dit kwam overigens niet altijd door een tekort aan managementaandacht. In een paar gevallen had de kortstondige contractverlenging als doel tijd te winnen in afwachting van een belangrijke strategische beslissing die van invloed kon zijn op de visie op uitbesteding.)

14. Onvoldoende ervaring met contractbeëindiging bij uitbestedende organisatie Risico: • Vertraging en suboptimale afwikkeling van het bestaande contract door gebrek aan ervaring met contractbeëindiging. Mitigerende maatregelen uit het literatuuronderzoek: 1. Inhuren van expertise bij gespecialiseerde consultancybureaus. Aanvullende mitigerende maatregelen uit het praktijkonderzoek: • Geen Toelichting op het praktijkonderzoek: • Ad 1 Inhuren van expertise: Alle geïnterviewde uitbestedende organisaties onderkenden dat ze (te) weinig ervaring hadden met uitbesteding; ze hebben zich daarom laten adviseren door gespecialiseerde consultancybureaus tijdens hun eerste uitbestedingscontract. Ook bij afloop van dit contract werd in de meeste gevallen weer hulp ingeroepen van consultancybureaus voor het volgende aanbestedings- en onderhandelingstraject.

15. Ontoereikend contractmanagement Dit risicogebied is tijdens het literatuuronderzoek niet als dusdanig geïdentificeerd, maar is in het praktijkonderzoek naar voren gekomen. Expliciet contractmanagement (contractenportfolio) draagt bij aan een betere beheersing van de contractbeëindiging. Risico’s: • Mogelijk beschikbaarheidsverlies, mogelijke suboptimale verlenging van het bestaande contract en mogelijke vertraging in de contractbeëindiging door slecht contractmanagement. Mitigerende maatregelen uit het literatuuronderzoek: • Geen Aanvullende mitigerende maatregelen uit het praktijkonderzoek: Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 28 van 55

1. Vermijd in geval van multi-vendor sourcing dat alle contracten gelijktijdig aflopen. 2. Begin tijdig met voorbereiding op de contractbeëindiging. 3. Review en update regelmatig het uitbestedingscontract. Toelichting op het praktijkonderzoek: • Ad 1 gelijktijdig aflopen van contracten: Door verschillende contracten op verschillende momenten te laten eindigen, wordt de beheersbaarheid van de transities groter omdat alle resources zich dan op slechts één contract tegelijkertijd hoeven te concentreren. Eén van de geïnterviewde uitbestedende organisaties wil om deze reden een aantal contracten kortstondig verlengen. • Ad 2 Tijdige aanvang: Hoewel dit een open deur lijkt, gaven vier geïnterviewde uitbestedende organisaties die momenteel in een contractbeëindigingsfase zitten, aan dat ze het retransitieproces hebben onderschat en, achteraf gezien, te laat zijn begonnen met voorbereidingen voor de contractbeëindiging. Als gevolg hiervan zijn soms onder tijdsdruk suboptimale oplossingen gekozen. • Ad 3 Periodieke update contract: Review en update regelmatig het contract zodat het blijft aansluiten bij de dagelijkse werkelijkheid. Dit borgt dat het uitbestedingscontract nog in beider belangen voorziet. Op basis van deze afstemming kunnen aanpassingen van het contract plaatsvinden en wordt snel op een eventuele onvrede geanticipeerd. Dit bevordert een goede relatie tussen de contractpartijen. Daarnaast, wanneer het contract een goede afspiegeling is van de dagelijkse werkelijkheid, zullen er bij een contractbeëindiging minder onduidelijkheden en discussies zijn waardoor het transitieproces soepeler verloopt.

4.4. Algemene observaties uit het praktijkonderzoek Deze paragraaf geeft antwoord op deelvragen 1 (aandacht voor contractbeëindiging) en 4 (trends die van invloed kunnen zijn op contractbeëindiging) aan de hand van observaties uit het praktijkonderzoek. De paragraaf sluit af met opvallende observaties uit het praktijkonderzoek die niet specifiek onder één van de deelvragen vallen. 4.4.1. Onvoldoende aandacht voor contractbeëindiging volgens uitbestedende organisaties Vier geïnterviewde uitbestedende organisaties, die momenteel in de contractbeëindigingsfase zitten, geven aan dat contractbeëindiging enigszins onderbelicht is geweest tijdens de voorbereiding van hun ITuitbestedingstraject. Hun inspanningen in deze fase waren vooral gericht op het selecteren van de juiste leverancier met de meest gunstige voorwaarden (prijs, kwaliteit). Daarnaast werd veel aandacht besteed aan het bepalen hoe de regieorganisatie de service provider moet gaan aansturen. Tijdens het praktijkonderzoek bleek het gebrek aan aandacht voor contractbeëindiging uit: • Het feit dat geen van de geïnterviewde uitbestedende organisaties een expliciete risicoanalyse heeft uitgevoerd voor het beëindigen van het uitbestedingscontract. (Alle geïnterviewde uitbestedende organisaties hebben wel een aantal van de hierboven genoemde risicogebieden geïdentificeerd en hiervoor mitigerende maatregelen getroffen. Echter, het aantal geïdentificeerde risicogebieden en het aantal bijbehorende mitigerende maatregelen verschilt sterk per uitbestedende organisatie.) • De beperkte en vaak in algemene bewoordingen opgestelde exitclausule. • Het beperkte aantal maatregelen dat uitbestedende organisaties nemen om kennisverlies te voorkomen. • De trend dat uitbestedende organisaties steeds vaker de mogelijkheid tot kortstondige verlenging van het contract benutten om zo extra tijd te creëren in geval de voorbereiding op de beëindiging van het contract tegenvalt. Deze trend wordt in de volgende paragraaf nader beschreven. 4.4.2. Trends die van invloed kunnen zijn op contractbeëindiging 1. Toename multi-vendor sourcing Uit het literatuuronderzoek bleek de trend dat multi-vendor sourcing steeds meer wordt toegepast. Dit komt overeen met de observaties uit het praktijkonderzoek. Zes van de geïnterviewde uitbestedende organisaties hebben ervoor gekozen om hun IT-dienstverlening bij meerdere service providers onder te brengen. Ook de twee geïnterviewde service providers gaven aan dat multi-vendor sourcing steeds meer wordt toegepast. Voordelen van multi-vendor sourcing zijn: • Minder afhankelijk van één enkele service provider voor de IT-dienstverlening. Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 29 van 55

Voor ieder IT-onderdeel (bijvoorbeeld netwerken of applicatiebeheer) wordt de meest geschikte service provider geselecteerd (‘best of breed’). • Spreiding van het aflopen van contracten waardoor de werklast en het risico worden gespreid. Nadeel van multi-vendor sourcing is dat er met meerdere partijen afstemming moet plaatsvinden bij de beëindiging. •

2. Kortstondige verlenging van uitbestedingscontracten Uit het literatuuronderzoek bleek de trend dat uitbestedende organisaties steeds vaker in het contract de mogelijkheid tot kortstondige verlenging opnemen. Dit komt overeen met de observaties uit het praktijkonderzoek. Zes van de geïnterviewde uitbestedende organisaties hebben in het contract de mogelijkheid tot (meerdere malen) verlenging met een jaar opgenomen en maken hier ook steeds vaker gebruik van om de volgende redenen: • Extra tijd scheppen om de (soms langer dan verwachte) transitieperiode bij het wisselen van service provider te wisselen of te ondervangen. • De uitbestedende organisatie verwacht een belangrijke strategiewijziging in de eigen organisatie en wil deze eerst afwachten voordat ze zich weer voor een langere tijd bindt aan een uitbestedingscontract. • In het geval van multi-vendor sourcing kan de uitbestedende organisatie met kortstondige verlengingen beter haar contractenportfolio beheren, waardoor zij zelf kan bepalen wat de handigste volgorde is waarin contracten worden beëindigd. 3. Professionalisering van de regieorganisatie Uit het literatuuronderzoek bleek de trend dat regieorganisaties steeds professioneler worden. Deze trend wordt geheel onderschreven door de twee geïnterviewde service providers, die veelvuldig contact hebben met verschillende regieorganisaties. 4.4.3. Opvallende observaties uit het praktijkonderzoek • Uit de interviews komt naar voren, dat beëindiging van een uitbestedingscontract voor uitbestedende organisaties behoorlijke risico’s met zich meebrengt, zowel financiële (afkoopsom in geval van een termination for convenience) als een continuïteitsrisico voor de bedrijfsvoering. De risico’s voor een service provider daarentegen zijn voornamelijk financieel (krijgen zij alle gedane investeringen terug?). Het is van belang dat uitbestedende organisaties zich realiseren, dat zij de grootste risico’s lopen bij contractbeëindiging en dus zelf het initiatief moeten nemen voor het treffen van mitigerende maatregelen. Zo zal bijvoorbeeld een goede exitclausule moeten worden opgesteld op initiatief van de uitbestedende organisatie. De service provider heeft er minder belang bij dat een contract gemakkelijk kan worden beëindigd en zal dus minder snel geneigd zijn veel aandacht te besteden aan het opnemen van een exitclausule in het contract. • Uit de interviews bleek dat voor backsourcing en follow-up sourcing grotendeels dezelfde risico’s en mitigerende maatregelen gelden. Eén van de grootste verschillen is dat bij backsourcing een IT-afdeling vanuit het niets weer moet worden opgebouwd, wat gezien de krapte op de arbeidsmarkt niet altijd eenvoudig is. Backsourcing komt voornamelijk voor bij fusies/overnames, waar dan teruggevallen kan worden op de bestaande IT-afdeling van de fusiepartner.

4.5. Deelconclusies Uit de confrontatie van de resultaten van het literatuuronderzoek en het praktijkonderzoek zijn een aantal conclusies af te leiden: • De resultaten van het literatuuronderzoek en het praktijkonderzoek sluiten goed op elkaar aan: alle geïdentificeerde mitigerende maatregelen uit het literatuuronderzoek worden in meer of mindere mate ook in de praktijk toegepast. Daarnaast is tijdens het praktijkonderzoek het risicogebied ‘Ontoereikend contractmanagement’ geïdentificeerd. •

Sommige van de geïdentificeerde risico’s uit het literatuuronderzoek worden in de praktijk door de betrokkenen onderling volledig anders ingeschat. Een goed voorbeeld hiervan is het in de literatuur genoemde risico van infrastructuurvervlechting. De geïnterviewden hebben hier zeer tegengestelde opvattingen over, die vaak ingegeven lijken te zijn door persoonlijke meningen van het management.


pagina 30 van 55

(Overigens zijn de verschillende opvattingen wel allemaal onderbouwd en zijn er relevante mitigerende maatregelen getroffen.) •

Een uitbestedende organisatie loopt bij (voortijdige) beëindiging van het uitbestedingscontract, naast een direct financieel risico (transitiekosten, boeteclausule), ook het risico op verminderde beschikbaarheid en dienstverlening richting klanten. Dit kan indirect weer leiden tot financiële schade en reputatieschade. Het afdekken van deze risico’s vereist een combinatie van meerdere mitigerende maatregelen.

•

Bij de transitie van de ene service provider naar de andere service provider moet de uitbestedende organisatie de regierol op zich nemen en dit niet overlaten aan beide service providers.

Deelbeantwoording van onderzoeksvragen: Onderzoeksvraag 1: Is er, volgens de uitbestedende organisaties, tijdens de voorbereiding van IT-uitbestedingstrajecten voldoende aandacht voor het beëindigen van contracten? • De vier geïnterviewde uitbestedende organisaties, die momenteel in de contractbeëindigingsfase zitten, geven aan dat contractbeëindiging enigszins onderbelicht is geweest tijdens de voorbereiding van hun ITuitbestedingstraject. Onderzoeksvraag 2: Welke risico’s loopt de uitbestedende organisatie bij het beëindigen van een IT-uitbestedingscontract? • Aanvullend op de reeds geïdentificeerde risicogebieden uit paragraaf 3.3, is tijdens het praktijkonderzoek het risicogebied ‘Ontoereikend contractmanagement’ geïdentificeerd. Onderzoeksvraag 3. Welke maatregelen kunnen toegepast worden om de geconstateerde risico’s te mitigeren? • In aanvulling op de mitigerende maatregelen uit paragraaf 3.3 is tijdens het praktijkonderzoek een aantal niet eerder genoemde mitigerende maatregelen geïdentificeerd voor verschillende risicogebieden. Deze staan beschreven in paragraaf 4.3. Onderzoeksvraag 4: Welke trends zijn er waarneembaar in de visie op uitbesteding die van invloed kunnen zijn op het beëindigen van contracten? • Tijdens het praktijkonderzoek zijn de volgende trends, die van invloed kunnen zijn op het beëindigen van contracten, waargenomen: 1.Toename multi-vendor sourcing. 2. Kortstondige verlenging van uitbestedingscontracten. 3. Professionalisering van de regieorganisatie.


pagina 31 van 55

5. Aanbevelingen voor de (IT) auditor voor contractbeëindiging 5.1. Inleiding Aan de hand van de in de literatuur en praktijk waargenomen risico’s en mitigerende maatregelen wordt in dit hoofdstuk een beknopte set aanbevelingen voor de (IT) auditor gepresenteerd. Deze aanbevelingen kunnen als handvat dienen bij het beoordelen van de risico’s ten aanzien van de beëindiging van een uitbestedingscontract. Dit hoofdstuk ondersteunt het beantwoorden van de onderzoeksvragen 2 en 3. Vanwege de grote verscheidenheid aan vormen van uitbesteding in de huidige markt is het niet mogelijk om tot een eenduidige allesomvattende set aanbevelingen te komen. De hier gepresenteerde aanbevelingen zullen daarom het karakter van best practices hebben. Met kennis van de specifieke organisatie en op basis van een grondige risicoanalyse kan de (IT) auditor deze aanbevelingen gebruiken ter ondersteuning van het opstellen van een voor de situatie toepasselijk normenkader. In paragraaf 5.2 wordt ingegaan op de risicoanalyse die ten grondslag moet liggen aan de audit. In paragraaf 5.3 worden de risicogebieden en maatregelen in tabelvorm weergegeven. Hierbij wordt aangegeven of de maatregelen in het contract moeten worden opgenomen (zie kolom ‘Contractuele maatregelen’) of buiten het contract om moeten worden geregeld (zie kolom ‘Niet-contractuele maatregelen’). In het laatste geval wordt tevens aangegeven hoe deze maatregel effectief kan worden gemaakt; via een audit/Third Party Mededeling (zie kolom ‘Audit’), een activiteit in de regieorganisatie (zie kolom ‘Regie’) of via service level afspraken en rapportages (zie kolom ‘SLA rapportage’). In het geval audit/Third Party Mededeling dient door de uitbestedende organisatie in het contract wel het right-to-audit te worden vastgelegd). De categorisering van de risicogebieden in paragrafen is net zoals in eerdere hoofdstukken gedaan aan de hand van de te verwachten impact bij het onvoldoende afdekken van de risicogebieden; Paragraaf 5.3.1: kwaliteitsverlies, Paragraaf 5.3.2: financiële gevolgen Paragraaf 5.3.3: tijdsverlies.

5.2. Risicoanalyse Dit afstudeeronderzoek heeft geresulteerd in een generiek overzicht van risicogebieden voor uitbestedende organisaties in relatie tot het beëindigen van uitbestedingscontracten. Een risicoanalyse kan uitkomst bieden bij het identificeren welke van deze gebieden van toepassing zijn voor een specifieke uitbestedende organisatie. Vervolgens zal, als onderdeel van de risicoanalyse, moeten worden vastgesteld op welke wijze de geïdentificeerde relevante risico’s kunnen worden beheerst of teruggebracht tot een aanvaardbaar niveau. Het overzicht in dit hoofdstuk van de geïdentificeerde risicogebieden met de bijbehorende mitigerende maatregelen levert een belangrijke bijdrage aan de genoemde risicoanalyse. Een uitgebreide opzet van een risicoanalyse valt echter buiten de scope van dit onderzoek. Desondanks presenteert deze paragraaf twee aanbevelingen voor het uitvoeren van een risicoanalyse, gebaseerd op de ervaringen opgebouwd tijdens dit onderzoek: 1. Begin zo vroeg mogelijk met een risicoanalyse naar de impact van de beëindiging van het uitbestedingscontract, nog voordat het uitbestedingscontract is ondertekend. Dit geeft de mogelijkheid om mitigerende maatregelen, die uit de risicoanalyse volgen, op te nemen in het contract. 2. Betrek bij de uitvoering van de risicoanalyse in ieder geval vertegenwoordigers van de volgende disciplines: • Personeel & Organisatie; • Juridische Zaken; • IT (architectuur); • Financiën. Tijdens het onderzoek is gebleken dat veel van de geïdentificeerde risicogebieden verband houden met deze disciplines.


pagina 32 van 55

5.3. Mitigerende maatregelen: 5.3.1.

Mitigerende maatregelen: Kwaliteitsverlies

Risicogebied

Contractuele maatregel

Mitigerende maatregel

1. Kennisverlies 1 Overnemen personeel. Tijdens de transitie gaat personeel van de latende partij over naar de nieuwe partij. Binnen de EU is dat mogelijk onder de Wet Overgang Onderneming. 2

Beschikbaarheid sleutelpersonen. In de exitclausule wordt een afspraak gemaakt dat sleutelpersonen beschikbaar zullen blijven tot het eind van de succesvolle overdracht. In de praktijk heeft deze maatregel de waarde van een intentieverklaring. De uitbestedende organisatie moet hiervoor een overzicht hebben van alle sleutelpersonen bij de service provider.

3

Kennis in de regieorganisatie. In de regieorganisatie worden personen aangewezen om de service provider op architectuurgebied te sturen en te controleren. Hierdoor blijft essentiële kennis ook aanwezig in de regieorganisatie.

4

Documentatie. In het contract wordt afgesproken dat procedures en systemen gedocumenteerd zijn. Tevens dient de service provider een CMDB bij te houden waarin de gebruikte assets en hun afhankelijkheden worden bijgehouden. Om deze maatregel effectief te laten zijn moet dit gedurende de looptijd van het contract door de uitbestedende organisatie worden gemonitored. Verplichting levering diensten tot einde transitie. Verplichting aan de latende service provider om tot een vastgestelde periode na beëindiging het contract alsnog ondersteuning te bieden aan de nieuwe service provider.

5 6

Commodity-streven. Met de service provider wordt afgesproken om gangbare standaarden te gebruiken. Hierdoor transformeert de infrastructuur naar commodities die beter overdraagbaar zijn. Er zal een sturingsmechanisme moeten worden afgesproken, bijvoorbeeld een bonus-malusregeling.

7

Retransitieplan. De huidige provider stelt een gedetailleerd transitieplan op dat beschrijft hoe de uitbestede werkzaamheden kunnen worden overgedragen naar een andere service provider. Dit plan zal regelmatig (bijvoorbeeld jaarlijks) moeten worden bijgewerkt. Deze maatregel zal uitsluitend effectief zijn als de afspraak regelmatig wordt gemonitored door de uitbestedende organisatie. 2. De overdraagbaarheid en onderhoudbaarheid van de ontwikkelde software is onvoldoende. 1 Documentatie. In het contract wordt afgesproken dat de ontwikkelde software goed en volledig gedocumenteerd is. Om deze maatregel effectief te laten zijn moet dit gedurende de looptijd van het contract worden gemonitored. 2

Programmeerstandaarden. Er worden programmeerstandaarden vastgelegd in het contract ten aanzien van de ontwikkelde software. Het gebruik hiervan moet regelmatig worden gecontroleerd om de maatregel effectief te laten zijn.

3. Geen medewerking van de latende service provider bij de overdracht. 1 Contractuele verplichting. In het contract wordt expliciet afgesproken dat de latende service provider meewerkt aan de overdracht naar een nieuwe service provider (Termination Assistance). Het in detail uitwerken van deze maatregel voor de concrete invulling van de medewerking is in het algemeen lastig, omdat de overdracht ver in de toekomst ligt en sterk af zal hangen van de toekomstige service provider. Er kunnen wel afspraken gemaakt worden over welke sleutelpersonen beschikbaar moeten zijn en wat de tarieven zijn voor deze werkzaamheden. 2

Incentive geven voor een succesvolle transitie. Het wordt aantrekkelijk gemaakt voor de service provider om mee te werken aan de overdracht door deze er nog aan te laten verdienen.


pagina 33 van 55

Niet-contractuele maatregel Audit Regie SLA rapportage

X

X

X

X

X X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

Risicogebied



4. Onvoldoende systeembeveiliging tijdens en na de transitieperiode. 1 Security policy aanwezig. De uitbestedende organisatie heeft een security policy aan de provider die voorschrijft dat toegang uitsluitend wordt verleend aan personen die daartoe gerechtigd zijn. Dit principe moet zeker tijdens de overgangsperiode strikt worden toegepast. 2

Geheimhoudingsverklaring. Zowel de latende als de nieuwe service provider ondertekenen geheimhoudingsverklaringen met betrekking tot alle gegevens van de uitbestedende organisatie.

X

Niet-contractuele maatregel Audit Regie SLA rapportage X

X

5. Onzekerheid personeel. 1 Actief en regelmatig informeren personeel. Het personeel wordt regelmatig op de hoogte gehouden over de toekomstige situatie, de ontwikkelingen rond de contractbeëindiging of overgang naar een (andere) service provider. 2

5.3.2.

Retentiebonussen. Sleutelpersonen krijgen bonussen uitgekeerd indien ze gedurende een bepaalde periode aanblijven.

X

X X

Mitigerende maatregelen: Financiële gevolgen

Risicogebied



6. Eigendomsrechten van ontwikkelde applicaties zijn niet vastgelegd. 1 Eigendomsvraagstuk. Het eigendom van de maatwerkapplicaties is vastgelegd.

X

2

Escrowregeling. De benodigde broncode en documentatie zijn beschermd tegen bijvoorbeeld faillissementen door middel van een escrowregeling. Op regelmatige basis moet worden gecontroleerd of de gedeponeerde applicaties en documentatie juist en volledig zijn. 3 Uitfaseren maatwerkapplicaties. Met vervanging van maatwerk door standaardapplicaties wordt dit risico verminderd. 7. Onduidelijkheid over gemaakte afspraken door zwakke regieorganisatie. 1 Professionele opzet regieorganisatie. Bij een professionele opzet van de regieorganisatie wordt de service provider duidelijk aangestuurd en is er een goed overzicht welke afspraken er zijn. 8. Onvoldoende vastlegging opzeggingsgronden van contract. 1 Termination for cause/convenience. De exitclausule beschrijft de redenen waarom en voorwaarden waarop het contract kan worden beëindigd. Er kan ook worden vastgelegd welke procedure moet worden gevolgd en welke doelstellingen hierbij leidend zijn in het geval van onvoorziene redenen voor beëindiging. 2

Escalatieprocedure. In het contract wordt een escalatieprocedure afgesproken, eventueel met externe arbitrage, voor het geval een geschil ontstaat.



pagina 34 van 55

X

X

X

X X

X

X

5.3.3.

Mitigerende maatregelen: Tijdsverlies

Risicogebied



9. Infrastructuurvervlechting en onduidelijkheid over het eigendom van de infrastructuur. 1 Bijhouden CMDB. De uitbestedende organisatie houdt het overzicht op de gebruikte assets doordat de service provider een CMDB bijhoudt. Regelmatig dient gecontroleerd te worden of de CMDB actueel en volledig is.

X

2

Eigendomsvraagstuk. Het eigendom van de assets dient duidelijk te zijn. Ook afspraken rondom de restwaarde ondersteunen een soepele overgang.

X

3

Dedicated hardware. Problemen rond vervlechting van infrastructuur kunnen voorkomen worden door dedicated hardware te eisen van de service provider.

X

4

Eigendom blijft bij uitbestedende organisatie. Indien de uitbestedende organisatie het eigendom van de licenties en assets behoudt, is de ontvlechting van de infrastructuur eenvoudiger.

X

10. Vertraging in lopende projecten nadat is aangekondigd dat het contract voortijdig beëindigd wordt. 1 Open communiceren. Rond de voortijdige beëindiging is het belangrijk om open te blijven communiceren waarbij het belang van beide partijen in het oog moet worden gehouden. 2

Financiële prikkel. Tijdens de aanbiedingsfase wordt het de huidige provider duidelijk gemaakt dat een goede performance de kansen vergroot dat hij een vervolgopdracht krijgt.

3

Verplichting tot levering. In het contract staat een verplichting voor de service provider om tijdens de transitie de volledige service te blijven leveren.

Terughoudendheid starten projecten. De uitbestedende organisatie dient zo weinig mogelijk projecten op te starten die lopen rond het einde van de looptijd van het contract.

X

3

Inhuren externe specialisten. Door de inhuur van externe specialisten wordt de druk op het eigen management verlicht.


pagina 35 van 55

X

X X

X

Actief managen persoonlijke relatie. De uitbestedende organisatie spant zich actief in om ook de medewerkers aan de kant van de service provider te betrekken bij de organisatie.

13. Te weinig managementaandacht beschikbaar voor aanbieding- en transitieproces. 1 Vroegtijdig ontwikkelen exitstrategie. Door het bijtijds ontwikkelen van de exitstrategie kan er een vroegtijdige inschatting worden gemaakt van de benodigde capaciteit voor het aanbiedings- en transitieproces. 2 Tijdelijke contractverlenging. In het contract is een clausule opgenomen waardoor het contract kort kan worden verlengd zonder een nieuw aanbiedingstraject te doorlopen. Deze periode kan gebruikt worden indien er meer tijd nodig is om het traject goed te doorlopen.

X

X

12. Gebrek aan een goede werkrelatie tussen contractpartijen. 1 Actief managen contractrelatie. De uitbestedende organisatie zal ook oog moeten hebben voor de belangen en problemen van de service provider waardoor het contractmanagement een kwestie van geven en nemen wordt. 2

X

X

11. Innovatie, investeringen en projecten haperen in de periode voor het einde van de reguliere looptijd van het contract. 1 Projecten apart aanbesteden. Projecten die zich afspelen in de laatste periode worden apart aangeboden waardoor deze niet alleen maar kosten opleveren voor de service provider. 2


X

X X

X

Risicogebied



14. Onvoldoende ervaring met contractbeëindiging bij uitbestedende organisatie. 1 Inhuren externe ervaring. Bij een bureau, gespecialiseerd in uitbesteding, wordt consultancy ingehuurd om de benodigde ervaring met het beëindigen van een uitbestedingscontract in te brengen. 15. Ontoereikend contractmanagement. 1 Risicospreiding door multi-vendor sourcing. Het ongelijktijdig laten eindigen van contracten bij multi-vendor sourcing zal de beheersbaarheid van de transities groter maken. 2

Bijtijds beginnen met aanbiedingsproces. De uitbestedende organisatie zal bijtijds (bijvoorbeeld een jaar vóór het aflopen van het contract) de verschillende opties gaan onderzoeken die aan het eind van het contract beschikbaar zijn.

3

Review en update contract. Op regelmatige basis wordt besproken in hoeverre het uitbestedingscontract nog in beider belangen voorziet. Hierbij kan de business case vanuit de uitbestedende organisatie als leidraad dienen. Op basis van deze review kunnen eventuele aanpassingen van het contract plaatsvinden waardoor in een vroeg stadium voorkomen kan worden dat één van beide partijen plotseling aanleiding ziet het contract voortijdig te beëindigen.


pagina 36 van 55

Niet-contractuele maatregel Audit Regie SLA rapportage X

X

X X

X

X

5.4. Deelconclusies Aan de hand van de in de literatuur en praktijk onderkende risico’s is in dit hoofdstuk een beknopte set aanbevelingen gepresenteerd. De aanbevelingen hebben de vorm van een mogelijke set mitigerende maatregelen per onderkend risicogebied. Daarnaast is er een aantal maatregelen aangetroffen die zinvol zijn voor het in control blijven, maar niet direct één van de risicogebieden afdekken. Deze aanbevelingen zullen op basis van een risicoanalyse toegesneden moeten worden op de te onderzoeken organisatie. Deelbeantwoording van onderzoeksvragen: Onderzoeksvraag 2 “Welke risico’s loopt de uitbestedende organisatie bij het beëindigen van een IT-uitbestedingscontract?” • In dit hoofdstuk staan de risico’s vermeld die een organisatie loopt rond de beëindiging van een uitbestedingscontract. Met behulp van een risicoanalyse valt te bepalen welke risico’s uiteindelijk relevant zijn voor de specifieke organisatie. Onderzoeksvraag 3 ”Welke maatregelen kunnen worden toegepast om deze geconstateerde risico’s te mitigeren?”. • Met behulp van literatuur- en praktijkonderzoek zijn voor de onderkende risicogebieden de meest toepasselijke mitigerende maatregelen toegevoegd. Toepassing hiervan zal toegesneden moeten worden op de uitbestedende organisatie en de vorm van uitbesteding. Hiervoor dient eerst een grondige risicoanalyse te worden uitgevoerd waaruit zal moeten blijken in hoeverre alle risicogebieden relevant zijn en in hoeverre de maatregelen toepasbaar zijn.


pagina 37 van 55

6. Conclusies: Beantwoording onderzoeksvragen 6.1. Inleiding In de voorgaande hoofdstukken zijn de vier onderzoeksvragen beantwoord aan de hand van uitgevoerd literatuur- en praktijkonderzoek. De vier onderzoeksvragen zijn: • Onderzoeksvraag 1: “Is er, volgens uitbestedende organisaties, tijdens de voorbereiding van IT-uitbestedingstrajecten voldoende aandacht voor het beëindigen van contracten?” • Onderzoeksvraag 2: “Welke risico’s loopt de uitbestedende organisatie bij het beëindigen van een ITuitbestedingscontract?” • Onderzoeksvraag 3: “Welke maatregelen kunnen worden toegepast om deze geconstateerde risico’s te mitigeren?” • Onderzoeksvraag 4: “Zijn er trends waarneembaar in de visie op uitbesteding die van invloed kunnen zijn op het beëindigen van contracten?” Het doel van dit hoofdstuk is alle antwoorden op bovenstaande onderzoeksvragen uit de voorgaande hoofdstukken samen te brengen, waarbij voor een gedetailleerde en specifieke onderbouwing wordt verwezen naar de voorgaande hoofdstukken. Dit hoofdstuk zal worden afgesloten met de beantwoording van de centrale onderzoeksvraag: “Hoe blijft een organisatie in control na beëindiging van een uitbestedingscontract?”.

6.2. Onderzoeksvraag 1: Voldoende aandacht voor het beëindigen van contracten De geïnterviewde uitbestedende organisaties die momenteel in de contractbeëindigingsfase zitten, geven aan dat contractbeëindiging onderbelicht is geweest tijdens de voorbereiding van hun IT-uitbestedingstraject. Dit uit zich bijvoorbeeld in een beperkte en weinig concrete exitclausule. Ook tijdens de looptijd van het contract is weinig aandacht geweest voor de toekomstige beëindiging. Een voorbeeld hiervan is kennisverlies. Dit werd door alle geïnterviewde uitbestedende organisaties gezien als het grootste risico bij contractbeëindiging. Toch wordt er bijvoorbeeld nauwelijks gemonitored op het bijhouden van de documentatie door de service provider, ondanks dat deze verplichting wel was opgenomen in het contract. Ook hebben enkele uitbestedende organisaties de verplichting tot het opstellen en bijhouden van een retransitieplan opgenomen in het contract, maar wordt ook hier niet actief op gemonitored.

6.3. Onderzoeksvraag 2: Risico’s bij het beëindigen van een IT-uitbestedingscontract Tijdens het literatuuronderzoek zijn vijftien risicogebieden geïdentificeerd die zijn onderverdeeld naar de volgende drie categorieën: Kwaliteitsverlies, Financiële gevolgen, Tijdsverlies. Kwaliteitsverlies 1. Kennisverlies; 2. De overdraagbaarheid en onderhoudbaarheid van de ontwikkelde software is onvoldoende; 3. Geen medewerking van de latende service provider bij de overdracht; 4. Onvoldoende systeembeveiliging tijdens en na de transitieperiode; 5. Onzekerheid personeel. Financiële gevolgen 6. Eigendomsrechten van ontwikkelde applicaties zijn niet vastgelegd; 7. Onduidelijkheid over de gemaakte afspraken door regieorganisatie; 8. Onvoldoende vastlegging opzeggingsgronden en afwezigheid escalatieprocedure.

Tijdsverlies 9. Infrastructuurvervlechting en onduidelijkheid over het eigendom van de infrastructuur; 10. Vertraging in lopende projecten bij voortijdige beëindiging; 11. Innovatie, investeringen en projecten haperen in de periode vóór het einde van de reguliere looptijd van het contract; Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 38 van 55

12. 13. 14. 15.

Gebrek aan een goede werkrelatie tussen contractpartijen; Te weinig managementaandacht beschikbaar voor het aanbiedings- en transitieproces; Onvoldoende ervaring met contractbeëindiging bij de uitbestedende organisatie; Ontoereikend contractmanagement.

Sommige risicogebieden hebben aspecten van meerdere categorieën in zich. Er is voor gekozen om in deze gevallen het betreffende risicogebied in te delen bij de categorie die het meeste recht doet aan de consequenties van het betreffende risicogebied. Een overzicht van alle risico’s is te vinden in de paragrafen 5.3 t/m 5.5. Een onderbouwing van alle genoemde risicogebieden is te vinden in de hoofdstukken 3 (literatuuronderzoek) en 4 (praktijkonderzoek en vergelijking met literatuuronderzoek).

6.4. Onderzoeksvraag 3: Mitigerende maatregelen Dit onderzoek heeft geresulteerd in een uitgebreide set van mitigerende maatregelen per bovenstaand risicogebied. Deze set is een combinatie van maatregelen, gevonden tijdens het literatuuronderzoek en tijdens het praktijkonderzoek. De mitigerende maatregelen kunnen in de volgende categorieën worden verdeeld: • Contractuele maatregelen; • Niet-contractuele maatregelen. Onder contractuele maatregelen wordt verstaan alle maatregelen die resulteren in de vastlegging van expliciete afspraken in het uitbestedingscontract. Voorbeelden hiervan zijn afspraken omtrent op te leveren documentatie door de service provider of afspraken over de omstandigheden waaronder het contract voortijdig kan worden beëindigd. Niet-contractuele maatregelen bestaan onder andere uit: controlerende (uitvoeren van audits), procedurele (opleveren van periodieke SLA-rapportages door de service provider) en organisatorische maatregelen (inrichten van een regieorganisatie). Overigens wordt het recht om te auditen meestal in het contract vastgelegd en de inhoud van de SLA meestal als een bijlage bij het contract toegevoegd. Een voorbeeld van een maatregel die een regieorganisatie kan ontplooien tijdens de looptijd van het contract, is het monitoren of de service provider inderdaad de afspraak om documentatie op te leveren nakomt. Een overzicht van alle maatregelen is terug te vinden in de paragraaf 5.3. De onderbouwing van alle genoemde maatregelen is terug te vinden in de hoofdstukken 3 (literatuuronderzoek) en 4 (praktijkonderzoek en vergelijking met literatuuronderzoek).

6.5. Onderzoeksvraag 4: Trends die van invloed kunnen zijn op het beëindigen van contracten De volgende trends zijn waargenomen: • Multi-vendor sourcing: de afhankelijkheid van de service provider wordt verminderd doordat de ITdienstverlening door meerdere service providers wordt uitgevoerd. Daarnaast heeft het toepassen van multi-vendor sourcing op de contractbeëindiging zelf een zowel positieve als negatieve invloed. Niet alle contracten hoeven tegelijkertijd af te lopen, waardoor de werklast en het risico gespreid is. Wel moet met meerdere partijen afstemming plaatsvinden bij de beëindiging van een contract. • Kortstondige verlenging van contracten: de mogelijkheid om het uitbestedingscontract met een jaar te verlengen wordt steeds vaker in het contract opgenomen en gebruikt. Hoewel deze trend aangeeft dat uitbestedende organisaties bewust van deze mogelijkheid gebruik maken, geeft het tegelijkertijd ook aan dat er regelmatig te weinig aandacht voor contractbeëindiging is. Als uitbestedende organisaties vroeg genoeg zouden beginnen met het uitschrijven van een tender en het opstellen van een nieuw contract, zouden kortstondige contractverlengingen aanmerkelijk minder plaats hoeven te vinden. Overigens worden de kortstondige verlengingen ook regelmatig gebruikt om een periode van strategiewijziging te overbruggen. Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 39 van 55

•

Regieorganisaties van uitbestedende organisaties worden steeds professioneler, onder andere doordat zij zich inrichten volgens bewezen modellen als ITIL. Daarnaast wordt steeds meer ervaring opgedaan met het beëindigen van contracten (Zeven van de acht geïnterviewde uitbestedende organisaties zitten in de tweede generatie van uitbestedingscontracten).

6.6. Centrale onderzoeksvraag: Hoe blijft een organisatie in control na beëindiging van een uitbestedingscontract? Uit beantwoording van deelvraag 1 blijkt dat er onvoldoende aandacht is voor contractbeëindiging bij het afsluiten en gedurende de looptijd van het contract. Indien een organisatie hier niet goed over heeft nagedacht of onvoldoende aandacht heeft besteed aan de risico’s die kleven aan een contractbeëindiging, kan dit leiden tot een (sterk) verslechterde IT-dienstverlening, (grote) financiële consequenties en een moeizame transitie naar de volgende service provider. Door middel van beantwoording van deelvraag 2 zijn vijftien verschillende risicogebieden geïdentificeerd, afkomstig uit zowel het literatuuronderzoek als het praktijkonderzoek. Deze risicogebieden zijn uitgebreid beschreven in hoofdstuk 5. Door middel van beantwoording van deelvraag 3 zijn diverse mitigerende maatregelen geïdentificeerd die horen bij de bovengenoemde risicogebieden. Ook deze zijn uitgebreid beschreven in hoofdstuk 5. Tot slot is door middel van beantwoording van deelvraag 4 gekeken naar de laatste trends op het gebied van contractbeëindiging. Dit had als doel om na te gaan of uitbestedende organisaties gewijzigde inzichten hebben ontwikkeld ten aanzien van contractbeëindiging waaruit aanvullingen volgen op de reeds gevonden mitigerende maatregelen. Een uitgebreid overzicht van deze trends staat in paragraaf 4.4.2 en het blijkt dat hier geen nieuwe maatregelen uit volgen in aanvulling op het overzicht uit in hoofdstuk 5. De gevonden mitigerende maatregelen vallen uiteen in de volgende categorieën: • Contractuele maatregelen: alle maatregelen die resulteren in de vastlegging van expliciete afspraken in het uitbestedingscontract. • Niet-contractuele maatregelen: alle maatregelen die een uitbestedende organisatie treft ter voorbereiding op een contractbeëindiging die niet resulteren in de vastlegging van expliciete afspraken in het uitbestedingscontract. Met de hierboven beschreven resultaten wordt de centrale onderzoeksvraag “Hoe blijft een organisatie in control na beëindiging van een uitbestedingscontract?” als volgt beantwoord: Om in control te kunnen blijven dient een uitbestedende organisatie tijdens de drie fasen van het uitbestedingscontract (voorbereiding, looptijd, beëindiging en transitie) de volgende stappen te nemen: 1. Voorbereidingsfase Tijdens de voorbereidingsfase voert een uitbestedende organisatie een risicoanalyse op de contractbeëindiging uit om te identificeren welke risicogebieden voor haar van toepassing zijn. Hierbij kan gebruik worden gemaakt van het generieke overzicht van risicogebieden voor uitbestedende organisaties in relatie tot het beëindigen van uitbestedingscontracten zoals gepresenteerd in hoofdstuk 5. Vervolgens zal, als onderdeel van de risicoanalyse, moeten worden vastgesteld op welke wijze de geïdentificeerde relevante risico’s kunnen worden beheerst of teruggebracht tot een aanvaardbaar niveau. Ook hierbij kan gebruik gemaakt worden van het overzicht van mitigerende maatregelen zoals gepresenteerd in hoofdstuk 5. De contractuele mitigerende maatregelen die hieruit volgen (bijvoorbeeld up-to-date houden van documentatie en over hoe en tegen welke vergoeding de service provider straks invulling aan de transitie geeft), dienen te worden opgenomen in het uitbestedingscontract. Het is dus van belang dat de risicoanalyse is uitgevoerd voordat het contract wordt ondertekend.


pagina 40 van 55

2 Looptijd van het uitbestedingscontract In deze fase stuurt de regieorganisatie de service provider aan en bewaakt de overeengekomen mitigerende maatregelen uit het contract. Daarnaast moet uitvoering worden gegeven aan niet-contractuele maatregelen, bijvoorbeeld het behouden van IT-architectuurdeskundigheid binnen de eigen organisatie. 3. Beëindiging en transitie In deze fase is het van belang dat tijdig wordt begonnen met de voorbereiding op het contracteinde, het eventuele uitschrijven van een nieuwe tender en de eventuele transitie naar een nieuwe service provider. De uitbestedende organisatie en de service provider gaan samen de maatregelen uitvoeren die zijn afgesproken ten aanzien van de beëindiging. De service provider kan wellicht extra worden geprikkeld, bijvoorbeeld door het geven van een bonus op een succesvolle transitie of door het compenseren van het verlies van het contract, door het geven van projectopdrachten.


pagina 41 van 55

7. Aanbeveling voor verder onderzoek en persoonlijke reflectie 7.1. Inleiding Dit afsluitende hoofdstuk bestaat uit een aanbeveling voor verder onderzoek op het gebied van contractbeëindiging van IT-uitbestedingscontracten. In de vorige hoofdstukken is verschillende malen gerefereerd aan een risicoanalyse die uit moet wijzen in welke mate bepaalde risicogebieden van toepassing zijn op een specifieke organisatie. Een nadere uitwerking van deze risicoanalyse paste niet binnen de gestelde tijdsgrenzen die voor die onderzoek staan en wordt daarom gepresenteerd als aanbeveling voor verder onderzoek. Dit hoofdstuk eindigt met de persoonlijke reflecties op negen maanden afstudeerwerk van de drie auteurs.

7.2. Aanbeveling voor verder onderzoek Dit onderzoek heeft geresulteerd in een verzameling van risicogebieden met bijbehorende mitigerende maatregelen die van toepassing kunnen zijn bij het beëindigen van een uitbestedingscontract. Een risicoanalyse, uitgevoerd door de uitbestedende organisatie, zou moeten aangeven welke van de geïdentificeerde gebieden van toepassing zijn voor deze specifieke organisatie en welke mitigerende maatregelen adequaat zijn om het risico voldoende af te dekken. Uit het onderzoek bleek dat geen enkele uitbestedende organisatie een expliciete risicoanalyse heeft uitgevoerd op de beëindiging van het uitbestedingscontract. Onze aanbeveling is daarom om nader te onderzoeken hoe een risicoanalyse gestructureerd opgezet kan worden. Dit onderzoek moet onder meer resulteren in: 1. Een overzicht van criteria waarmee bepaald kan worden welke risicogebieden relevant zijn voor een specifieke uitbestedende organisatie. 2. Een kwantificering van de criteria waaruit volgt in hoeverre de uitbestedende organisatie een risicogebied moet afdekken, variërend van ‘een zekere exposure is toegestaan’ tot ‘mitigeren tot nul’. 3. Identificatie van de stakeholders die betrokken moeten zijn bij het uitvoeren van de risicoanalyse. Dit in aanvulling op het in paragraaf 5.2 gepresenteerde overzicht van betrokken disciplines: • Personeel & Organisatie; • Juridische Zaken; • IT (architectuur); • Financiën. De combinatie van een gestructureerde risicoanalyse met de in deze scriptie gepresenteerde risicogebieden en bijbehorende mitigerende maatregelen vormt een krachtig instrument voor uitbestedende organisaties om zich in een vroeg stadium voor te bereiden op de onvermijdelijke beëindiging van hun uitbestedingscontract(en).

7.3. Persoonlijke reflectie auteurs Persoonlijke reflectie Mariska Dubbeldam Regelmatig zijn artikelen in de literatuur te vinden over nieuwe uitbestedingsdeals. Vaak hebben deze artikelen de vorm van een mededeling dat twee partijen met elkaar in zee gaan. Maar wat dat nu betekent voor een uitbestedende organisatie en welke risico’s men hierbij loopt, zijn vragen die zelden in deze artikelen aan bod komen. Door ons praktijkonderzoek konden wij de achtergronden horen van een aantal uitbestedingsdeals. Tegelijkertijd kwamen wij meer te weten over hoe uitbestedende organisaties zelf bepaalde risico’s hebben geïdentificeerd en welke maatregelen zij hiertegen hebben genomen. De gesprekken waren allemaal leuk en interessant, temeer omdat de geïnterviewden soms tegenovergestelde visies op hetzelfde onderwerp hadden.


pagina 42 van 55

Ik verwacht, dat bij de uitbestedende organisaties meer aandacht voor contactbeëindiging zal ontstaan, doordat zij gebruik maken van ervaringen van voorgaande contractbeëindigingen (leercurve).

Persoonlijke reflectie Maarten Eijkhout Omdat mijn werkzaamheden recentelijk zijn uitbesteed, was het voor mij een fascinerend gegeven dat de uitbestedende organisatie op een gegeven moment weer voor het punt komt te staan dat werkzaamheden overgedragen moeten worden, waarbij dan een ingewikkeld spel met twee service providers ontstaat. Onder andere dit gegeven maakte dit onderzoek erg interessant. Tijdens ons onderzoek bleek dat de verschillende organisaties een totaal verschillende kijk hadden op de manier waarop ze met de risico’s rond een dergelijke overdracht om wilden gaan. Het was erg interessant om dit bij de verschillende organisaties te onderzoeken; ieder met zijn eigen cultuur, achtergrond en opvattingen. Het contractuele deel, een noodzakelijke maar niet voldoende voorwaarde voor een succesvolle overdracht, heeft in de afgelopen jaren een grote ontwikkeling doorgemaakt. Mijn verwachting is dat hetzelfde zal gaan gelden voor de niet-contractuele kanten van de samenwerking tussen uitbestedende organisatie en service provider. Hiermee zal er naar mijn mening toenemende aandacht ontstaan voor het beëindigingsvraagstuk waarbij het voor uitbestedende organisaties duidelijker zal worden dat dit een onderdeel is dat continue aandacht verdient, zeker ook van de (IT) auditor.

Persoonlijke reflectie Harry Braam Backsourcing en het beëindigen of wijzigen van uitbestedingscontracten met diverse service providers is voor mijn werkgever ABN AMRO, na de overname door een consortium van drie banken, zeer actueel. Hierdoor vond ik beëindiging van uitbestedingscontracten bij uitstek een interessant onderwerp om verder uit te diepen in een afstudeerscriptie. Vooral het praktijkonderzoek was zeer interessant. Het bood een unieke gelegenheid om een kijkje te nemen in de keuken van een groot aantal verschillende organisaties. De openheid en de bereidheid om ervaringen te delen van alle geïnterviewden was zonder uitzondering zeer groot. Opmerkelijk hierbij was de soms compleet verschillende benadering en visie die de geïnterviewden erop nahielden. Naarmate ons onderzoek vorderde en onze eigen kennis en inzichten groeiden, merkten we dat we, in plaats van drie studenten die alleen informatie kwamen halen, steeds meer een gelijkwaardige gesprekspartner werden voor de geïnterviewden. Hierdoor werden vooral de laatste interviews meer gesprekken en uitwisselingen van informatie dan pure interviews. De grote interesse van de geïnterviewden in ons eindresultaat geeft aan dat ook zij voor een deel nog zoekende zijn naar een betere manier om contractbeëindiging te benaderen. Door deze observatie, in combinatie met de waargenomen trends van contracten met een steeds kortere looptijd en de toename van multi-vendor sourcing, verwacht ik dat in de komende jaren contractbeëindiging een serieus en zwaarwegend agendapunt zal worden bij het aangaan van een uitbestedingsrelatie.


pagina 43 van 55

Bijlagen Bijlage 1: Literatuurlijst [Baal, 2007]

Baal, M. van (2007), Offshoring, Koude kermis, http://archief.fembusiness.nl/2007/04/21/nummer-16/Offshoring-Koudekermis.htm

[Beek, 2008]

Beek, Pvd. (2008), ICTpartner stelt teleur bij Uitbestedingscontract, http://www.computable.nl/artikel/ict_ topics/outsourcing/2540870/1276946/ictpartner-stelt-teleur-bijuitbestedingcontract.html

[Beek, 2008_2]

Beek, P. van der (2008), Delta Lloyd en IBM verbreken miljoenencontract, http://www.computable.nl/artikel/ict_topics/outsourcing/2822724/12769 46/delta-lloyd-en-ibm-verbreken-miljoenencontract.html

[Beulen, 2008]

Beulen, E. (2008), Stoppen of doorgaan, http://www.computable.nl/artikel/ict_topics/outsourcing/2636885/12769 46/stoppen-of-doorgaan.html

[Beulen/Delen, 2003]

Beulen, E. en Delen G.(2003) Contracten: kijk aan de start al naar de finish, http://www.platformoutsourcing.nl/artikelen/ kijk%20aan%20de%20start%20al%20naar%20de%20finish.pdf

[Boldea, 2006]

I. Boldea, I. (2006), A Study of Information Technology Outsourcing, http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1092400

[Case Study, 2005]

Case Study (2005), Backsourcing - JPMorgan and IBM – Outsourcing, http://management-case-studies.blogspot.com/2005/10/backsourcingjpmorgan-and-ibm.html

[Coul, 2007]

Coul, J. Op de (2007), Regie: Succesfactor bij outsourcing, http://www.kennisportal.com/main.asp?ChapterID=5148

[Dekhuijzen, 2006]

Dekhuijzen, A. (2006), Common and uncommon risk in outsourcing agreements and the "failing project", http://www.platformoutsourcing.nl/artikelen/index.php?act=dwnl&id=61

[Delen, 2005]

Delen, G. (2005), Proefschrift Decision- en controlfactoren voor sourcing van IT, Van Haren Publishing.

[Dirven, 2008]

Dirven, P. (2008), Scheiding van business en it leidt tot korte time-tomarket, Banking review, http://www.bankingreview.nl/site_bankingreview/pdf/200808/BankRev_ LR-23.pdf

[EDS, 2005]

EDS (2005), EDS helpt SBS bij aanpassingen Sarbanes Oxley, http://www.eds.nl/nlapps/docs/default.asp?id=280


pagina 44 van 55

[Es, 2008]

Es, T. van Globalisering ICT-kennnis is pure noodzaak http://www.computable.nl/artikel/ict_topics/outsourcing/2755448/12769 46/globalisering-ictkennis-is-pure-noodzaak.html

[Fields, 2006]

Fields, M. (2006), KANA’s Backsourcing Boon, Compass on Business, http://compassonbusiness.com/index.php?option= com_content&task=view&id=264&Itemid=50

[Flinders, 2009]

Flinders, K. (2009), India losing its advantage in outsourcing, http://www.computerweekly.com/Articles/2009/02/05/234655/indialosing-its-advantage-in-outsourcing.htm

[Giarte, 2008]

Giarte/Morgan Chambers Nederland (2008), Analyse van de Nederlandse uitbestedingsmarkt. Outsourcing Performance 2008 Research & Outlook

[Gonzales, 2008]

Gonzales, R., Gasco, J., Llopis, J. (2008), Information Systems Outsourcing Reasons and Risks: An Empirical Study, Proceedings of World Academy of Science Engineering and Technology, Volume 31, July 2008.

[Jacob, 2008]

Jacob, A. (2008), Outsourcing SOX – Best options, http://ezinearticles.com/?Outsourcing-SOX---Best-Options&id=1254445

[Hall, 2007]

Hall, J. A., Liedtka, S. L. (2007), The Sarbanes-Oxley Act: Implications for Large Scale IT outsourcing, Çommunications of the ACM, March 2007/Vol.50, No.3.

[Heering, 2002]

Heering, C. (2002), Outsourcing: Paard van Troje of oplossing?, http://www.otmc.nl/pdf/otmc.nl_2002outsourcing.pdf

[Heur, 2007]

Heur, R. van (2007), Let op Arbeidsmarkt bij aankoop Software, http://www.computable.nl/artikel/ict_topics/ ictbranche/1901599/2379258/let-op-arbeidsmarkt-bij-aankoop-vansoftware.html

[Heur, 2008]

Heur, R. van (2008), Bedrijven kiezen vaker voor multisourcing, http://www.computable.nl/artikel/ict_topics/outsourcing/2645192/12769 46/bedrijven-kiezen-vaker-voor-multisourcing.html

[Kaplan, 2005]

Kaplan, J. (2005), Backsourcing, Why, When and How to do it, Cutter Consortium, http://www.cutter.com/research/2005/ edge050621.html

[Kleyngeld, 2008]

Kleyngeld, J. (2008), Bedrijven ontevreden over ICT-outsourcing naar lagelonenlanden, http://www.financieelmanagement.nl/content/view/11724

[Landis, 2005]

Landis, K. (2005), Disappointed corporates bring outsourcing back in house.Computer Weekly, http://www.computerweekly.com/Articles/2005/04/25/209628/disappoin ted-corporates-bring-outsourcing-back-in-house.htm

[Lizatec, 2009]

Lizatec , (2009), 13 misvattingen: cultuurverschillen zijn belangrijk, http://www.lizatec.com/LIZATEC/10MISVERSTANDENOFFSH/4CU LTUURVERSCHIL


pagina 45 van 55

[Maughan, 2006]

Maughan, A. (2006), Is backsourcing the new trend?, Outsourcing Times, http://www.blogsource.org/2006/02/is_ backsourcing.html

[Moran, 2007]

Moran, J. (2007), Trends in Financial Services Outsourcing, Centre for Outsourcing Research and Education, http://www.coreoutsourcing.org/_files/file.php?fileid=filerPWuUwJRQD&filename=file _2007_11_1_936_JohnMoranPresentation_Oct31.ppt

[Morgan Chambers, 2001]

Morgan Chambers (2001), Outsourcing in the FTSE 100, www.cw360.com/outsourcingsreport Top3

[NOREA, 2007]

NOREA Werkgroep Standaard Normenkader Beheersing en Beveiliging, (2007), Studierapport: Normen voor de beheersing van uitbestede ICTBeheerprocessen, NOREA Amsterdam

[Overby, 2003]

Overby, S. (2003), Outsourcing: Bringing IT back home, http://www.cio.com/article/31733/Outsourcing_Bringing_IT_Back_Hom e

[Overby, 2005]

Overby, S. (2005), Backsourcing Best Practices, http://www.cio.com/article/10510/_Backsourcing_Best_Practices_?conte ntId=10510&slug=&

[Overby, 2005_2]

Overby, S. (2005), Outsourcing--and Backsourcing--at JPMorgan Chase, http://www.cio.com/article/10524/Outsourcing_and_Backsourcing_at_J PMorgan_Chase

[Overby, 2007]

Overby, S. (2007), ABC: An Introduction to Outsourcing, http://www.cio.com/article/40380/ABC_An_Introduction_to_Outsourcin g

[Overby, 2007_2]

Overby, S. (2007), What Does It Take to Get IT Outsourcers to Innovate?, http://www.cio.com/article/print/144400

[Patton, 2007]

Patton, S. (2007), Cutting Costs with Multiple Outsourcers, http://www.cio.com/article/107856/Cutting_Costs_with_Multiple_Outso urcers?source=artrel_bot

[Platform Outsourcing Nederland] http://www.platformoutsourcing.nl/producten/downloads/ 070621_begrippen_outsourcing_v1.0.pdf [Sanders, 2007]

Sanders, R. (2007), Trends in Outsourcing, http://www.computable.nl/artikel/ict_topics/consultancy_ guide/2257116/1571663/outsourcing.html

[Sanders, 2007_2]

Sanders, R. (2007), KPN haalt deel ICT weer in huis, http://www.computable.nl/artikel/ict_topics/ictbranche/2087318/237925 8/kpn-haalt-deel-ict-weer-in-huis.html

[Sanders, 2007_3]

Sanders, R. (2007), Offshoring, http://www.computable.nl/artikel/ict_topics/consultancy_guide/1817963/ 1571663/offshoring.html

[Scheffel, 2004]

Scheffel P.F.L. (2004),Het doel, de weg en de rugzak. Een gids voor praktisch ICT-servicemanagement. Van Haren Publishing


pagina 46 van 55

[Story, 2008]

Story, J. (2008), Hundreds of jobs returning: Outsourced to China a few years ago, DESA bringing work, money back to Bowling Green, Bowling Green Daily News 16 July 2008.

[Toet, 2008]

Toet, D. (2008), RBS wil ICT van ABN Amro volledig integreren, http://www.computable.nl/artikel/ict_topics/outsourcing/2651761/12769 46/rbs-wil-ict-van-abn-amro-volledig-integreren.html

[Toet, 2008_2]

Toet, D. (2008), RBS staakt ICT-uitbesteding bij ABN Amro, http://www.computable.nl/artikel/ict_topics/outsourcing/2650284/12769 46/rbs-staakt-ictuitbesteding-bij-abn-amro.html

[Verschuur, 2008]

Verschuur, J. (2008), Resultaten ICT Barometer over ICT uitbesteding aan lagelonenlanden, Ernst & Young ICT Barometer 2008. http://ictbarometer.nl/_filescms/File/Rapport%20ICT%20Barometer%20over%20ICTuitbesteding%20aan%20lagelonenlanden,%2027%20november%202008 .pdf

[Vest, 2008]

Vest, M., J. (2008), Outsourcing is Out, Backsourcing is In, Compass Business, http://compassonbusiness.com/index.php? option=com_content&task=view§ionid=&id=173&Itemid=3

[Windrum, 2006]

Windrum, P. Reinstaller, A. (2006), Short-Term Gain, Long-term Pain? The long-run implications of Outsourcing for Organisational Innovation and Productivity, Thesis from Manchester Metropolitan University.


pagina 47 van 55

Bijlage 2: Begrippenlijst Backsourcing:

Het verwerven van de middelen en medewerkers die nodig zijn om dienstverlening uit te voeren, die tot dan toe als dienst door een externe partij waren verleend. Dit met het doel om deze dienstverlening weer binnen de eigen organisatie uit te voeren.

CIO:

Chief Information Officer: de hoogste leidinggevende van de IT-organisatie.

CMDB:

Configuration Management Database: Overzicht waarin alle relevante assets genoemd staan. Gegevens die hierin staan zijn locatie, type en configuratiegegevens van de assets. In sommige gevallen wordt ook de onderlinge samenhang van assets vastgelegd.

Commodities:

Standaardonderdelen waarmee een organisatie zich niet kan onderscheiden en generiek op de markt worden aangebode

Contract:

Een bindende juridische overeenkomst tussen twee partijen of binnen een organisatie, voor het leveren van services of het leveren, ontwikkelen, produceren, bedienen of onderhouden van een product.

Contractbeëindiging:

Het aflopen van een contract. Nader onderscheid is mogelijk tussen reguliere beëindiging nadat het contract de looptijd heeft uitgediend en voortijdige beëindiging wanneer partijen het contract nog gedurende de looptijd verbreken.

Demand management:

De functie bij de uitbesteder die dient om alle vragen vanuit de business van de uitbesteder te bundelen en te prioriteren.

Escrowregeling

Bij een onafhankelijke derde partij, wordt de broncode in bewaring gegeven, waarover de belanghebbende beschikking kan krijgen bij vooraf overeengekomen omstandigheden

Exitclausule:

Clausule als onderdeel van het uitbestedingscontract die ingaat op de gemaakte afspraken en regelingen specifiek voor het beëindigen van het contract.

Exitstrategie:

Het geheel aan maatregelen dat een uitbestedende organisatie neemt om een succesvolle beëindiging van een uitbestedingscontract te doen.

Follow-up sourcing:

Het overdragen van een bepaalde dienstverlening van een leverancier aan een andere leverancier en vervolgens het voorzetten van de dienstverlening door die andere leverancier voor een bepaalde periode aan de oorspronkelijke uitbesteder op basis van een resultaatverplichting.

Insourcing:

De overname van mensen en middelen afkomstig van de uitbesteder in de eigen organisatie van de service provider.

Middelen:

De gebouwen, hardware en software en andere bezittingen van de uitbesteder die worden overgedragen aan de service provider bij de


pagina 48 van 55

ondertekening van een contract voor de uitvoering van de dienstverlening. Multi-vendor sourcing:

Uitbesteding waarbij de uitbesteder afzonderlijke contracten afsluit met meerdere dienstenleveranciers naast elkaar.

Nearshoring:

De dienstverlening door een dienstenleverancier vanuit een land dichtbij het land waar de uitbesteder is gevestigd.

Offshoring:

De dienstverlening door een dienstenleverancier vanuit een ander deel van de wereld dan het land waar de uitbesteder is gevestigd.

Outtasking:

Het overdragen van de uitvoering en de verantwoordelijkheid voor de uitvoering van de dienstverlening aan een dienstenleverancier zonder de daarbij behorende middelen en medewerkers.

Overdracht:

De feitelijke overdracht van de dienstverlening aan een dienstenleverancier waarbij gelijktijdig de bijbehorende middelen en medewerkers aan die dienstenleverancier worden overgedragen. De overdracht wordt meestal georganiseerd als een gezamenlijk project van de uitbesteder en de dienstenleverancier.

Regieorganisatie:

Het deel van de uitbestedende organisatie dat zich bezighoudt met het aansturen van de service provider.

Service Level Agreement (SLA):

Een document waarin een uitbesteder en een dienstenleverancier de overeengekomen kwaliteitsniveaus van de dienstverlening gedetailleerd en meetbaar vastleggen. Een SLA is meestal gekoppeld aan een contract en een producten- en dienstencatalogus.

Service provider:

Een organisatie die diensten verleent aan uitbesteders op basis van een contract.

Service management:

De zorg voor de invulling van de contractuele verplichtingen van de dienstenleverancier vanuit het oogpunt van effectiviteit.

Single-vendor sourcing:

Uitbesteding aan een dienstenleverancier die dan de volledige verantwoordelijkheid krijgt voor de uitvoering van de uitbestede dienstverlening. Onderdeel van het contract tussen de uitbestedende organisatie en de service provider, waarin de verplichtingen van de service provider rondom contractbeëindiging en transitie is opgenomen

Termination Assistance:

Termination for cause:

De voortijdige beëindiging van een contract door een opzegging door één partij na in gebreke stelling van de andere partij.

Termination for convenience:

De voortijdige beëindiging van een contract op verzoek van één van de partijen, gekoppeld aan in het contract vooraf omschreven omstandigheden.

Third Party Mededeling:

Een uitspraak van een onafhankelijkde derde partij die in opdracht van twee partijen een uitspraak doet over bijvoorbeeld de kwaliteit of inrichting van de IT-infrastructuur.

Transitie:

Een transitie omvat twee fasen: overdracht en een transformatie.


pagina 49 van 55

Transformatie:

Het omvormen van de dienstverlening en het inpassen van de overgenomen organisatie, dienstverlening en IT-middelen zodat die passen binnen de omgeving en de schaal waarop de dienstenleverancier is ingericht.

Uitbestedende organisatie:

Een organisatie die (een deel) van zijn dienstverlening uitbesteedt aan een dienstenleverancier. Hierbij kunnen ook de bijbehorende middelen worden overgedragen aan die dienstenleverancier.

Uitbesteding:

Het overdragen van dienstverlening en, indien van toepassing, de daarbij behorende middelen en medewerkers aan een gespecialiseerde dienstenleverancier en vervolgens het gedurende de looptijd van het contract terugontvangen van dienstverlening tegen een overeengekomen vergoedingsstructuur en kwaliteitsniveau.

Vendor lock-in:

Een uitbestedende organisatie raakt dermate afhankelijk van zijn huidige service provider, dat er niet meer kan worden overgestapt naar een andere service provider.


pagina 50 van 55

Bijlage 3: Interviewvragen Afstudeerscriptie ‘Beëindigen van een uitbestedingscontract’ Introductie • Vertrouwelijkheidaspect benadrukken; • Introductie Maarten/Mariska/Harry; • Introductie afstudeerwerk (vermelden van toetsen van theorie aan praktijk). Achtergrondinformatie Naam geïnterviewde + functie; 1. Bedrijf; 2. Soort bedrijf: (welke sector, overheid, industrie, financiële dienstverlening, etc, omvang bedrijf) (onderzoeksvraag 4); 3. Welke delen zijn uitbesteed en in hoeverre dragen deze onderdelen bij aan de core business van de organisatie? (onderzoeksvraag 4); 4. Wat was de aanleiding om uit te besteden? (onderzoeksvraag 4). Uitbestedingsproces en -contract 5. Kenmerken van de uitbestedingsdeal: (onderzoeksvraag 4) • Single vs multi-vendor contract? • Offshoring vs nearshoring? • Looptijd contract en wanneer loopt het af? • Wie is de leverancier? • Zijn er consultancybureaus betrokken geweest bij het uitbestedingsproces? (onderzoeksvraag1) • Waar hebben deze mee geholpen? Regieorganisatie 6. Hoe ziet de regieorganisatie eruit? (hoeveel mensen, wat is taakomschrijving, Hoe lopen de escalatiepaden?) • Loopt alle communicatie met service provider via één contact? (Oftewel, is duidelijk wat er precies is uitbesteed voor het geval je wilt wisselen van leverancier?) • Was er vanaf het begin een SLA? • In de literatuur komen we tegen dat een goede werkrelatie tussen de demand manager en de contactpersoon van de service provider heel belangrijk is om het beëindigen van het contract goed af te wikkelen. Herken je dit? • Hoe wordt de performance van de leverancier gemeten en geëvalueerd? Contractbeëindiging / Exitstrategie 7. Is er, bij het afsluiten van het contract, expliciet nagedacht over wat te doen na contractbeëindiging? • Is er een clausule voor contractbeëindiging? (Onderzoeksvragen 1 en 3); • Hoe is deze tot stand gekomen? (Onderzoeksvragen 1 t/m 3); • welke stakeholders waren hierbij betrokken? 8. Welke opties zijn er onderkend / onderzocht? (Backsourcing, follow-up sourcing, verlengen van contract?) • Zijn deze opties uitgewerkt? (qua haalbaarheid, tijd en geld)? 9. Welke risico’s zijn er geïdentificeerd met betrekking tot contractbeëindiging? (Hoe voorkom je tijdens het afscheid discussies over / zijn er afspraken gemaakt over). Welke mitigerende maatregelen zijn hiervoor getroffen en zijn deze ook in de exitclausule opgenomen? (Onderzoeksvragen 2 en 3):


pagina 51 van 55

• • • • •

• • •

•

Kennisbehoud (is er nagedacht over terugkeer van medewerkers bij afloop contract of anderszins overname van medewerkers van service providers om de kennis te borgen? Hoe zit het met de kennis over architectuur en configuratiemanagement)?; Infrastructuurontvlechting (shared infrastructuur met andere klanten van service provider) en eigendomsrechten van de infrastructuur; Eigendomsrechten van ontwikkelde software; Overdraagbaarheid en onderhoudbaarheid van de ontwikkelde software; Medewerking van service provider aan de overdracht (o.a. vanuit de service provider gezien, is er iets geregeld met betrekking tot de beschikbaarheid van sleutelpersonen met kennis tijdens de transitieperiode. Daarnaast, doet de service provider er ook iets aan om te voorkomen dat de desbetreffende sleutelfiguren zelf weglopen?); Is vastgelegd onder welke omstandigheden het contract voortijdig kan worden beëindigd?; Lopende projecten: Hoe voorkom je dat deze geen vertraging oplopen door gebrek aan interesse van de leverancier wanneer eenmaal is aangekondigd dat een contract beëindigd wordt?; Security: Na overgang naar andere service provider, mag oude service provider geen toegang meer hebben tot informatie. Vertrouwelijke informatie omtrent de onderhandelingen staan op hardware van één van de biedende partijen. Is er bijvoorbeeld al iets afgesproken omtrent het verwijderen of wijzigen van (applicatie) userid’s of passwords?; Ervaring met contractbeëindiging: Was deze aanwezig of is deze ingehuurd of opgebouwd? Wat zou je nu anders doen?

10. Nu terugkijkend, wat zou je anders doen en welke onderdelen zou je graag alsnog in (de exitclausule van) het contract willen zien? (Onderzoeksvragen 1 t/m 3) Trends: 11. Welke trends zijn zichtbaar bij het uitbesteden van contracten? (Onderzoeksvraag 4) 12. Welke trends zijn zichtbaar bij het beëindigen van contracten? (Onderzoeksvraag 4) Afsluiting: 13. Hoe vind je zelf dat je in control bent? 14. Wat is je sterkste punt? 15. Wat is een verbeterpunt? Onderzoeksvraag 1: Is er, volgens de uitbestedende organisaties, tijdens de voorbereiding van IT-uitbestedingstrajecten voldoende aandacht voor het beëindigen van contracten? Onderzoeksvraag 2: Welke risico’s loopt de uitbestedende organisatie bij het beëindigen van een IT-uitbestedingscontract? Onderzoeksvraag 3. Welke maatregelen kunnen toegepast worden om deze geconstateerde risico’s te mitigeren? Onderzoeksvraag 4: Welke trends zijn er waarneembaar in de visie op uitbesteding, die van invloed kunnen zijn op het beëindigen van contracten?


pagina 52 van 55

Bijlage 4: Geanonimiseerde beschrijving van de geïnterviewde organisaties Deze bijlage geeft een geanonimiseerde beschrijving van de organisaties die de geïnterviewde personen vertegenwoordigen. Per organisatie is aangegeven of het behoort tot: • Een uitbestedende organisatie. Hierbij wordt onderscheid gemaakt tussen overheidsinstanties, commerciële dienstverleners of de industrie (8); • Een service provider (2); • Een consultancybureau die uitbestedingsprocessen begeleidt tot aan de contractondertekening en het inrichten van de regieorganisatie (3). Daarnaast is per organisatie aangegeven welke processen zijn uitbesteed en of het een initiële uitbesteding (eerste keer) of follow-up sourcing betreft (hetzij verlenging van het vorige contract hetzij wisseling van service provider). Ook is een indicatie aangegeven van de waarde van het contract. Deze is ingedeeld in drie groepen, afhankelijk van de grootte: • Klein: uitbestedingscontracten die per jaar een waarde hebben van minder dan 1 miljoen euro. • Middel: uitbestedingscontracten die per jaar een waarde hebben van meer dan 1 miljoen euro en minder dan 100 miljoen euro. • Groot: uitbestedingscontracten die per jaar een waarde hebben van meer dan 100 miljoen euro. De personen die wij tijdens het praktijkonderzoek hebben geïnterviewd zijn of waren allemaal nauw betrokken bij uitbestedingsdeals in diverse functies waaronder (niet uitputtend): • Hoofden van onderhandelingsteams van zowel service providers als de uitbestedende organisaties; • Meerdere CIO’s; • Hoofd audit belast met auditten van het uitbestedingsproces; • Hoofd procurement, belast met het managen van lopende contracten; • Hoofd regieorganisatie van een uitbestedende organisatie Uitbestedende organisaties: commerciële dienstverleners 1. Een internationale bank die zijn gehele IT-dienstverlening (infrastructuur, networks en applicatieontwikkeling) heeft uitbesteed aan meerdere service providers, waarvan enkele offshore. Het betreft hier een follow-up sourcing . Looptijd contracten: 5 jaar. Contractwaarde: groot. 2. Een internationale bank die zijn IT-dienstverlening in eigen beheer heeft, heeft een overname gedaan op een grote financiële instelling die wel zijn gehele IT-dienstverlening (infrastructuur, networks en applicatie ontwikkeling) heeft uitbesteed aan meerdere service providers. Momenteel is de overnemende bank bezig met backsourcing van de uitbestede diensten. 3. Een middelgroot accountantskantoor dat zijn IT-dienstverlening (Infrastructuur en networks. Er is geen sprake van applicatieontwikkeling) heeft uitbesteed naar één externe service provider. Het accountantskantoor is en blijft zelf eigenaar van alle hardware. Ook het huurcontract met het rekencentrum staat op naam van het accountantskantoor. Het betreft hier een follow-up sourcing. Er is geen sprake van offshoring. Looptijd contracten: 5 jaar. Contractwaarde: middel. 4. Een internationaal opererend telecommunicatiebedrijf dat zijn IT-dienstverlening (infrastructuur, networks en applicatieontwikkeling) had uitbesteed naar één service provider. Na het verlopen van dit contract zijn de IT-diensten nu ondergebracht bij verschillende service providers en is een deel weer terug in huis genomen. Het betreft hier een mix van backsourcing en follow-up sourcing, waarbij deels sprake is van offshoring. Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 53 van 55

Looptijd contracten: 3 jaar. Contractwaarde: groot. 5. Een geprivatiseerd overheidsbedrijf dat bijna al zijn IT-dienstverlening (infrastructuur, networks) heeft uitbesteed naar een drietal service providers. Momenteel wordt het laatste restje applicatiebeheer en ontwikkeling ook uitbesteed. Het betreft hier een follow-up sourcing. Er is geen sprake van offshoring. Looptijd contracten: 3,5 jaar. Contractwaarde: middel.

Uitbestedende organisaties: overheidsinstanties: 6. Een semi-overheidsinstantie in de dienstverlenende sector die al haar IT-dienstverlening (Infrastructuur en networks, er is geen sprake van applicatie ontwikkeling) heeft uitbesteed naar één externe service provider. Het bestaande contract verloopt binnenkort en vanwege de Europese aanbestedingsregels is de instantie geruime tijd geleden al een nieuw aanbestedingstraject ingegaan, ondanks dat men tevreden is over de huidige service provider. Momenteel wordt het bestaande contract per maand verlengd. Het betreft hier dus een follow-up sourcing. Er is geen sprake van offshoring. Looptijd contracten: 3 jaar. Contractwaarde: klein. 7. Een ministerie van de Nederlandse overheid dat al zijn IT-dienstverlening heeft uitbesteed. Het gehele beheer van de infrastructuur ligt bij de hoofdaannemer. Daarnaast zijn er mantelovereenkomsten met diverse leveranciers voor applicatieontwikkeling. De uitbesteding liep via een verplichte Europese aanbesteding. Het contract voor het beheer van de infrastructuur, verloopt dit jaar. De RFP voor de volgende periode is reeds enige tijd geleden in gang gezet, maar om voldoende tijd voor de afhandeling ervan te hebben en in te kunnen spelen op veranderende visie op IT, wordt het bestaande contract met een jaar verlengd. Het betreft hier dus een follow-up sourcing. Het ministerie zelf doet niet aan offshoring, maar de service providers hebben zelf de keuze of zij hun werkzaamheden offshoren. Looptijd contracten: 5 jaar met twee keer de mogelijkheid tot een jaar verlenging voor het beheer van de infrastructuur en 3 jaar met twee keer de mogelijkheid tot een jaar verlenging voor de applicatieontwikkeling. Contractwaarde: middel. Uitbestedende organisaties: industrie: 8. Een internationaal opererend chemieconcern dat al zijn IT-dienstverlening heeft uitbesteed aan drie verschillende service providers (één voor netwerken, één voor hosting en één voor werkplekdiensten). Hier bovenop is één van de service providers benoemd tot ‘Operational Integrator’ en is daarmee verantwoordelijk voor het coördineren voor activiteiten waar alle drie service providers bij betrokken zijn. Het betreft hier een initiële uitbesteding. Er is sprake van offshoring. Looptijd contracten: 5 jaar. Contractwaarde: groot.

Service providers: 9. Een internationaal opererende service provider met meer dan 46.000 medewerkers. Het hoofdkantoor is gevestigd in Europa en daarnaast zijn er vestigingen in Noord en Zuid Amerika, Azië, Oost-Europa en Afrika. Hierdoor is de service provider in staat om uitbesteding te faciliteren, waarbij toepassing van zowel nearshoring als offshoring kan plaatsvinden. Deze service provider is gespecialiseerd in infrastructuur- en netwerkbeheer en verzorgt de IT-dienstverlening voor meer dan zestig multinationals en een veelvoud hiervan voor middelgrote klanten. De grootte van de uitbestedingscontracten varieert van middel tot groot. 10. Een internationaal opererende service provider met meer dan 50.000 medewerkers en vestigingen in Azië, Zuid Amerika en Europa. Hierdoor is hij in staat om uitbesteding te faciliteren, waarbij offshoring kan Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

pagina 54 van 55

plaatsvinden. Deze service provider is in staat om het beheer van infrastructuur, netwerken en applicaties uit te voeren en software te ontwikkelen. De grootte van de uitbestedingscontracten varieert van middel tot groot.

Consultants: Daarnaast is gesproken met een drietal consultants en zeer ervaren deskundigen op het gebied van uitbesteding: 11. Het hoofd van een dealteam bij een groot internationaal adviesbureau dat gespecialiseerd is in uitbesteding en offshoring. Een dealteam adviseert de uitbestedende organisatie tijdens de onderhandelingsfase en blijft daarna nog enige tijd betrokken en actief als vraagbaak voor de regieorganisatie. Het hoofd met wie wij hebben gesproken, heeft meegewerkt aan diverse middelgrote en grote uitbestedingsdeals. 12. Dr. Guus Delen: in 2005 gepromoveerd op het proefschrift 'Decision- en controlfactoren voor IT-sourcing' aan de Universiteit van Amsterdam en sinds 2006 lector aan de Hogeschool van Amsterdam voor het vakgebied 'sourcing of IT’. Dr. Delen heeft vele publicaties op zijn naam staan op het gebied van IT-uitbesteding en heeft in de rol van principal consultant voor een adviesbureau zeer veel uitbesteding cases begeleid. 13. Prof. Dr. Erik Beulen: bijzonder hoogleraar Global Sourcing aan de Universiteit van Tilburg. Zijn aandachtsgebied richt zich onder andere op internationale IT-contractrelaties. Prof. Beulen promoveerde in 2000 aan de Universiteit van Tilburg op een onderzoek naar het managen van IT-uitbestedingsrelaties. Naast zijn werk als hoogleraar is hij senior manager bij een consultancy bureau als specialist in het managen van internationale IT-uitbestedingsrelaties. Prof. Beulen heeft vele (internationale) artikelen en boeken gepubliceerd.


pagina 55 van 55

Aanbevelingen voor de (IT) auditor bij het beëindigen van een uitbestedingscontract

Recommend Documents