Business Continuity bij IT- Outsourcing

Business Continuity bij IT- Outsourcing Postdoctorale scriptie IT Audit opleiding

Vrije Universiteit Amsterdam

Versie: Definitief Datum: 1 april 2008 Studenten (team 817): Naam: drs. A.F. (Sander) Nagel Student nr: 9981268 Werkgever: Cordares Adres: Pieter Cheeuwenlaan 34, 1948 DD Beverwijk Email: [email protected] Naam: ir. S. (Sau-Han) Wong Student nr: 9981251 Werkgever: Ernst & Young Adres: Kostverlorenstraat 20-IV, 1052 GX Amsterdam Email: [email protected]

Business Continuity bij IT- Outsourcing Postdoctorale scriptie IT Audit opleiding

Vrije Universiteit Amsterdam

VU-coach De heer dr. R.P.H.M. Matthijsse Functie: Principal Consultant Bedrijf: Verdonck Klooster & Associates Adres: Baron de Coubertinlaan 1, 2719 EN te Zoetermeer E-mail: [email protected]

Bedrijfs-coach De heer Jeffrey Martens RE Functie: Senior Manager EDP Audit Bedrijf: Ernst & Young, afdeling EDP Audit Adres: Drentestraat 20, 1083 HK te Amsterdam E-mail: [email protected]

Voorwoord De afstudeerscriptie zoals deze voor u ligt vormt de finale toets ter afsluiting van de Postgraduate IT Audit Opleiding aan de Vrije Universiteit Amsterdam, uitgevoerd in de periode oktober 2007 tot en met maart 2008. Het onderwerp van de afstudeerscriptie betreft: “Business Continuity bij IT-outsourcing”. Het idee voor dit onderwerp is ontstaan vanuit de praktijk. Wij zijn beiden werkzaam bij een organisatie opererend in de financiële dienstverlening. In deze sector zien wij de laatste jaren een almaar toenemende verschuiving naar het outsourcing van IT-activiteiten. Het risico dat hierbij kan ontstaan is dat de continuïteit van kritieke bedrijfsprocessen in gevaar komt. Financiële dienstverleners dienen dit risico te onderkennen en te mitigeren. Voor onze afstudeerscriptie leek het ons zeer interessant om te toetsen op welke wijze een financiële dienstverlener dit risico al dan niet kan mitigeren. De heer dr. René Matthijsse is vanuit de Vrije Universiteit Amsterdam betrokken geweest als afstudeerbegeleider bij dit onderzoek. Graag willen wij hem bedanken voor zijn positief kritische feedback, goede inhoudelijk ideeën en het delen van zijn ervaringen met ons. Zijn inbreng en vakkundig inzicht hebben ons gemotiveerd en geholpen gedurende het onderzoek. Tevens willen wij de heer Jeffrey Martens RE bedanken voor zijn inbreng, kennis en ervaring vanaf de werkvloer in de rol van bedrijfsbegeleider binnen het gehele proces tot aan de uiteindelijke totstandkoming van dit rapport. Als onderdeel van onze scriptie hebben wij een aantal personen mogen interviewen. Naast de personen werkzaam binnen de financiële dienstverleners welke wij als casus geselecteerd hebben, gaat in het bijzonder onze dank uit naar de heer dr. Guus Delen, de heer Ing. Jacques Cazemier en de heer dr. Dick Leegwater, allen werkzaam bij Verdonck, Klooster & Associates. Dankzij hun specifieke kennis van het scriptieonderwerp hebben wij het inzicht gekregen dat uiteindelijk heeft geleidt tot dit resultaat. Tot slot willen wij de (gast)docenten bedanken voor de leerzame colleges tijdens de studie. Deze waren essentieel voor het verbreden van onze vakkennis op het gebied van IT Audit.

Amsterdam, april 2008

Sander Nagel Sau-Han Wong

Inhoudsopgave 1 1.1 1.2

Samenvatting Belangrijkste bevindingen en conclusies Belangrijkste aanbevelingen

2 2.1 2.2

Inleiding Achtergrond van het onderzoek Probleemgebied en doelstelling 2.2.1 Aanleiding van het probleem 2.2.2 Doelstelling 2.2.3 Onderzoeksvraag 2.2.4 Kernvragen 2.3 Leeswijzer 3 3.1 3.2 3.3 4 4.1 4.2

5 5.1 6 6.1 6.2

Business Continuity Management Business Continuity Business Continuity Management BCM en de financiële sector IT- Outsourcing IT- outsourcing; een vorm van sourcen Relatie IT- outsourcing en Business Continuity Management 4.2.1 Continuïteitsrisico’s bij IT- outsourcing voor de financiële dienstverlener BS25999 en IT- Outsourcing: vertaling naar hanteerbare richtlijnen voor een interne controle standaard Theoretische conclusie Bevindingen uit de Praktijk De praktijkcases Business Continuity Management in de praktijk 6.2.1 BCM voor organisatie A 6.2.2 BCM voor organisatie B

2 2 3 4 4 4 4 6 6 6 7 8 8 8 11 13 13 15 16

18 21 22 22 22 26 27

7 7.1

Conclusies & Aanbevelingen Aanbevelingen

28 29

8

Literatuur

31

9

Overige Bronnen

32

__________________________________________________________________________________________ 1 Postdoctorale scriptie IT Audit Business Continuity bij IT- Outsourcing

1

Samenvatting

Door de strenger wordende weten regelgeving van de afgelopen jaren zijn met name financiële dienstverleners verplicht om aan te tonen dat zij de continuïteit van hun bedrijfsprocessen hebben gewaarborgd. Met het steeds populairder worden van het uitbesteden van IT activiteiten rijst de vraag in hoeverre de continuïteit van kritieke bedrijfsprocessen (business continuity) blijft geborgd. Op basis hiervan hebben wij de volgende onderzoeksvraag geformuleerd: Op welke wijze kan een financiële dienstverlener de continuïteit van kritieke bedrijfsprocessen waarborgen in de situatie dat de IT- Operations activiteiten zijn ondergebracht bij een derde partij? In ons onderzoek hebben wij getracht een theoretisch antwoord te vinden op de gestelde vraag. Deze hebben wij vervolgens getoetst aan de hand van praktijkcases waarin een financiële dienstverlener zijn IT activiteiten heeft uitbesteedt.

1.1

Belangrijkste bevindingen en conclusies

Op basis van ons onderzoek hebben wij geconstateerd dat er tot voor kort geen duidelijke richtlijnen bestaan voor het inrichten van business continuity management (hierna BCM), Organisaties volgen hierin hun eigen beleid. Veelal uit dit zich in de aanwezigheid van een business continuity plan (hierna BCP) welke zich richt op het operationele aspect van continuïteitsmanagement (bijvoorbeeld aanwezigheid van een uitwijklocatie bij calamiteiten). Echter, dit soort maatregelen treden pas in werking wanneer de kritieke bedrijfsprocessen zijn verstoord. Maatregelen ter vóórkoming van calamiteiten ontbreken. Business continuity betreft het strategische en tactische vermogen van een organisatie om te plannen en te reageren op ernstige onderbrekingen in de bedrijfsvoering ten gevolge van omvangrijke (ver)storingen of calamiteiten. Sinds 2007 is er een standaard ontwikkeld welke handelt over business continuity management, de zogenaamde British Standard BS 25999. Deze generieke standaard hebben wij aangepast met BCM normen voor situaties waarin IT is uitbesteed en vormt daarmee een theoretisch antwoord op de onderzoeksvraag. Toetsing aan de praktijk leert dat het hebben van een BCM beleid (in de gekozen casus werd BS 25999 geïmplementeerd) sterk afhankelijk is van het organisatiebrede bewustzijn van het belang van business continuity binnen de organisatie, welke voortkomt uit het bewustzijn van het management/de directie. Daarnaast zijn mogelijke invloeden het maatschappelijke belang van de organisatie en het aantal belanghebbenden en toezichthouders. Wanneer deze factoren aanwezig zijn, kunnen we stellen dat de BS 25999, mits aangepast aan de situatie van de organisatie, een bruikbare leidraad vormt voor het inrichten van een BCM beleid waarin de continuïteit van de kritieke bedrijfsprocessen wordt gewaarborgd. De


aanpassing heeft betrekking op de situatie dat IT is uitbesteed en uiteraard de unieke situatie van de betreffende organisatie. Wanneer het bewustzijn van business continuity nog niet is ontwikkeld in de gehele organisatie, blijft BCM zoals we zagen bij onze tweede casus, beperkt tot het operationele niveau, namelijk de aanwezigheid van bijvoorbeeld een BCP.

1.2

Belangrijkste aanbevelingen

BCM betreft een strategisch onderwerp en dient op bestuursniveau te worden besproken. Wanneer een organisatie haar IT activiteiten heeft uitbesteed, is het van belang dat BCM mee wordt genomen in de uitbestedingstrategie. Vanuit het licht van ons onderzoek zien we dat het IT audit vakgebied, haar beroepsprofilering en – positionering een verdere professionalisering nodig heeft om een adequaat oordeel te kunnen vormen over de uitbesteding van IT en daarmee dus ook het aspect van BCM. De IT auditor werkt nog voornamelijk op het operationele vlak, terwijl de genoemde onderwerpen juist strategisch van aard zijn en op bestuursniveau (moeten) worden besproken. Voor het beheersen van business continuity bij de de uitbesteding van IT activiteiten speelt de demand organisatie een belangrijke rol. Naast het waarborgen van de naleving van SLA’s dient de demand organisatie de geleverde diensten continue te monitoren om de supply organisatie ook te kunnen aansturen op zaken die niet zijn of kunnen worden vastgelegd. Dit zal continue moeten worden teruggekoppeld aan het BCM beleid om te waarborgen dat IT in lijn blijft met de bedrijfsdoelstellingen.


2 2.1

Inleiding Achtergrond van het onderzoek

Het afstudeeronderzoek wordt uitgevoerd in opdracht van de Vrije Universiteit Amsterdam. Het afstudeeronderzoek is onderdeel van het laatste jaar (3e jaar) van de Postgraduate IT Audit opleiding. Het onderzoek wordt uitgevoerd door de afstudeerders mevrouw Sau-Han Wong en de heer Sander Nagel. De rapportage zal door beide afstudeerders worden samengesteld. Aangezien de opleiding een praktijkgerichte opleiding met een academische verankering betreft, is er gekozen voor een vraagstuk uit de dagelijkse praktijk. De aanpak en uitwerking van dit vraagstuk dienen op academisch verantwoorde wijze gestalte te krijgen.

2.2

Probleemgebied en doelstelling

In dit hoofdstuk vindt u een uiteenzetting van de aanleiding, het probleemgebied en de doelstelling van deze scriptie. Tevens zijn in dit hoofdstuk de onderzoeksvraag en kernvragen opgenomen en is de opbouw van het onderzoek uiteengezet.

2.2.1 Aanleiding van het probleem Binnen een organisatie vormt de afstemming tussen business en IT (zogenaamde business-IT alignment) de driver voor de eisen die gesteld kunnen worden aan business continuity management (BCM). Met andere woorden, business-IT aligment schept het kader waarbinnen en de richting waarin business continuity management vorm kan worden gegeven. Onderstaande figuur geeft dit kader weer:

Business- IT Alignment IT

BUSINESS

OUTSOURCING

Control objectives

BCM Figuur 1: Afbakening BCM in relatie tot Business- IT Alignment bij het uitbesteden van IT activiteiten


Wereldwijd is er vanaf eind jaren negentig van de vorige eeuw een strategische tendens waar te nemen binnen organisaties met betrekking tot het uitbesteden van taken en processen die niet tot de eigenlijke kerntaken (core business) behoren. Deze strategische keuze is beter bekend onder de naam outsourcing. Het begrip outsourcing is een veel omvattend begrip; het kan veel verschillende disciplines betreffen en in vele verschillende varianten plaatsvinden (nearshoring, offshore outsourcing, outtasking, Shared Service Centers etc). Het outsourcen van met name IT activiteiten is wereldwijd zeer populair gebleken de afgelopen twee decennia1. Binnen veel organisaties ligt het voor de hand om juist IT te outsourcen omdat IT een ondersteunende discipline is en geen core-business betreft. Als voordelen voor het outsourcen van IT activiteiten worden genoemd; de verbetering van de business focus, het versterken van de kerncompetenties, het behalen van kostenvoordelen en kwaliteitsverbetering. Het outsourcing traject van de IT activiteiten betreft vaak een langdurig proces, waarbinnen een vijftal opeenvolgende stappen kunnen worden onderscheiden2. Het traject start met het onderzoeken van de verschillende mogelijkheden voor outsourcing en de laatste fase betreft het continu toetsen van de outsourcing relatie. Wanneer de activiteiten zijn uitbesteed, en hierdoor de organisatie zelf niet meer de volledige controle heeft over deze activiteiten, dient de continuïteit van de bedrijfsvoering vanuit een ander perspectief te worden benaderd. Het is niet altijd eenduidig bij welke partij en op welke wijze de verantwoordelijkheid over business continuity dient te worden belegd3. Best practices uit de praktijk duiden op een nadruk op de voorbereidende fase vóór het daadwerkelijke moment van IT outsourcing. In onze optiek is de fase tijdens en na het overdrachtsmoment net zo belangrijk, in het bijzonder wanneer we spreken over het waarborgen van de continuïteit van de kernprocessen. Immers, de geautomatiseerde infrastructuur heeft ten doel het bedrijfsbeleid te ondersteunen. Deze problematiek betreft dan ook de kern van ons onderzoek. Overeenkomsten tussen de dienstverlener (service provider) en uitbestedende partij (opdrachtgever) hebben veelal niet direct betrekking op de business continuity. Voorbeelden zijn een SAS-70 verklaring waar de nadruk ligt op het beheersen van interne controle maatregelen en prestatie afspraken die de vorm hebben van controles achteraf waarbij wanprestaties financieel worden gecompenseerd. De moderne weten regelgeving schrijft voor dat er maatregelen moeten zijn getroffen voor het borgen van de business continuity4. In het bijzonder de financiële dienstverlenende organisatie heeft met vele vormen van weten regelgeving te maken. Naar onze mening ontbreken er echter duidelijke richtlijnen voor deze organisaties op welke wijze zij met business continuity om dienen te gaan indien en voor zover de IT activiteiten zijn uitbesteed. Bovendien krijgt de continuïteit van operationele bedrijfsprocessen steeds meer aandacht van het businessmanagement tot op het niveau van de Raad van Bestuur. Dit als gevolg van de toenemende complexiteit van de inrichting van processen door de steeds grotere rol van ‘Outsourcing: the biggest industry of the 21st century’ aldus ‘Outsourcinggoeroe’ Michael Corbett (www.firmbuilder.com) 2 Ernst & Young, (www.ey.nl) 3 Business Continuity by offshore ICT-outsourcing (www.zbc.nu) 4 Wet Bescherming Persoonsgegevens, Governance Codes zoals ROB, SOX en Tabaksblat, Toetsingskader Business Continuity Planning Financiële Kerninfrastructuur van de DNB. 1


ICT, de toename van continuïteitsrisico’s en recentelijk de druk van buitenaf (regelgeving en eisen van de klant ten aanzien van aantoonbaarheid van BCM) (Interview Cazemier, Leegwater, 2008).

2.2.2 Doelstelling Doel van ons onderzoek is om te komen tot een advies in de vorm van richtlijnen waarmee een financiële dienstverlener de business continuity kan waarborgen wanneer de IT activiteiten zijn uitbesteed aan een externe partij. Hieruit voortvloeiend zullen wij aanbevelingen geven met betrekking tot de wijze waarop controlobjectives kunnen worden opgenomen. Ter illustratie zullen hiervoor een tweetal financiële instellingen als praktijkcases worden behandeld. Op basis van de hierboven beschreven aanleiding en doelstelling hebben wij een centrale onderzoeksvraag geformuleerd. De achtergrond- en kernvragen geven een verdere afbakening en de richting van ons onderzoek weer.

2.2.3 Onderzoeksvraag Op basis van de hierboven beschreven aanleiding en doelstelling hebben wij de volgende onderzoeksvraag geformuleerd: Op welke wijze kan een financiële dienstverlener de continuïteit van kritieke bedrijfsprocessen waarborgen in de situatie dat de IT- Operations activiteiten zijn ondergebracht bij een derde partij?

2.2.4 Kernvragen Om te werken naar een antwoord op de onderzoeksvraag en om een gestructureerd onderzoek te kunnen uitvoeren, hebben wij de volgende kernvragen opgesteld: 1. Wat betekent Business Continuity Management voor een financiële dienstverlener? 2. Welke continuïteitsrisico’s zijn te onderkennen met betrekking tot het outsourcen van ITOperations5 activiteiten? 3. Welke maatregelen zijn te onderkennen om bovengenoemde risico’s af te dekken en hoe kunnen wij dit vertalen naar hanteerbare richtlijnen voor een interne controle standaard?

5

Onder IT Operations wordt verstaan de periodieke (dagelijkse) IT activiteiten die uitgevoerd moeten worden om de bedrijfsprocessen operationeel te houden. Software ontwikkeling e.d. worden niet beschouwd.


2.3

Leeswijzer

De volgende twee hoofdstukken zullen ingaan op de twee kernelementen van de probleemstelling, namelijk business continuïteit en IT outsourcing. De kernvragen 1 en 2 zullen hierbij worden behandeld om in hoofdstuk 5 tot een theoretisch antwoord te komen op de derde kernvraag en tevens de onderzoeksvraag. In hoofdstuk 6 worden twee financiële dienstverleners als casus behandeld waarin de voorgestelde theoretische oplossing zal worden getoetst op toepasbaarheid in de praktijk. De bevindingen die wij hebben opgedaan op basis van deze toetsing alsmede onze conclusies worden behandeld in hoofdstuk 7. Tevens wordt in hoofdstuk 7 een aanbeveling gedaan voor vervolgonderzoek.


3

Business Continuity Management

Het eerste deel van onze onderzoeksvraag heeft betrekking op de wijze waarop de continuïteit van kritieke bedrijfsprocessen (m.a.w. de business continuity) kan worden gewaarborgd. Dit wordt ondervangen door het begrip Business Continuity Management (BCM). Het theoretisch kader van BCM zal in dit hoofdstuk worden behandeld in relatie tot een financiële dienstverlener en beoogt daarmee een antwoord te geven op de eerste kernvraag: 1. Wat betekent Business Continuity Management voor een financiële dienstverlener?

3.1

Business Continuity

Business continuity betreft het strategische en tactische vermogen van een organisatie om te plannen en te reageren op ernstige onderbrekingen in de bedrijfsvoering ten gevolge van omvangrijke (ver)storingen of calamiteiten (British Standard, 2006). De afgelopen jaren laten zien dat organisaties zich meer bewust worden van de steeds grotere risico’s die de continuïteit van de bedrijfsvoering in gevaar kunnen brengen. Grotere afhankelijkheid van sterk geautomatiseerde bedrijfsprocessen, toenemende complexiteit van informatiesystemen, groeiende concurrentie en ketenafhankelijkheden dwingen de organisaties om aandacht te besteden aan continuïteitsvraagstukken (Leegwater en Reniers, 2005). Met de calamiteiten van de afgelopen vijf jaar is vanuit de weten regelgeving verder de druk opgevoerd ten aanzien van de aantoonbaarheid van het waarborgen van business continuity. Ook is het belang van afstemming tussen de bedrijfsstrategie en ITstrategie (zg. Business/IT-Alignment) steeds verder inzichtelijk gemaakt de afgelopen decennia, o.a. door het gebruik van modellen. Voorbeelden hiervan zijn het in 1993 door N. Venkatramen en J. Henderson. ontwikkelde Strategic Alignment Model (Venkatraman et al. 1993) en het door R. Maes ontwikkelde Negenvlaks model (Maes, 2003).

3.2

Business Continuity Management

In het verleden ontbrak een duidelijke algemene richtlijn of standaard met betrekking tot continuïteitsmanagement. Zo wordt bijvoorbeeld in de Code voor Informatiebeveiliging6 gesteld dat een proces voor continuïteitsmanagement moet worden geïmplementeerd om kritieke bedrijfsprocessen te beschermen tegen grootschalige storingen of calamiteiten middels een stelsel van maatregelen. Echter, welke vorm een dergelijk proces en de bijbehorende maatregelen moeten of kunnen hebben, worden niet genoemd. Als gevolg hiervan hebben organisaties en instellingen hun eigen methoden ontplooit.

6

Code voor Informatiebeveiliging, hoofdstuk 11


In 2003 heeft de BSI British Standards in samenwerking met the Business Continuity Institute (BCI) voor het eerst een best practice gepubliceerd die zich richt op continuïteitsmanagement, te weten PAS 56. Eind 2006 is hier opvolging aan gegeven door de publicatie van de British Standard BS 25999. De BS 25999 standaard omvat twee delen. Het eerste deel "BS 25999-1:2006 Code of Practice for BCM", gaat in op de organisatie en inrichting van BCM processen en haar uitgangspunten. Het tweede deel, "BS 25999-2:2006 A Specification for BCM", specificeert de eisen met betrekking tot de implementatie van Business Continuity controls, op basis waarvan certificeren kan plaatsvinden. BS 25999 biedt hiermee een stelsel van maatregelen om Business Continuity te waarborgen. Door de afgelopen ontwikkelingen op het gebied van BCM zijn er verschillende definities terug te vinden in de literatuur. Voor ons onderzoek hebben wij ervoor gekozen om de definitie van de British Standard (BS 25999) te hanteren: Business Continuity Management (BCM) betreft een holistisch management aanpak die potentiële bedreigingen en de impact daarvan voor de organisatie identificeert en daarop een stelsel van maatregelen biedt die de organisatie het vermogen geeft om zich effectief te beschermen en te reageren op ernstige onderbrekingen in de bedrijfsvoering zodanig dat de belangen van haar belanghebbenden, haar reputatie en waarde-creërende activiteiten worden gewaarborgd. De standaard beschrijft een lifecycle van BCM welke bestaat uit zes onderdelen die nodig zijn voor het inrichten van BCM in een organisatie. In feite vormt de lifecycle hiermee de aanpak die nodig is om BCM in te richten (Cazemier & Leegwater, 2007). De lifecycle wordt in deel 2 van de standaard verder uitgewerkt in maatregelen en richtlijnen. De volgende onderdelen worden onderscheiden:

1

2

BCM programmanagement (BCM Programme Management) Dit betreft de aanpak van de organisatie met betrekking tot business continuity en omvat het toewijzen van rollen en verantwoordelijkheden over BCM beleid en implementatie, onderhouden van BCM beleid en bijbehorende ondersteunende documentatie. Het heeft als doel om de organisatie het vermogen te geven om BCM in te richten en in stand te houden. Van belang hierbij is dat het top management betrokken is in het waarborgen dat BCM procedures een onderdeel worden van de organisatie cultuur. Analyse van de organisatie (Understanding the Organization) Binnen deze stap worden de kritieke bedrijfsprocessen en de daarbij ondersteunende middelen geïdentificeerd. Dit waarborgt dat het BCM programmanagement aansluit met de bedrijfsdoelstellingen. Met behulp van een business impact analyse kunnen de gevolgen van een verstoring van een bedrijfsproces welke de key producten en diensten ondersteunt, worden bepaald. Op basis hiervan kan inzichtelijk worden gemaakt welke processen kritiek zijn. Bij het bepalen van de impact, dienen naast de materiële kosten, ook immateriële schade te worden geïnventariseerd. Deze hebben bijvoorbeeld betrekking op imagoschade, kennisverlies, boetes ten gevolge van het niet kunnen voldoen aan weten regelgeving, kwaliteitsschade aan producten en/of


diensten en milieuschade. Daarnaast dient de maximale toelaatbare periode van de verstoring te worden opgesteld zodat op basis hiervan de nodige continuïteitseisen kunnen worden opgesteld in een later stadium.

3

Business Continuity Management strategie (Determining BCM Strategy) Wanneer de kritieke bedrijfsprocessen in kaart zijn gebracht alsmede de verstoringtoleranties en bijbehorende continuïteitseisen, kan de organisatie de juiste continuïteitsstrategie bepalen om haar doelstellingen te bereiken. Een BCM strategie omvat maatregelen die: – de kans op verstoring of gevolgen hiervan verkleinen; – de continuïteit van de kritieke bedrijfsprocessen tijdens en na een verstoring waarborgen; – rekening houden met activiteiten die niet als kritiek zijn geïdentificeerd.

4

BCM-plannen en maatregelen (Developing and Implementing BCM Response) De eerder benoemde maatregelen worden in deze stap geconcretiseerd door het ontwikkelen en implementeren van gepaste projecten/activiteiten die de continuïteit van de kritieke activiteiten waarborgen alsmede verstoringen kunnen beheersen. Hieronder vallen bijvoorbeeld het opzetten van een crisismanagement plan en een business continuity plan (BCP). Een crisismanagement plan richt zich op de eerste acute fase van een verstoring en omvat activiteiten om de omvang van een crisis te identificeren, te beheersen en om de noodzakelijke communicatie naar de organisatie en haar omgeving te bewerkstelligen. Het doel van een BCP is om de bedrijfsprocessen op een gestructureerde wijze te hervatten of te onderhouden tijdens een verstoring van de dagelijkse bedrijfsvoering. Een BCP kan geheel of gedeeltelijk worden uitgevoerd en in elk stadium van een verstoring worden ingezet. Een BCP omvat taken en verantwoordelijkheden, middelen om activiteiten te hervatten of op te starten alsmede instructies betreffende wanneer bepaalde activiteiten dienen plaats te vinden.

5

Oefening, evaluatie en onderhoud (Exercising, Maintaining and Reviewing) BCM projecten dienen periodiek getest te worden op adequaatheid en indien noodzakelijk herziend te worden om de relevantie te behouden. Dit houdt in dat crisismanagementplannen en BCP’s moeten worden uitgevoerd (technisch en/of functioneel) om te waarborgen dat iedereen op de hoogte is van zijn/haar rol en verantwoordelijkheden tijdens een crisis of verstoring van de bedrijfsvoering. Het vermogen om business continuity te beheersen kan worden getest door het laten uitvoeren van een onafhankelijke audit uitgevoerd door interne of externe professionals zodat het management inzicht krijgt in de effectiviteit (en eventuele tekortkomingen) van haar BCM.

6

Borging van BCM in de bedrijfscultuur (Embedding BCM in the Organization’s Culture) Zoals eerder aangeven betreft BCM een holistische aanpak die de gehele organisatie raakt. Het is dan ook van belang dat BCM onderdeel wordt van de manier waarop een organisatie wordt gestuurd en beheerst. Dit kan worden gerealiseerd door: - uitdragen van BCM door de directie; - toewijzen van verantwoordelijkheden; - creëren van bewustzijn in de gehele organisatie middels trainingen en informatieve programma’s voor personeel;


-

trainen van vaardigheden; oefenen van BCM plannen.

De BCM stappen kunnen als volgt worden weergegeven (BS25999:1):

Figuur 2: De BCM Lifecycle

3.3

BCM en de financiële sector

Binnen de financiële wereld worden er van oudsher verscheidene eisen gesteld aan continuïteitsborging. Sinds de aanslag van 11 september 2001 zijn de regels op dit gebied sterk toegenomen. Binnen Nederland zijn continuïteitseisen onder meer vastgelegd in7: • • •

De Core Principles voor Systeemrelevante betalingssystemen (CP VII:Veiligheid en operationele betrouwbaarheid). Deze Principles zijn internationaal breed geaccepteerd; De Aanbevelingen voor effectenafwikkelsystemen (aanbeveling 11: Operationele betrouwbaarheid) en centrale tegenpartijen (aanbeveling 7: operationeel risico); Algemene Maatregel van Bestuur 5: Besluit prudentiële regels Wft.

Om een invulling te geven aan de bovenstaande eisen heeft de DNB de ‘Toetsingskader Business Continuity Planning (BCP) Financiële Kerninfrastructuur’ opgesteld. Het betreft een set van 7

Bron: www.dnb.nl


aanbevelingen ten aanzien van risicobeheer van technisch- organisatorisch falen, alsmede maatregelen voor het opvangen van (natuur)rampen en calamiteiten ten gevolge van menselijk handelen. De uitwerking ligt hier bij de operationele risico’s en met name voor specifieke financiële diensten. Zoals eerder toegelicht, is BCP een onderdeel van BCM. Een algemeen holistisch Business Continuity Management aanpak voor de financiële sector die business continuity waarborgt op zowel strategisch als tactisch en operationeel niveau, wordt niet geboden. Ten aanzien van BCM kunnen we dezelfde kritiek leveren op de Nederlandse Corporate Governance Code; Code- Tabaksblat. Deze wet voor aan de beurs genoteerde bedrijven in Nederland schrijft voor dat een business continuity plan onderdeel moet zijn van goed ondernemingsbestuur (vergelijkbaar met de Sarbanes- Oxley regelgeving die voor de Amerikaanse beursgenoteerde bedrijven geldt). Uitgangspunt voor de code is de bescherming van de aandeelhouder tegen wanbeleid. Bij operationele audits op compliancy ligt de nadruk dan ook op de financiële risico’s in plaats van alle aspecten van business continuity. Elders in de wereld zien we wel initiatieven vanuit financiële toezichthouders op het gebied van BCM richtlijnen. Een voorbeeld betreft de ‘Business Continuity Management Guidelines’ gepubliceerd door het Monetary Authority of Singapore (MAS, 2003). Hierin zijn verschillende BCM principes opgenomen die de MAS voorschrijft voor financiële instellingen. Bij het nader bestuderen van deze principes zijn deze in essentie evenwel toepasbaar voor andere sectoren en is er geen specifiek onderscheid te maken voor financiële instellingen. Het algemene belang van BCM zal echter groter zijn voor een financiële instelling vergeleken met andere sectoren gezien de grote schade die de branche loopt bij een verstoring van het bedrijfsproces. Naast het algemene belang van goed BCM, spelen specifiek voor deze sector de volgende oorzaken: de verplichting vanuit weten regelgeving voor de financiële sector ten aanzien van de aantoonbaarheid van business continuity, de noodzaak voor een bank en/of verzekeraar om een betrouwbaar en stabiel imago uit te stralen en de groeiende claimcultuur waarmee de branche wordt geconfronteerd. Gezien de omvang van de financiële gevolgen van deze risico’s is het van groot belang dat de financiële instelling of dienstverlener zich hiertegen beschermd. Het verschil met andere sectoren zal in de uitwerking van BCM tot uiting komen, waarbij de continuïteitsnormen (m.a.w. maximaal toelaatbare uitval van bedrijfsproces) voor een bank of verzekeraar naar verhouding veelal stringenter zullen zijn dan voor overige organisaties. Het volgende hoofdstuk gaat in op de theorie van IT- outsourcing. In hoofdstuk 5 wordt bekeken in hoeverre de standaard BS25999 toepasbaar is in het geval IT activiteiten worden uitbesteed.


4

IT- Outsourcing

Dit hoofdstuk heeft als doel om inzicht te verschaffen in het begrip IT- outsourcing en de verschillende vormen van sourcing. Voor ons onderzoek zal de focus liggen op het outsourcen van IT-operations activiteiten door een financiële dienstverlener. Na de begripsvorming zal verder worden ingegaan op de mogelijke continuïteitsrisico’s die voortkomen uit een IT- outsourcing relatie tussen een financiële dienstverlener en een derde partij. De volgende kernvraag zal in dit hoofdstuk worden behandeld: 2. Welke continuïteitsrisico’s zijn te onderkennen met betrekking tot het outsourcen van IT-Operations activiteiten?

4.1

IT- outsourcing; een vorm van sourcen

IT- outsourcing is op dit moment onverminderd populair binnen organisaties in uiteenlopende sectoren. Outsourcing in algemene zin is de oudste vorm van sourcing. Bij outsourcing worden personeel en middelen overgedragen aan een externe leverancier (service provider), die de uitbestede processen vervolgens als een dienst teruglevert aan de uitbesteder tegen afgesproken voorwaarden en kosten (Delen, 2005). Voor ons onderzoek hebben wij ervoor gekozen om de definitie van de Monetary Authority of Singapore (MAS) te hanteren welke specifiek is opgesteld voor de financiële sector: Onder outsourcing wordt verstaan een overeenkomst waarbij een instelling een derde partij (de service provider) benaderd om een dienst te verlenen welke mogelijk door de instelling reeds zelf wordt uitgevoerd en welke de volgende kenmerken heeft: • • •

de instelling is continu afhankelijk van de dienst maar sluit die diensten uit welke betrekking hebben op de supervisie over een gereed product; de dienst maakt integraal deel uit van de door de instelling aangeboden financiële dienst en/of de dienst wordt door de service provider aanboden aan de markt namens de instelling; het vormt een belemmering om de service provider te vervangen aangezien substituten in de markt ontbreken of alleen tegen significante kosten voor de instelling kan worden vervangen.

Een outsourcingsovereenkomst is materieel wanneer deze, in het geval van een onderbreking, de potentie heeft om een significante impact te hebben op de bedrijfsactiviteiten, de reputatie of de winstgevendheid van de instelling. Eind jaren tachtig van de vorige eeuw is de term outsourcing voor het eerst gebruikt in relatie tot een grote uitbesteding van ICT-dienstverlening. De term outsourcing is vervolgens ook gebruikt in bredere zin voor het aanduiden van het uitbesteden van andere bedrijfsprocessen, ook wel bekend als Business Process


Outsourcing. Nederland is niet achtergebleven in deze ontwikkeling: sinds half jaren negentig van de vorige eeuw is de outsourcingsbranche gegroeid tot een volwassen branche, welke ieder jaar met 20% groeit (Delen, 2006). Sinds het eind van de jaren tachtig van de vorige eeuw zijn op het gebied van outsourcing verschillende varianten en alternatieven ontstaan. Voorbeelden hiervan zijn follow-up sourcing en shared services. Onder follow-up sourcing wordt verstaan: het opnieuw uitbesteden van een bepaalde dienstverlening, al dan niet aan een reeds bekende leverancier. Onder shared services op IT-gebied wordt verstaan: het samenvoegen van IT-afdelingen van diverse werkmaatschappijen binnen een grote organisatie tot één centraal IT-centrum (Strikwerda, 2004). Dit wordt gedaan met het oog op het bereiken van efficiency voordelen en voordelen op het gebied van continuïteit, zonder enige afhankelijkheid van een externe partij. Door deze samenvoeging binnen de organisatie reeds op orde te hebben, maakt het de uitgangspositie van de organisatie sterker wanneer het in een later stadium besluit tot het outsourcen van de activiteiten. Een vorm van outsourcing welke op dit moment mondiaal een grote vlucht neemt is offshore outsourcing; het overdragen van een bedrijfsactiviteit naar zogenaamde lagelonenlanden zoals India8. Een tegenhanger van offshore outsourcing betreft onshore outsourcing; het uitbesteden binnen de eigen landsgrenzen. Een variant van offshoring betreft nearshoring. Hieronder wordt verstaan: het uitbesteden van (IT) diensten aan een ander land, echter relatief dichtbij qua afstand of in tijdzone9. Reden om te kiezen voor nearshoring is dat de cultuurverschillen en transactiekosten over het algemeen lager zijn dan bij offshore outsourcing. Een grotere mate van controle op de service provider is eveneens mogelijk. Daar staat tegenover dat de besparingen ook minder zijn (Delen, 2006). In Nederland is het begrip offshore outsourcing een aantal jaar geleden op de kaart gezet door de grote uitbesteding van ABN-AMRO aan een vijftal IT-sourcing organisaties waarvan er 3 afkomstig zijn uit India en 1 vanuit India zijn diensten levert10.

Kosten/Baten van IT- outsourcing Er kunnen zowel materiële als immateriële voordelen van IT- outsourcing voor een organisatie worden benoemd. Materiële voordelen kunnen met name gevonden worden in kostenbesparingen (al dan niet op korte termijn), het beter beheersen van IT-kosten, besparingen in tijd (waardoor meer concentratie op core business) en een betere toegang tot nieuwe technologieën. Bij immateriële voordelen gaat het om zaken op strategisch niveau zoals global presence, round the clock service (doorgeven van werk van tijdzone naar tijdzone - in het geval van offshore-outsourcing), een betere toegang tot specialistische kennis en het verbeteren van de dienstverlening. Global presence is in het bijzonder interessant voor multinationals, round the clock service is belangrijk voor dienstverlening gericht op het monitoren van netwerken of het stand-by houden van een helpdesk.

8

’Outsourcing: the biggest industry of the 21st century’ – M.Corbet – (www.firmbuilder.com) Bron: http://en.wikipedia.org/wiki/nearshoring 10 De opdracht van ABN-AMRO had een waarde van 1,8 miljard euro en was overeengekomen met IBM, Accenture, Infosys, Tata en Patni. 9


Kosten welke bij de diverse vormen van IT- outsourcing (in mindere mate bij onshore outsourcing) worden gemaakt zijn zogenaamde transactiekosten. Het gaat hier specifiek om aanloopkosten, ontslagkosten, kosten voor kennisoverdracht en kosten voortkomend uit het aansturen van de externe partij (o.a. door cultuurverschillen). Aangezien de offshore outsourcing industrie nog kan worden gekenmerkt als een onvolwassen industrie, zijn deze kosten in de meeste gevallen bij deze vorm van outsourcen hoog en moeilijk te voorspellen. Door de hoge transactiekosten bij een offshore outsourcing traject, is een dergelijke vorm van outsourcing alleen rendabel bij grote uitbestedingen (Delen, 2006). Kritische succesfactoren bij IT- outsourcing zijn personeelsoverdracht, kennisoverdracht en opdrachtgeverschap (aansturing van de service provider) (interview G. Delen, januari 2008 en Delen, 2006, Outsourcing gedijt bij volwassenheid).

4.2

Relatie IT- outsourcing en Business Continuity Management

Zoals uit het voorgaande reeds is gebleken heeft IT- outsourcing enorm aan populariteit gewonnen de afgelopen decennia. Aan veel van deze outsourcingstrajecten liggen kostenbesparingen ten grondslag. Deze kostenbesparingen dienen dan wel gerealiseerd te worden met behoud van kwaliteit. Behoud van kwaliteit van IT-dienstverlening binnen organisaties is van groot belang, in het bijzonder voor organisaties die te maken hebben met een hoog geautomatiseerd productieproces danwel waarbij IT de core business (kritieke bedrijfsprocessen) ondersteunt. Onder het behoud van kwaliteit wordt ook verstaan het waarborgen van de continuïteit van de bedrijfsprocessen welke door IT worden ondersteund. De vraag in hoeverre de continuïteit van bepaalde bedrijfsprocessen dient te worden gewaarborgd en de eisen die hieraan moeten worden gesteld, hangt af van de mate waarin deze bedrijfsprocessen kritiek zijn binnen het totale ‘productieproces’ (zie hoofdstuk 3: Business Continuity Management). Deze bepaling is sterk afhankelijk van de branche waarin een organisatie opereert. Een financiële dienstverlener bijvoorbeeld is in zeer hoge mate afhankelijk van ICT voor de ondersteuning van het primaire proces. Wanneer een organisatie (al dan niet een financiële dienstverlener) voor de keuze staat voor het wel of niet uitbesteden van haar IT- activiteiten, is het van belang dat de organisatie in een vroeg stadium inventariseert welke bedrijfsprocessen kritiek zijn. Een methode die hierbij kan worden gebruikt is de MAPGOOD-methode11. Wanneer de kritieke bedrijfsprocessen vervolgens in kaart zijn gebracht kan middels een risicoanalyse de mogelijke continuïteitsrisico’s worden geïdentificeerd. Dit geeft tevens zicht op de verschillende intoleranties (maximum tolerable period of disruption (BS25999-2:2007)) van deze processen. Een afhankelijkheids- en kwetsbaarheidsanalyse (zogenaamde A&K-analyse) kan helpen bij het bepalen van de risico’s die kunnen leiden tot een crisis (kleine kans/grote impact) en de risico’s die in de categorie ‘incident’ kunnen worden ingedeeld (grote kans/kleine impact). Deze informatie kan worden gebruikt bij het bepalen of de betreffende bedrijfsprocessen wel of niet moeten worden uitbesteed (interview Delen, 2008). Op basis van de risico-analyse dient de organisatie continuïteitseisen te formuleren waaraan de derde partij (de service provider) zich dient te committeren (zie hoofdstuk 5 BS25999 en IT- outsourcing). Deze afspraken dienen zowel operationele continuïteitseisen als crisis 11

MAPGOOD-methode: Mensen, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving, Diensten.


continuïteitseisen te omvatten. Belangrijk is hierbij op te merken dat de uitbestedende organisatie eerst de continuïteit van de eigen bedrijfsprocessen beheerst voordat over kan worden gegaan tot het outsourcen van IT-activiteiten welke deze bedrijfsprocessen ondersteunt. Dit om te voorkomen dat de processen (ernstig) worden verstoord wanneer de IT activiteiten daadwerkelijk worden overgedragen. Het formuleren van de continuïteitsrisico’s en -eisen is een onderdeel van de Business Continuity Management lifecycle (zie hoofdstuk 3 Business Continuity Management) en wordt beschreven in de BS25999 standaard. Deze generieke standaard is toepasbaar binnen verschillende branches en geeft duidelijke richtlijnen weer voor het implementeren van BCM binnen een organisatie. Echter, het kijkt niet specifiek naar continuïteitseisen en -risico’s in het geval van IT- outsourcing. In de volgende paragraaf zal nader worden ingegaan op continuïteitsrisico’s voor een financiële dienstverlener. In hoofdstuk 5 zullen de bijbehorende continuïteitsnormen worden behandeld, waarbij een normenkader voor IT- outsourcing wordt opgesteld op basis van de BS25999 standaard.

4.2.1 Continuïteitsrisico’s bij IT- outsourcing voor de financiële dienstverlener Een financiële dienstverlener kan in een outsourings-relatie te maken krijgen met strategische-, reputatie-, compliance- en operationele risico’s. Een oorzaak hiervan kan zijn het falen van de service provider in het leveren van de uitbestede dienst. Het falen, kan gevolgen hebben voor zowel de kwaliteit van de te leveren diensten, de beveiliging, als voor het niet kunnen voldoen aan eisen betreffende weten regelgeving (al dan niet opgesteld door de opdrachtgever). Naast risico’s op het gebied van beheersing van de uitbestede dienst, kan een opdrachtgever ook worden blootgesteld aan country risk in het geval een service provider is gevestigd in het buitenland, of aan concentration risk in het geval er een gebrek aan controle is op een bepaalde service provider door een groep opdrachtgevers (MAS Guidelines on Outsourcing, 2005). Continuïteitsrisico’s worden ondervangen door een adequaat BCM en zijn strategisch van aard. Nota bene, continuïteitsrisico’s overkoepelen de eerder genoemde risico’s waar een financiële dienstverlener aan wordt bloot gesteld in een outsourcings-relatie. De continuïteitsrisico’s worden voor een groot deel bepaald door de mate waarin de service provider op een continue wijze de uitbestede dienst kan leveren (tegen de afgesproken kwaliteit). De continuïteitsrisico’s die door BCM moeten worden ondervangen beperken zich derhalve niet tot de eigen organisatie en haar omgeving, maar zijn ook van toepassing op de service provider die verantwoordelijk is voor de uitbestede diensten.


BCM Business

IT Operations Uitbesteed

Figuur 3: Objecten die door BCM dienen te worden beheerst bij IT- outsourcing

Risico’s voor de financiële dienstverlener bij IT- outsourcing ten aanzien van beschikbaarheid zijn te onderkennen (continuïteitsrisico’s) zijn: • • •

Het uitvallen van door de service provider ondersteunde bedrijfskritische systemen; De service provider kan niet voldoen aan het gewenste niveau van dienstverlening; Onverwachte beëindiging van de outsource-relatie (ontbinding van de service provider).

Zoals we reeds in hoofdstuk 3 hebben opgemerkt, zullen de onderdelen van BCM voor een financiële dienstverlener vergelijkbaar zijn met het BCM in andere sectoren. Echter, het verschil zit in het belang van BCM. De continuïteitsrisico’s zullen grotere gevolgen hebben dan in andere sectoren gezien de omvangrijke schade die de organisatie kan lopen bij een ernstige verstoring van zijn kritieke bedrijfsprocessen. Een dergelijke verstoring kan effect hebben op het betalingsverkeer (bedrijfsleven en particulieren) en zelfs op de monetaire positie van de overheid.


5

BS25999 en IT- Outsourcing: vertaling naar hanteerbare richtlijnen voor een interne controle standaard

De BS25999 is momenteel de meest complete standaard op het gebied van Business Continuity Management. Echter, zoals reeds is aangegeven, betreft de BS25999 standaard een generieke standaard welke niet specifiek ingaat op continuïteitsrisico’s en –eisen in het geval van IT- outsourcing. Voor ons onderzoek zien wij dan ook de noodzaak om de BS25999 standaard op sommige punten specifiek te maken voor IT- outsourcing. Hiervoor zullen wij de richtlijnen voor outsourcing opgesteld door MAS (Monetary Authority of Singapore) mede als input gebruiken. Deze richtlijnen zijn opgesteld voor financiële instellingen waarbij ook aandacht is besteed aan Business Continuity Management (‘Guidelines on outsourcing’, MAS 2005). Om een IT-uitbestedingsrelatie te kunnen beheersen is de IT-strategie het uitgangspunt voor zowel het uitbestedend bedrijf als de IT-leverancier. IT moet verankerd worden in de organisatie (Beulen, 2002). Een doelstelling van de IT-strategie is om te waarborgen dat de service provider aansluit bij de eigen bedrijfsstrategie en ontwikkelingen. Zoals in hoofdstuk 3 is toegelicht, beschrijft de BS25999 standaard zes stappen als antwoord op hoe de continuïteit van de bedrijfsvoering kan worden gewaarborgd. Deze stappen zijn verankerd in de BCM lifecycle en worden in het tweede deel van de standaard (BS 25999-2:2006) verder uitgewerkt naar concrete maatregelen die genomen kunnen worden. Hieronder zullen wij alleen ingaan op de maatregelen die genomen dienen te worden om de eerder benoemde continuïteitsrisico’s met betrekking tot uitbesteding van IT af te dekken. De maatregelen dienen integraal onderdeel te zijn van de BCM lifecycle zoals geïmplementeerd in de eigen organisatie.

1

BCM programmanagement Binnen het BCM beleid dient rekening te worden gehouden met de aansturing van een externe organisatie (service provider) voor het ondersteunen van uitbestede IT activiteiten. Dit vertaalt zich naar een verantwoordelijke binnen het BCM programma van de financiële dienstverlener (opdrachtgever) voor de uit te besteden activiteiten. Deze persoon dient de doelstellingen van het BCM beleid helder te communiceren, zowel richting de eigen organisatie alsmede richting de service provider, en deze partij te verplichten tot naleving voor zover van toepassing.

2

Analyse van de organisatie/serviceprovider Wanneer de organisatie bepaalde IT activiteiten wilt uitbesteden (op basis van een risicoanalyse en afhankelijkheidsanalyse, zie hoofdstuk 4), dienen van deze activiteiten de bijbehorende continuïteitseisen te worden vastgesteld. Gezien de activiteiten nu worden ondergebracht bij een derde partij bestaat het risico dat de service provider niet kan voldoen aan het gewenste niveau van dienstverlening of dat de outsource-relatie onverwachts wordt verbroken. Om deze risico’s af te dekken dient de opdrachtgever bij het


(opnieuw) aangaan van een outsourcingsrelatie de service provider te toetsen (d.m.v. due dilligence) op een aantal punten: – Ervaring en kwaliteiten om de te outsourcen activiteiten uit te voeren en te onderhouden gedurende de contractsperiode; – Financiële gezondheid en beschikbare financiële middelen; – Bedrijfsreputatie, cultuur, naleving van weten regelgeving, lopende klachten en lopende of toekomstige processen; – IT-beveiligingsniveau, interne controle mechanismen, ‘audit coverage’, rapportage- en controle omgeving; – Business Continuity Management; – Het kunnen vertrouwen op, en succes in het omgaan met onderaannemers; – Een gezonde verzekeringsdekking; – Inzicht in alle externe factoren (politiek, economisch, sociaal en juridisch) welke mogelijk negatief van invloed kunnen zijn op de dienstverlening.

3

Business Continuity strategie De opdrachtgever dient de eisen inzake business continuity te baseren op worst-case scenario’s (o.a. onverwachte beëindiging van de outsourcings-relatie of ontbinding van de service provider). Aangezien de onderlinge afhankelijkheid van organisaties in de financiële wereld hoog is, wordt er van de financiële dienstverlener verwacht dat deze business continuity in hoge mate nastreeft. Op basis van de risicoanalyse van de potentiële service provider(s), kan de opdrachtgever een besluit nemen over de uitbesteding van haar activiteiten. Wanneer daadwerkelijk wordt overgaan tot uitbesteding, zal de opdrachtgever in haar business continuity strategie moeten opnemen in hoeverre zij van haar service provider wil en kan verlangen om te voldoen aan bepaalde continuïteitseisen. Dit zal een overweging zijn op basis van kosten en baten. Factoren die hierbij in beschouwing kunnen worden genomen zijn de maximale periode van verstoring van de uitbestede activiteit(en), de kosten van het stellen van continuïteitseisen aan de service provider en de gevolgen van geen actie.

4

BCM-plannen en maatregelen De operationele en crisis–continuïteitseisen ten aanzien van het niveau van dienstverlening door de service provider vloeien voort uit het BCP van de opdrachtgever en worden vastgelegd in een outsourcingsovereenkomst (SLA). Hierin wordt ook de verdeling van taken en verantwoordelijkheden tussen de eigen organisatie en de service provider opgenomen. Continuïteitseisen betreffen bijvoorbeeld het opstellen van een crisismanagementplan en BCP door de service provider die passen bij de aard, reikwijdte en complexiteit van de IT- outsourcingsactiviteiten. De plannen dienen gebaseerd te zijn op realistische worst-case scenario’s. Kritiek onderdeel van het crisismanagementplan is de eis dat de service-provider een crisismanagement contactpersoon beschikbaar heeft. Voor eisen van een BCP inzake het leveren van financiële diensten, zie Toetsingskader Business Continuity Planning (BCP) Financiële Kerninfrastructuur uitgebracht door de DNB.


Daarnaast moet een Service Level Rapportage (SLR) worden opgesteld, waarin het behaalde niveau van dienstverlening wordt gerapporteerd (SLR). Bij de periodieke testwerkzaamheden van het eigen BCP dient de opdrachtgever de service-provider te betrekken, ook met het oog op de mate waarin de eigen medewerkers alert en voorbereid zijn op een mogelijke continuïteitscrisis. De testwerkzaamheden dienen zekerheid te verschaffen over de werking en effectiviteit van het BCP.

5

Oefening, evaluatie en onderhoud De service provider dient zekerheid te verschaffen over de mate waarin hij kan voldoen aan het opgestelde BCP. De service provider dient door het periodiek testen van het BCP aan te tonen, dat hij voldoet aan de gestelde BCP eisen. Tevens dient de service provider de opdrachtgever te informeren over mogelijk nadelige testresultaten. Ook dient de service provider de opdrachtgever te informeren wanneer er significante zaken wijzigingen in het BCP. De opdrachtgever dient een management en control systeem te ontwikkelen. Een dergelijk systeem zal verschillen naargelang de aard, reikwijdte en complexiteit van de ge-outsourcede activiteiten. Wanneer de materialiteit en complexiteit van de outsourcing relatie toeneemt, zal een meer strikte risico-management benadering gehanteerd dienen te worden. Onderdeel hiervan zijn reguliere audits en controles om vast te stellen dat het beleid, richtlijnen en de procedures inzake het risicomanagement effectief worden toegepast zowel binnen de eigen organisatie als bij de service provider. Om de inherente (continuiteits) risico’s te beheersen welke voortkomen uit een outsourcings-relatie dient de directie en het management van de opdrachtgever het volgende in beschouwing te nemen: – Het periodiek heroverwegen van de outsourcingstrategie en –overeenkomsten; – Het periodiek beoordelen van de risico’s en materialiteit van de bestaande en toekomstige outsourcings-overeenkomsten; – Het periodiek heroverwegen van de effectiviteit van beleid en procedures; – Het vaststellen dat BCP’s zijn opgesteld, getest en zijn gebaseerd op realistische worst-case scenario’s; – Het vaststellen dat er onafhankelijke toetsing plaatsvindt op het functioneren van processen conform vastgesteld beleid.

6

Borging van BCM in de bedrijfscultuur Deze stap beperkt zich tot de bedrijfscultuur van de opdrachtgever. Zie hoofdstuk 3.


5.1

Theoretische conclusie

Op basis van de theorie zoals behandeld in voorgaande hoofdstukken zijn wij tot een theoretisch antwoord gekomen op de onderzoeksvraag: Op welke wijze kan een financiële dienstverlener de continuïteit van kritieke bedrijfsprocessen waarborgen in de situatie dat de IT- Operations activiteiten zijn ondergebracht bij een derde partij? De BS 25999 standaard geeft richtlijnen aan een organisatie om de continuïteit van haar kritieke bedrijfsprocessen te waarborgen. Echter, de BS 25999 standaard is te generiek (ontworpen voor algemene situaties) en zal op maat moeten worden gemaakt voor de organisatie en haar situatie. Zo zal BCM een andere invulling krijgen in een kleine organisatie dan in een organisatie van grotere omvang. In de situatie waarin de ondersteunende IT activiteiten zijn uitbesteed, zal de standaard moeten worden uitgebreid met de relevante beheersingsmaatregelen voor uitbestede diensten. Voor het inrichten van BCM kan men de BCM lifecycle als kapstok gebruiken.


6

Bevindingen uit de Praktijk

Voor ons onderzoek hebben wij een tweetal praktijkcases gebruikt om onze theoretische conclusie te staven. Om de toepasbaarheid van het normenkader, zoals voorgesteld in het voorgaande hoofdstuk, te toetsen hebben wij de business continuity management aanpak van twee financiële dienstverleners nader geanalyseerd. Hierbij zijn wij nagegaan in hoeverre de BS 25999 standaard is geïmplementeerd alsmede hebben wij getoetst of de standaard of delen van de standaard bruikbaar zijn als een intern controle raamwerk voor business continuity management. Naast onderzoek van relevante literatuur en brondocumenten hebben wij gesproken met zowel medewerkers als adviseurs van de betreffende organisaties om een beeld te krijgen van het onderwerp.

6.1

De praktijkcases

De eerste casus (hierna te noemen organisatie A) betreft een bank, die mondiaal opereert. De organisatie heeft al haar IT activiteiten uitbesteed aan derden, hieronder vallen zowel IT operations activiteiten als software ontwikkeling en onderhoud. Voor de beheersing van IT operations heeft de organisatie één partij als aanspreekpunt. Deze partij betreft eveneens een wereldwijde speler. Wij hebben vernomen dat deze organisatie de standaard BS 25999 heeft geaccepteerd en in 2007 reeds heeft geïmplementeerd. In de volgende paragraaf hebben wij beschreven in hoeverre organisatie A de door ons op maat gemaakte standaard heeft toegepast. De tweede casus (hierna te noemen organisatie B) betreft een nationaal georiënteerde pensioenuitvoerder, welke voor haar opdrachtgevers pensioenen beheert en daarmee een samenhangende dienstverlening van pensioenadministraties, beleggingen, informatietechnologie en verzekeringen verzorgt. De organisatie onderhoudt o.a. diverse relaties met ASP’s – Application Service Providers. De ASP’s zijn verantwoordelijk voor het hosten van applicaties welke, in sommige gevallen, kritieke processen ondersteunen. Uit de gesprekken met betrokkenen hebben wij vernomen dat organisatie B niet bekend is met de BS 25999 standaard. Wel hebben wij vastgesteld dat organisatie B een eigen methode heeft ontwikkeld om de business continuity te waarborgen. In onderstaande paragraaf wordt uiteengezet of, en in welke mate, organisatie B de aspecten uit de door ons op maat gemaakte standaard heeft geïmplementeerd.

6.2

Business Continuity Management in de praktijk

Per aspect uit de Business Continuity Management Cycle, zoals beschreven in hoofdstuk 3, hebben wij getoetst in hoeverre deze toepasbaar is bij elk van de organisaties. De resultaten zijn hieronder per aspect en voor zowel organisatie A als organisatie B uiteengezet.


1. BCM programma-management Organisatie A Binnen organisatie A is vanaf eind 2005 een speciaal orgaan ingericht die het beleid opstelt inzake BCM. Het BCM orgaan stelt het beleid op voor alle bedrijfsonderdelen wereldwijd. Het orgaan rapporteert direct aan het risicomanagement bestuur welke direct onder de verantwoordelijkheid valt van de directie van de organisatie. Voor elke regio is een persoon aangewezen die verantwoordelijk is voor het implementeren van het globale BCM beleid lokaal in de regio. Alsmede is hij/zij verantwoordelijk voor het afstemmen van het BCM beleid met lokale weten regelgeving. Het BCM orgaan maakt deel uit van het management team dat verantwoordelijk is voor de wereldwijde uitbesteding van de IT activiteiten. Vanuit die rol zijn eisen zoals die intern zijn gesteld aan BCM, gesteld aan de dienstverlener en vastgelegd in SLA’s. Zodoende is gewaarborgd dat ook bij de uitbesteding business continuity wordt beheerst. Organisatie B Binnen organisatie B is er voornamelijk op operationeel niveau aandacht voor business continuity. Er is geen Business Continuity Management systeem ingericht en ook wordt er geen organisatie breed business continuity beleid opgesteld. Ieder jaar worden de eisen en wensen met betrekking tot de IT-ondersteuning vanuit de diverse zelfstandige business units herzien en opnieuw vastgesteld. De business units dienen hierin zelf de eisen te formuleren Ook worden de (meest) kritieke processen en veranderingen in deze processen in kaart gebracht. De waarborging van de business continuity vindt vervolgens op projectmatige basis plaats en is met name gedreven vanuit de IT-functie binnen de organisatie. IT stuurt aan en neemt het initiatief met betrekking tot het waarborgen van de business continuity. Elke twee weken heeft IT een overleg inzake de business continuity binnen de organisatie. Dit overleg vormt de basis voor het opstellen van het bedrijfsnoodplan en het IT calamiteitenplan.. Onderdeel van het IT calamiteitenplan is onder andere het jaarlijks testen van de uitwijkfaciliteit. De afzonderlijke business units zijn zelf verantwoordelijk voor de business continuïty van de uitbestede IT-activiteiten aan bijvoorbeeld de Application Service Providers (ASP’s). Er zijn Service Level Agreements (SLA’s) opgesteld met deze ASP’s. Jaarlijks worden de eisen opgenomen in deze SLA’s door beide partijen geëvalueerd en herzien indien noodzakelijk. De IT-functie is bij dit proces niet structureel betrokken.

2. Analyse van de organisatie/serviceprovider Organisatie A Binnen organisatie A stelt het BCM beleid de minimale eisen aan het management van de bedrijfsvoering. De business kan hierboven meer eisen stellen, echter het management blijft verantwoordelijk voor het toepassen van het BCM beleid aan haar eigen situatie.


Er zijn harde eisen gesteld en vastgelegd in SLA’s bij de uitbesteding van IT. Wanneer de dienstverlener gebruik maakt van onderaannemers, heeft organisatie A ook eisen gedefinieerd aan de OLA’s (SLA’s tussen de onderaannemers onderling) die zijn afgesloten tussen de verschillende partijen. Het BCM orgaan heeft eisen gesteld aan de afspraken die zijn gemaakt. Hierbij is afgedwongen dat de dienstverlener aansluit bij het interne BCM beleid. Naast duidelijke vastlegging van afspraken is een goed begrip door de dienstverlener van de organisatie én de business van de opdrachtgever voorwaarde voor een succesvolle uitbesteding. Bij de uitbesteding van IT activiteiten is het operationele risico-profiel van de potentiële dienstverleners geanalyseerd waarbij BCM een belangrijk aandachtspunt is. Hierbij dient opgemerkt te worden dat BCM met name van belang is voor de IT activiteiten met betrekking tot business operations en in mindere mate van toepassing is voor software ontwikkeling en onderhoud. Organisatie B Binnen organisatie B is er geen sprake van een organisatie breed opgesteld business continuity beleid. Iedere business unit afzonderlijk stelt de continuïteitseisen aan de IT-ondersteuning op inzake de continuïteit van de (kritieke) processen. Deze continuïteitseisen worden op basis van een interne risicoanalyse geïdentificeerd. IT heeft hierin nauwelijks een rol. Iedere business unit stelt zelf de eisen op aan de activiteiten welke worden uitbesteed aan de hand van de risico-analyse. Deze eisen worden vervolgens opgenomen in een SLA. De betreffende service provider dient te kunnen voldoen aan alle eisen opgenomen in de SLA. IT is niet structureel betrokken bij het opstellen van deze eisen.

3.

Business Continuity strategie

Organisatie A Het BCM beleid volgt de bedrijfsstrategie nauwgezet. Het belang van BCM wordt zichtbaar doordat het op bestuursniveau besproken wordt binnen organisatie A. Dit komt in grote mate voort uit de invloed van toezichthouders, externe accountants, stakeholders en weten regelgeving. Zij eisen allen in meer of mindere mate een waarborging van de business continuity. Dit geldt zowel voor de processen binnen organisatie A, als de processen welke zijn uitbesteed aan service-providers. Transparantie in de wijze waarop de organisatie de business continuity waarborgt is hierbij essentieel. Organisatie B Organisatie B heeft geen formeel business continuity beleid opgesteld. Business continuity is dan ook geen specifiek onderdeel van de bedrijfsstrategie. De business continuity strategie wordt feitelijk bepaald door de afzonderlijke business units die de continuïteitseisen van de (kritieke) processen formuleren, onder andere naar IT en naar de externe service providers. IT tracht te kunnen voldoen aan de eisen voor wat betreft de IT-ondersteuning. Binnen IT wordt het belang van business continuity zeker erkent. Het bewustzijn binnen de organisatie als geheel blijft hier echter bij achter. IT tracht hierin verandering te brengen door het bewustzijn van het belang bij de Raad van Bestuur te vergroten. IT wordt hierin gesteund


door de verscherpte eisen aan de organisatie inzake BCM gesteld vanuit weten regelgeving, externe toezichthouders (o.a. accountants) en SAS 70 certificeringen. 4.

BCM-plannen en maatregelen

Organisatie A Zoals eerder genoemd maken BCM-eisen deel uit van de afspraken van organisatie A met de dienstverlener(s). BCM-eisen betreffen onder andere de aanwezigheid van een BCP (inhoudelijk dient het BCP wel te voldoen aan de eigen interne BCP standaard) alsmede een crisis management plan en een business continuity management team. Daarnaast neemt de dienstverlener zitting in het interne crisis management team van organisatie A om te waarborgen dat de dienstverlener aansluit bij de BCM uitvoering van de opdrachtgever. Periodiek wordt door de dienstverlener aan organisatie A gerapporteerd over de geleverde prestaties. Bij onderprestatie kan organisatie A sanctiemiddelen toepassen. Hoewel strikte afspraken absoluut noodzakelijk zijn, blijkt uit ervaring dat het onmogelijk is om sluitende SLA’s op te stellen. Goed wederzijds begrip en vertrouwen zijn daarom cruciaal in het kunnen voldoen aan de verwachtingen van beide partijen. Organisatie B Zoals hiervoor reeds genoemd hebben wij vastgesteld dat er geen formeel BCM en business continuity beleid opgesteld is binnen organisatie B. Business continuïteit is voornamelijk gedreven vanuit IT en is operationeel ingericht. IT stelt zichzelf de eis om te voldoen aan de eisen inzake business continuity gesteld door de verschillende business units. IT stelt een BCP op in de vorm van een bedrijfsnoodplan en een IT-calamiteitenplan. Jaarlijks worden deze plannen getest en indien noodzakelijk herzien. De focus ligt in het bijzonder op het voorkomen van een Single Point of Failure (SPF). Organisatie B stelt geen eisen inzake het opstellen van een BCP door de Application Service Providers. Wel wordt er een SLA opgesteld tussen de business unit en de ASP’s waarin continuïteitseisen zijn opgenomen. Deze SLA’s worden met een minimum van één keer per jaar getoetst en indien noodzakelijk herzien. 5.

Oefening, evaluatie en onderhoud

Organisatie A Naast de aanwezigheid van een BCP eist organisatie A van haar dienstverlener(s) dat zij periodiek het BCP uitvoeren en testen met een minimum van één keer per jaar. Binnen organisatie A is een management en control systeem ingericht om te kunnen vaststellen dat het beleid, richtlijnen en de procedures inzake het risico-management effectief worden toegepast. De focus ligt hierbij niet alleen op de eigen organisatie maar ook op de service providers. De interne audit afdeling heeft hierin een belangrijke functie.


Organisatie B De IT –functie binnen organisatie B evalueert periodiek (1x per jaar) het opgestelde BCP door het testen van het plan. Op deze wijze tracht IT voldoende zekerheid te verschaffen over de mate waarin kan worden voldaan aan het opgestelde BCP. De bestaande outsourcings-relaties worden jaarlijks getoetst door de business units. De bestaande SLA’s worden beoordeeld en waar nodig aangepast. SAS70 eisen vormen een belangrijke leidraad voor het periodiek evalueren en onderhouden van de outsourcingsovereenkomst. 6.

Borging van BCM in de bedrijfscultuur

Organisatie A Door de geografische scheiding van bedrijfsonderdelen is binnen organisatie A in het recente verleden BCM lokaal ontwikkeld en geïmplementeerd. Hierbij zijn er verschillen ontstaan tussen de regio’s. De noodzaak is hierdoor ontstaan om een betere afstemming te bereiken tussen de verschillende regio’s met betrekking tot BCM. Andere oorzaken liggen in de lokale weten regelgeving die eisen stelt aan de financiële sector op het gebied van BCM. Daarnaast is door de wereldwijde trend van uitbesteding van ITactiviteiten, BCM een onderwerp geworden dat op bestuursniveau dient te worden besproken gezien de kritieke rol die IT speelt in de dagelijkse bedrijfsvoering. BCM is hierdoor binnen organisatie A een integraal onderdeel van de bedrijfsvoering geworden en wordt door het bestuur uitgedragen. Het BCM orgaan stelt het beleid op voor de gehele organisatie. Het is de verantwoordelijkheid van de business om het beleid te implementeren. BCM is een officiële verantwoordelijkheid binnen de organisatie. Organisatie B De borging van business continuity in de bedrijfscultuur is tot op heden zeer beperkt gebleken binnen organisatie B. Er is geen sprake van een BCM systeem binnen organisatie B. Vanuit IT is er echter wel aandacht voor business continuity, echter er is geen beleid geformaliseerd dat breed door de organisatie gedragen wordt. Zoals hiervoor reeds beschreven is er op dit moment een bewustwordingsproces in gang gezet vanuit IT richting de Raad van Bestuur inzake het belang van business continuity. Business continuity is tot op heden niet formeel ingeregeld en kan ook nog niet worden gezien als een onderdeel van de organisatie.

6.2.1 BCM voor organisatie A Organisatie A heeft opgemerkt dat de BS 25999 standaard te generiek is. De organisatie heeft derhalve de nodige aanpassingen gemaakt aan de standaard om deze geschikt en bruikbaar te maken voor de eigen organisatie. Echter, wij hebben kunnen vaststellen dat de BCM Cycle in hoofdlijnen is gevolgd. Wat betreft de IT-outsourcing normen zijn de voorgestelde maatregelen ook geïmplementeerd. Het betreffen veelal gangbare beheersmaatregelen in het kader van IT uitbesteding waarbij een BCP en CMT de belangrijkste punten zijn op het gebied van BCM.


Voor organisatie A is een BCM beleid een absolute noodzaak. Een BCP alleen is niet voldoende. Reeds voor het verschijnen van de BS 25999 standaard heeft organisatie A een BCM beleid opgesteld welke is gebaseerd op PAS 56. Organisatie A heeft kenbaar gemaakt niet op de hoogte te zijn met deel 2 van de BS 25999 standaard.

6.2.2 BCM voor organisatie B Organisatie B heeft aangegeven niet op de hoogte te zijn van de BS 25999 standaard inzake business continuity management. Business continuity vormt op dit moment een onderdeel van afzonderlijke projecten geïnitieerd vanuit IT. Ook worden business continuïteitseisen opgenomen in de SLA’s met de Application Service Providers. Business continuity en BCM worden op dit moment niet besproken aan de directie-tafel, het vormt veel meer een onderdeel van de operationele processen binnen de organisatie. Wel is er een bewustwordingsproces gestart richting het management inzake het belang van business continuity. Een geformaliseerd BCM beleid is voor organisatie B op het moment van onderzoek nog toekomstmuziek. De prioriteit en uitdaging ligt voor organisatie B in het opstellen en formaliseren van een organisatiebreed gedragen business continuity beleid en het verhogen van de bewustwording van het belang van business continuity voor de organisatie.


7

Conclusies & Aanbevelingen

Conclusie uit de praktijk Gebleken is dat voor zowel organisatie A als organisatie B de BS 25999 een welkome standaard is op het gebied van BCM. Een meerderheid van de financiële instellingen in het Verenigd Koninkrijk heeft de standaard reeds overgenomen. Echter, BS 25999 blijkt nog te generiek en moet worden aangepast aan de specifieke eigen situatie van de organisatie. Zo hebben we gezien dat in de situatie waarin de IT activiteiten zijn uitbesteed, de BCM eisen zich verplaatsen naar de uitbestedende partij (supply management). Het gevolg hiervan is dat de opdrachtgever (demand management) haar BCM eisen moet vertalen in SLA’s met haar opdrachtnemers. In de praktijk blijkt echter dat het onmogelijk is om sluitende SLA’s op te stellen. Een goed begrip tussen demand en supply is cruciaal om niet vastgelegde zaken naar tevredenheid te kunnen afhandelen. Desalniettemin worden organisaties met behulp van de BS 25999 standaard zich bewust van het spectrum van business continuity zodat zij hier een adequaat beleid voor kunnen inrichten. Op basis van de geanalyseerde organisatie A, welke een grote omvang heeft, zien wij dat het organisatiebrede bewustzijn van het belang van business continuity binnen de organisatie, voortkomend uit het bewustzijn van het management/de directie, een bepalende factor lijkt te zijn voor het feit of een organisatie een formeel BCM beleid heeft opgesteld en een standaard als de BS 25999 niet, globaal of gedetailleerd integreert in de eigen processen. Daarnaast zijn mogelijke invloeden; het maatschappelijke belang van de organisatie, het aantal belanghebbenden en toezichthouders. Binnen de financiële dienstverlener waar deze factoren minder aanwezig zijn en die qua omvang aanzienlijk kleiner is (organisatie B), wordt het bewustzijn van het belang van business continuity niet organisatie-breed gedragen. We zien dat business continuity zich in de laatste situatie met name richt op het operationele niveau (aanwezigheid van een BCP) en gedreven wordt vanuit de IT functie. Dit is geen wenselijke situatie. De IT organisatie is in functie immers een leverende partij waarbij de business de eisen stelt. BCM behoort daarom als een strategisch onderwerp op de bestuurstafel te worden besproken. In het bijzonder omdat uitbesteding van IT bij uitstek een strategisch onderwerp is. Op basis van het ontwikkelproces van business continuity binnen organisatie B, zal naar verwachting ook de kleinere organisatie zich in de richting van organisatie A ontwikkelen voor wat betreft BCM. Met andere woorden, BCM wordt langzaam onderkend als een strategisch onderwerp en zal in de toekomst op dusdanig niveau moeten worden besproken binnen elke organisatie.

Confrontatie met theoretische conclusie Wanneer wij de conclusie uit de praktijk confronteren met onze onderzoeksvraag en de conclusie die wij op basis van de theorie hebben genomen (zie par. 5.1), kunnen wij concluderen dat de BS 25999 standaard inderdaad te generiek (niet specifiek genoeg) is om één op één binnen een organisatie te kunnen implementeren. Wel vormt de BS 25999 standaard de meest voor de handliggende kapstok voor het inrichten van BCM voor een financiële dienstverlener om de continuïteit van kritieke bedrijfsprocessen te waarborgen in de situatie dat de IT-Operations activiteiten zijn onder gebracht bij een derde partij.


De mate waarin de BS25999 standaard daadwerkelijk wordt gebruikt en de mate waarin het bewustzijn van het belang van business continuity organisatiebreed is doorgedrongen hangt af van de hier bovengenoemde factoren. Financiële dienstverleners met een aanzienlijke omvang, groot maatschappelijk belang en een groot aantal stakeholders, lopen vooruit als het gaat om het bewustzijn en de integratie van eisen aan business continuity zoals opgenomen in de BS 25999 standaard. Financiële dienstverleners waarvoor deze factoren in mindere mate gelden of aanwezig zijn, bevinden zich (nog) niet in deze fase. De focus op business continuity wordt binnen deze organisaties later ingezet en het beleid wordt informeel op operationeel niveau ingericht. Deze organisaties bevinden zich nog niet op een zodanig niveau dat er een formeel organisatiebreed gedragen business continuity beleid is ingericht.

7.1

Aanbevelingen

Op basis van ons onderzoek hebben wij de volgende aanbevelingen: BCM dient als onderdeel van de bedrijfsstrategie te worden besproken op bestuursniveau en mag niet gedreven worden vanuit de IT- organisatie. Met name wanneer een organisatie haar IT activiteiten gaat uitbesteden, is het van belang dat BCM mee wordt genomen in de uitbestedingstrategie. Wanneer IT activiteiten zijn uitbesteed, zijn de afgesloten SLA’s van cruciaal belang om de uitbestede diensten te kunnen beheersen. Aangezien het onmogelijk is om sluitende SLA’s op te stellen, rust er een belangrijke taak op de demand management organisatie om de uitbestede activiteiten continue te monitoren en het supply management aan te sturen. Vanuit het oogpunt van business continuity, is het raadzaam dit regelmatig terug te koppelen naar een strategisch niveau om te waarborgen dat IT in lijn blijft met de bedrijfsdoelstellingen. BCM richt zich op de gehele organisatie en kan worden toegepast in situaties waarin de IT-activiteiten zijn uitbesteed, maar ook wanneer bedrijfsprocessen zijn uitbesteed (Business Process Outsourcing). De vaardigheden van een IT auditor geeft hem of haar het vermogen om deze uitbestede activiteiten te beoordelen. Gezien de strategische aard van BCM (en meer algemeen geaccepteerd, van BPO), zien we dat de huidige beroepsprofilering en -positionering van IT Audit op dit gebied een verdere professionalisering nodig heeft. In de praktijk werken de meeste IT auditors niet zozeer op het strategische niveau, maar op het operationele niveau. Om adequaat strategische onderwerpen te kunnen beoordelen, zal het vakgebied en -techniek van IT audit naar bestuursniveau moeten worden getild. De in de voorgaande paragrafen opgenomen conclusies welke uit dit afstudeeronderzoek naar voren zijn gekomen zijn gebaseerd op de theorie en een tweetal praktijkcases. Om met meer zekerheid onze bevindingen en conclusies te kunnen staven zou het wenselijk zijn om de onderzoeksvraag middels vervolgonderzoek binnen meerdere vergelijkbare organisaties te toetsen. Dit vervolgonderzoek zal moeten uitwijzen of onze vermoedens voortkomend uit dit afstudeeronderzoek kloppen. De beperkte tijdspan van het afstudeeronderzoek is voor ons de beperkende factor geweest in de mogelijkheid om het onderzoek te baseren op meerdere cases.


Tot slot willen wij als suggestie voor vervolgonderzoek aangeven om de BS25999 online enquête voor een financiële dienstverlener in te vullen per casus (www.bs25999.com). Deze enquête is een detailuitwerking van de BCM cycle zoals gepresenteerd in hoofdstuk 3 en vormt daarmee een normenkader waartegen een organisatie gecertificeerd (getoetst) kan worden. Hierin zien wij een uitgelezen taak voor de IT auditor.


8

Literatuur

•

Beulen, E.J.J. (2002). Het managen van IT-uitbestedingscontracten. Management en Informatie, 3

• • •

British Standard (12-2006). Business Continuity Management BS 25999-1:2006 British Standard (11-2007). Business Continuity Management BS 25999-2:2007 Cazemier, J & D. Leegwater (2007). BCM-standaard helpt niet tijdens de crisis. In: IT Service Magazine 4 Cazemier, J & D. Leegwater (2007). Standaard vereist aanpassingen IT. In: Automatisering Gids 9 Delen, G.P.A.J. (2004). Zes faal- en vijf succesfactoren bij uitbesteding. In: Informatie / april 2004 Delen, G.P.A.J. (2005). Decision- en controlfactoren voor IT-sourcing. Zaltbommel: Van Haren Publishing. Delen, G.P.A.J. (2006). A Global Perspective on Sourcing. Amsterdam: Hogeschool van Amsterdam Publicaties Delen, G.P.A.J. (2006). Outsourcing gedijt bij volwassenheid. In: Outsourcing Magazine 1 Delen, G.P.A.J., F. van der Feltz, R. Buitendijk & R. de Putter (2006). Uitbesteden van IT diensten? Bezint eer u begint!, Verdonck, Klooster & Associates Beulen, E. (2002). Uitbesteding van IT dienstverlening. Den Haag: Ten Hagen & Stam Gortemaker, J.C.A., H. C. Kocks, & Ph. Wallage (Eds.) (2006), Handboek Accountancy, Vol. C 1040: 1-36. Deventer: Kluwer. Leegwater, D & C. Reniers (2005). Business Continuity Management – Methodieken en lessen uit de praktijk. In: Jaarboek IT beheer en informatiebeveiliging. Leegwater, D. (2004). Calamiteitenmanagement ver onder de maat. In: Automatisering Gids 6 Maes, R. (2003). Informatiemanagement in kaart gebracht. In: Primavera Working Paper 2003-02, Universiteit van Amsterdam Monetary Authority Singapore (2003), Business Continuity Management Guidelines Monetary Authority of Singapore (2005), Guidelines on Outsourcing Parker, M., R.J. Benson & E.H. Trainor. (1988) Information Economics: Linking Information Technology and Business Performance. USA – New Jersey: Prentice-Hall. Ribbers, P.M.A. Strategie en informatietechnologie: een verkenning. In Frambach R.I., & Nijssen E.J. (Eds.) (1992), Technologie en Strategisch Management (pp. 149-171). Utrecht Strikwerda, J. (2004). Organisatievormen en intern beheer. In A. D. Bac, A. J. Bindinga, J. C. A. Gortemaker, H. C. Kocks, & P. Wallage (Eds.), Handboek Accountancy, Vol. C 1040: 1-36. Deventer: Kluwer. Venkatraman, N. & J.C. Henderson. (1993). Strategic Alignment: Leveraging Information Technology for Transforming Organizations, IBM Systems Journal (32:1) Zee, van der, H.T.M. (2002). Measuring the Value of Information Technology. London: Idea Group Publishing.

• • • • • • • • • • • • • • • •

• •


9

Overige Bronnen

Websites http://en.wikipedia.org/wiki/nearshoring http://primavera.fee.uva.nl/ www.25999.info www.bs25999.net www.bs25999.com www.dnb.nl www.ey.nl www.firmbuilder.nl www.platformoutsourcing.nl www.thebci.org www.vka.nl www.zbc.nl


Business Continuity bij IT- Outsourcing

Recommend Documents