3 Service Level Agreements Hans Schers
Wikipedia omschrijft een Service Level Agreement (SLA) als volgt: een Service Level Agreement – in het Nederlands bekend als dienstenniveauovereenkomst (DNO) – is een overeenkomst tussen een dienstverlener en een klant, waarbij een minimaal aanvaardbaar serviceniveau wordt vastgelegd. SLA’s zijn voor het eerst opgesteld in de ICTsector in de jaren zestig van de vorige eeuw. Sindsdien worden SLA’s ook toegepast in andere sectoren, zoals de telecommunicatie en de gezondheidszorg. Met de toenemende omvang en het groeiende belang van ICT-overeenkomsten is ook het belang van deugdelijke SLA’s toegenomen. De literatuur over dit onderwerp is echter beperkt. Daarom vat ik een aantal karakteristieken van SLA’s samen en presenteer ik aanbevelingen voor het afsluiten van betere SLA’s.
In de praktijk In steeds meer automatiseringsovereenkomsten komt u verwijzingen tegen naar een zogenaamde Service Level Agreement, veelal afgekort tot SLA. In de meeste gevallen wordt de SLA als een aparte bijlage bij een overeenkomst gevoegd. De reden is dat de technische en operationele omschrijvingen van diensten, producten en procedures vaak veel ruimte in beslag nemen. Bovendien gaan de technische ontwikkelingen binnen de ICT-industrie relatief snel en dan is het eenvoudiger om alleen de SLA en niet de gehele overeenkomst hieraan aan te passen.
28
Vaak ziet men in de overeenkomst zelf wel directe verwijzingen naar de bepalingen in een SLA. Soms betreft het hier een generieke bepaling in de trant van ‘... levering van diensten, zoals omschreven in de aangehechte SLA’. Incidenteel betreft het echter ook hardere bepalingen, waarin garanties of boetes worden verbonden aan de in de SLA omschreven niveaus van dienstverlening. Vanuit juridisch perspectief wil ik sterk aanbevelen om in de overeenkomst duidelijk vast te leggen hoe de onderlinge rangorde is geregeld. Het gaat om de rangorde van de overeenkomst en de diverse bijlagen, waaronder de SLA, en welk document bij afwijking prevaleert boven de andere documenten. Zoals de naam aangeeft beschrijft een SLA in het algemeen het niveau van een bepaalde dienstverlening van de leverancier aan de afnemer. In de praktijk kunnen we constateren dat de SLA vaak meer omvat dan dat. Dikwijls worden ook additionele technische en operationele zaken vastgelegd in een SLA. Hierbij kunt u denken aan onderwerpen als: - gedetailleerde beschrijvingen van de gebruikte of te leveren hardware, software en diensten; - contactpersonen met betrekking tot operationele zaken; - beschrijvingen van de eigenlijke niveaus van dienstverlening (service levels); - escalatieprocedures in geval van problemen; - uitwijkprocedures of noodoplossingen in geval van calamiteiten; - prijsinformatie over de te leveren producten en diensten.
SLA's zijn geschikt om bijna iedere vorm van dienstverlening te omschrijven. Vandaar dat men SLA's in veel soorten en maten tegenkomt. Ze variëren van een simpel A4-tje, waarin bijvoorbeeld de openingstijden van een telefonische helpdesk staan omschreven, tot een document met de afmetingen van enkele flinke telefoonboeken. Wanneer in zo’n telefoonboek tot op de laatste byte beschreven is welke responsetijden van een netwerk worden gegarandeerd, kan het document een flinke omvang hebben. Deze meer uitgebreide SLA's zijn dan vaak ook voorzien van boeteclausules die in werking treden als deze responsetijden niet gehaald worden. Aangezien SLA’s in het algemeen een intrinsiek deel uitmaken van de volledige overeenkomst, is het van belang dat – evenals bij de contractuele bepalingen – beide partijen akkoord gaan met de inhoud van de SLA. Bij grotere overeenkomsten is het de gewoonte dat partijen de SLA gezamenlijk opstellen en er eventueel verder over onderhandelen. Ze kunnen daarbij worden bijgestaan door een derde adviseur of adviseursgroep met specifieke kennis. Zo komt het vaak voor dat in SLA's die door leveranciers zijn opgesteld, de gespecificeerde dienstenniveaus zijn omschreven als generieke inspanningsverplichtingen. Afnemers hebben echter eerder behoefte aan het vastleggen van gekwantificeerde en meetbare niveaus met een zekere garantie bij de daadwerkelijke realisering van de overeengekomen prestaties (resultaatsverplichtingen). Middels onderhandelingen moeten dan dus uiteindelijke afspraken vormgegeven worden.
Risicoverkenning Essentieel voor de juiste formulering van SLA’s is een verkennende risico-inventarisatie, waarbij de belangrijkste risico’s worden vertaald naar de juiste performance-indicatoren. Een risico is de kans dat een gebeurtenis optreedt die negatieve consequenties heeft voor het budget, de doorlooptijd of de kwaliteit; er is geen zekerheid dat de situatie zich voordoet. De grootte van de negatieve gevolgen kunnen ook verschillen. Risico's bestaan dus uit twee componenten: de kans dat iets misgaat en de schade die optreedt als de situatie zich daadwerkelijk voordoet. In formulevorm kan dit als volgt weergegeven worden: R = K * S, waarbij R het risicobedrag is, K het kanspercentage dat een dergelijk evenement zich voordoet (weergegeven in een factor) en S het geprognosticeerde schadebedrag. Risico's kunnen het prestatieniveau ernstig beïnvloeden. Geen of onvoldoende aandacht voor risico's kan tot gevolg hebben dat een overeenkomst niet of minder succesvol wordt. Goed risicomanagement kan de kans dat het misgaat verkleinen. Risicomanagement Risicomanagement bestaat uit drie activiteiten: - risicoanalyse; - risicobeheersing; - risicotracking. Risicoanalyse Tijdens de risicoanalyse wordt geïnventariseerd welke risico's bij de desbetreffende Service Level
29
Agreement gelopen worden. Risico's kunnen worden onderverdeeld in interne en externe risico's. Interne risico's vinden hun oorsprong binnen de door de leverancier aangeboden diensten. Voorbeelden hiervan zijn het gebruik van een nieuw platform of een nieuwe programmeertaal, het ontbreken van de kennis en kunde, het risico dat medewerkers halverwege weggaan, enzovoort. Externe risico's vinden hun oorsprong binnen het verantwoordelijkheidsgebied van de afnemer van de diensten. Voorbeelden van externe risico's zijn organisatiewijzigingen en wetswijzigingen. Op basis van de risicoanalyse kunnen maatregelen genomen worden die de risico's afdekken. Door de ontwikkeling van de risico's te monitoren en het effect van de maatregelen in te schatten kunnen onbedoelde escalaties worden voorkomen. Tijdens de looptijd van de SLA veranderen zowel omstandigheden als inzichten. Door regelmatig de risicoanalyse te herhalen worden nieuwe risico’s en veranderingen van reeds bekende risico's bijtijds onderkend. Een risicoanalyse kan zeer goed worden uitgevoerd in een of meer workshops. De workshops worden begeleid door een procesbegeleider, bij voorkeur de kwaliteits- of service-levelmanager van de SLA-overeenkomst. De workshops beginnen met een brainstormsessie. Tijdens deze sessie noemen de deelnemers zoveel mogelijk risico's. Indien mogelijk hebben ze zich voorbereid door het inlezen en opschrijven van risico's. Ook kunnen de deelnemers input krijgen zodat zij op ideeën worden gebracht.
30
Voorbeelden van deze input zijn aanduidingen van problemen in eerdere Service Level Agreements, zelf ontwikkelde checklists of standaardchecklists voor risico's in ICT-projecten. Tijdens de sessie verzamelen en benoemen de deelnemers de risico's. Alle risico’s worden in een tabel gezet. Gezamenlijk wordt aangegeven hoe groot ieder risico is. Dit gebeurt door zowel de kans als de potentiële schade te benoemen. De schade kan uitgedrukt worden in bijvoorbeeld uren productieverlies of in geld. De uren kunnen via een standaarduurtarief worden omgerekend in geld. Het benoemen van de kans en de potentiële schade is uiteraard vaak speculatief. Ondanks deze beperking blijft het een nuttige exercitie om het aantal, de hoedanigheid en de relatieve omvang van de risico's in te schatten. Uiteindelijk ontstaat er een tabel van risico's.
Risico Risico 1 Risico 2 Risico 3
Kans
Schade
0.25 0.02 0.50
200.000 2.000.000 9.000
Kosten (kans * schade) 50.000 40.000 4.500
Figuur 3.1 Risicotabel Het gaat er hierbij niet om de risico's tot in eurocenten achter de komma uit te rekenen, maar meer om inzicht te krijgen in de orde van grootte en de onderlinge verhouding van de risico’s. Het is dus beter een kans en een schade in te schatten ondanks alle
tekortkomingen, dan om dit niet te doen. Overigens kunnen ervaringscijfers erg nuttig zijn bij het inschatten van de kans en schade. Het professional judgement van de deelnemers blijft echter onontbeerlijk. Het eindproduct van de workshop is een lijst met risico's die op een gezamenlijke eenheid (geld of iets anders) zijn gewaardeerd. Risicobeheersing Nu bekend is wat de risico's zijn, kan men besluiten wat ermee wordt gedaan. Er zijn vier mogelijke maatregelen om risico’s af te weren: - het vermijden van de risicobron, bijvoorbeeld door in de projectaanpak iets te wijzigen of het overeengekomen dienstenniveau te wijzigen; - het bestrijden van de risicobron, bijvoorbeeld door het nemen van maatregelen die het risico neutraliseren of verkleinen; - het beschermen tegen de invloeden van de risicobron, bijvoorbeeld door het inbouwen van reserves; - het afwentelen van de risico's op anderen, bijvoorbeeld door het afsluiten van verzekeringen of het
aangaan van fixed-price, fixed-date en fixed-quality contracten. Overigens kan het risico ook geaccepteerd worden: ergo er worden dan geen afweermaatregelen genomen. Van alle risico's of alleen de risico's boven een bepaald bedrag kan onderzocht worden of maatregelen te nemen zijn en zo ja wat de kosten hiervan zijn. Het kwantificeren van de risico's in geld maakt de vergelijking tussen de kosten van het risico en de kosten van de maatregelen zo expliciet mogelijk. De risicomatrix krijgt dan een kolom erbij voor de kosten van de te nemen maatregelen. Op deze wijze kan men op bedrijfseconomische gronden een beslissing nemen over de te nemen maatregelen in het kader van risicomanagement. Het kwantificeren van zowel risico's als maatregelen is – als een organisatie daar enige ervaring mee heeft – heel goed mogelijk. Het blijft echter inschatten. De praktijk leert dat professional judgement
Risico
Kans
Schade
Kosten risico
Risico 1 Risico 2
0.25 0.02
200.000 2.000.000
50.000 40.000
Risico 3
0.50
9.000
4.500
Maatregel Vermijden Beschermen Afwentelen Bestrijden
Kosten maatregel 35.000 500.000 5.000 5.000
Figuur 3.2 Risicomatrix met maatregelen en kosten
31
Checklist Bij een opdrachtgever kwam men na de evaluatie van een aantal SLA’s tot de conclusie dat bij diverse SLA’s vaak hetzelfde misging. Na een kort `rondje langs de velden' werd een checklist opgesteld met de dingen die bij de diverse overeenkomsten meestal misgingen. Vaak ontbraken schriftelijke rapportages of was de communicatie helemaal niet geregeld! Alle belanghebbenden konden via het intranet over de checklist beschikken. Deze lijst bleek nuttig voor het inschatten van risico’s van nieuwe SLA’s.
een belangrijk ingrediënt blijft. De aanwezigheid van ervaren professionals (zoals leden van de NVBI) is dus zeer waardevol. De eindverantwoordelijkheid voor de risicoanalyse ligt echter bij de bestuurder van een organisatie. Een organisatie waar de auteur regelmatig kwam, had besloten dat voor iedere Service Level Agreement een risicoanalyse uitgevoerd diende te worden. Bij iedere SLA vond men het inventariseren en vooral het prioriteren van de risico's erg moeilijk. Vaak werd gezegd dat de uiteindelijke getallen weinig zeiden en bovendien afhankelijk waren van de deelnemers, de waan van de dag en dergelijke. Op zich is deze kritische noot terecht. Uit enkele SLA-evaluaties bleek echter ook dat de zaken die expliciet in de risicoanalyse stonden, niet misgegaan waren. Blijkbaar heeft het SLA-project door de focus op risico's zichzelf behoed voor missers op die aspecten. Ondanks de nadelen en schijnnauwkeurigheid was de conclusie van het management dat het uitvoeren van risicoanalyses uitermate nuttig was!
32
Risicotracking Tijdens de looptijd van de SLA veranderen zaken zowel binnen als buiten wat in de SLA is voorzien. Hierdoor doemen nieuwe risico's op en worden bekende risico's groter of kleiner. Het verdient aanbeveling de geïnventariseerde risico's te volgen en gespitst te zijn op het ontstaan van nieuwe risico's. Daarnaast kunnen de genomen maatregelen meer of minder effectief zijn of hebben deze maatregelen mogelijk onverwachte bijeffecten. Ook de maatregelen verdienen dus regelmatig aandacht. Bij omvangrijke SLA’s wordt op regelmatige basis geëvalueerd. Zeker als een SLA langere tijd duurt, laten we zeggen meer dan drie jaar, kan dit zeer waardevol zijn. Evaluaties om de drie maanden tot een half jaar zijn geen uitzondering. Tijdens zo’n evaluatie kan een nieuwe risicoanalyse worden uitgevoerd of kunnen de genomen maatregelen geëvalueerd worden. Hoewel het een taak is van iedere bij de SLA betrokken functionaris nieuwe risico's te onderkennen en bestaande risico's te volgen, heeft de service-levelmanager een initiërende en coördinerende rol. Prestatie-indicatoren – meten is weten Essentieel is dat de overeen te komen prestatie-indicatoren te meten zijn. Dit impliceert keiharde meetresultaten. Indien de hardheid niet honderd procent is, dan zal bij confrontatie met de resultaten de verantwoordelijke partij of diens manager zijn verantwoordelijkheid trachten af te wentelen op de zachte factoren. Dat betekent dat de SLA niet zal gaan werken.
Binnen de ICT-dienstverlening dient men rekening te houden met een groot aantal verschillende prestatieindicatoren. De literatuur geeft daarvan lange lijsten, vaak in een boomstructuur samengevat (zoals de befaamde Boom van Boehm). De klassieker is echter de onderstaande trits: - beschikbaarheid; geeft aan hoeveel procent van de tijd het systeem beschikbaar is; - betrouwbaarheid; geeft aan in hoeveel procent van de gevallen de informatiebronnen correct en up-todate zijn; - responsetijd; geeft aan in hoeveel tijd een percentage van de gevraagde services is afgehandeld. Bijvoorbeeld vijfennegentig procent van de serviceaanvragen is in maximaal honderdtwintig seconden afgehandeld. Hoewel beschikbaarheid belangrijk is, prevaleert de betrouwbaarheid als sleuteleenheid, omdat betrouwbaarheid in zekere zin een voorwaarde is voor de beschikbaarheid. Is een systeem negentig procent beschikbaar, dan lijkt dat een mooi cijfer. Maar als dit betekent dat tien procent van de gegevens niet aanwezig is of niet betrouwbaar is, dan is de bruikbaarheid van het systeem toch niet erg goed. De gebruiker merkt het meeste van de responsetijd. Hoge responsetijd maakt het werken met het systeem tot een ergerlijke bezigheid en vormt daarom een bedreiging voor de productiviteit en de motivatie van de gebruikers. Beschikbaarheid, betrouwbaarheid en responsetijd zijn weliswaar belangrijke onderliggende factoren,
maar geven nog niet altijd een volledig beeld. De volgende lijst van prestatie-indicatoren uit een actuele SLA maakt dat duidelijk: - wat zijn de service-uren van het informatiesysteem? - wat is de beschikbaarheidgraad van het informatiesysteem? - wat zijn de responsetijden? - wat zijn de online-systeemprestaties? - wat is de verwachte gemiddeld benodigde tijd om het informatiesysteem na een foutmelding operationeel te krijgen? - wat is het te verwachten tijdsverloop tussen twee fouten in het informatiesysteem, waardoor het niet beschikbaar is? De serviceniveaus zullen moeten worden berekend met behulp van kengetallen die de navolgende elementen zullen moeten bevatten: - service-uren; service-uren bestaan uit uren die bemand en onbemand beschikbaar zullen zijn. Bemand beschikbaar zijn is het beschikbaar zijn van het informatiesysteem met voldoende en juist gekwalificeerd personeel van de leverancier. Onbemand beschikbaar zijn is het beschikbaar zijn van het informatiesysteem zonder dat menselijk toezicht noodzakelijk is; - beschikbaarheid; het zonder enige vorm van storing of hapering in alle opzichten goed functioneren van het informatiesysteem; - beschikbaarheidsgraad; de verhouding (weergegeven in procenten) tussen het aantal uren dat het informatiesysteem gedurende een bepaalde perio-
33
de (bijvoorbeeld één maand) beschikbaar is geweest en het totaal aantal uren in die periode. Rapportage en overleg Evaluatie en verbetering vormen de kern van het servicemanagement. De gemaakte afspraken moeten gecontroleerd en geëvalueerd kunnen worden opdat de dienstverlening verbetert. De praktijk van overleg zal leren of de afspraken onhaalbaar of juist gemakkelijk haalbaar zijn en of ze bijgesteld moeten worden. Het verdient aanbeveling om de leverancier voor het afsluiten van de overeenkomst een voorbeeldrapportage te laten opleveren, met realistische cijfers. Desgewenst kan men dit voorbeeld als bijlage toevoegen aan de SLA. Rapportage over het prestatieniveau Meestal zal alleen de leverancier in staat zijn om een statistiek te maken van de kwaliteit van zijn eigen functioneren, om op basis daarvan te rapporteren over de bereikte prestatieniveaus. Om de geloofwaardigheid van zijn rapportage te vergroten kan een onafhankelijke derde gevraagd worden de betrouwbaarheid van de gegevens te verifiëren. Men dient men goed vast te leggen over welke periode telkens gerapporteerd wordt. Het is van groot belang om vergelijkbare periodes te kiezen, zodat de ontwikkeling in de dienstverleningsniveaus duidelijk wordt. Dagen, weken of kwartalen voldoen als eenheid beter dan maanden. Bij kritische applicaties is rapportage over een korte periode noodzakelijk; afhankelijk van het type applicatie ook nog naar een
34
tijdsperiode per dag: kantooruren, piek- en daltijden enzovoort. Verder is het nuttig om vast te leggen dat ad hoc meer gedetailleerde informatie over het prestatieniveau kan worden gevraagd, opdat men het gedrag van bepaalde onderdelen van de informatievoorziening onder de loep kan nemen. Rapportage over het gebruik De leverancier produceert meestal ook de statistieken over het feitelijk gebruik van de geautomatiseerde informatievoorziening. Hij doet dit als context voor en in samenhang met de rapportage over het prestatieniveau. Rapportage over de kwaliteit van het onderhoud Een helpdesk die het spoedonderhoud coördineert, kan ook de rapportage over de uitvoering verzorgen. Deze rapportage zal statistisch van aard zijn en bijvoorbeeld vermelden hoeveel urgente problemen binnen een uur werden opgelost, hoeveel binnen twee uur enzovoort. Acceptatierapport van de leverancier over de applicatie Wanneer de leverancier de applicaties van de systeemontwikkel- en onderhoudsorganisatie telkens test voordat een systeem voor het eerst of opnieuw in productie wordt genomen, ligt het voor de hand om ook acceptatietestrapporten op te stellen; daarin worden de testresultaten vergeleken met de acceptatiecriteria. Rapportage over de bijdragen van derden Afhankelijk van welke bijdragen van derden betrok-
ken worden in het Service Level Agreement, kan men hiervoor diverse rapportagevormen afspreken. Financiële aspecten De financiële aspecten betreffen in de eerste plaats de periodieke kosten die de opdrachtgever moet betalen en de vorm van de betaling. Dat levert meestal weinig problemen op. Daarnaast dienen echter ook boeteclausules overwogen te worden. Deze dienen realistisch te zijn en de leverancier een incentive te geven om de belangen van de afnemer na te streven. Kosten De hoogte van de te betalen vergoeding moet worden vastgelegd, inclusief stijgingen en grenzen aan stijgingen. Hierdoor krijgt de opdrachtgever zekerheid over de jaarlijkse kosten. Vast te leggen items zijn: - vergoeding opdrachtgever per ... in termijnen van ...; - prijzen in valuta ..., inclusief of exclusief btw; - prijsstijgingen gemaximaliseerd tot ... procent per ... of maximale prijsstijgingen conform consumenten-prijsindexcijfer van CBS. Betaling Afspraken over de betaling van overeengekomen vergoedingen dienen te worden vastgelegd om misverstanden of problemen hieromtrent te voorkomen. Vast te leggen items: - betalingstermijn ... dagen na facturering; - bankrekeningnummer waarop betaald dient te worden;
- regels die gelden bij te late betaling; - gewenste handelingen als opdrachtgever niet akkoord gaat met de factuur. Boete -, bonusclausules en escalatieprocedures Een SLA behoort zorgvuldig aandacht te besteden aan de mogelijkheid van boeteclausules die in werking treden indien de service levels niet gehaald worden. De meningen zijn verdeeld over boetes en boeteclausules. De een zegt dat belonen beter werkt dan straffen, de ander zegt dat juist een boete ervoor zorgt dat de opdrachtnemer scherp blijft. Het opnemen van boetes zal per situatie overwogen moeten worden. Behalve te betalen boetes hebben ook extra betalingen in de vorm van bonusclausules hun plaats in veel SLA’s. De betrokken partijen kunnen dit overeenkomen om op deze manier een hogere beschikbaarheid of andere prestaties te belonen. Er zal echter wel van tevoren duidelijk vastgesteld moeten zijn welke doelstellingen bereikt dienen te worden en hoe de prestaties gemeten worden. Escalatieprocedures regelen de communicatie tussen de diverse niveaus van management wanneer er problemen zijn met de dienstverlening. Deze escalatieprocedures moeten dan opgenomen worden in de SLA. De volgende escalatieprocedure kan overwogen worden om de ICT-dienstverlener aan te spreken op het niet voldoen aan de eisen in de SLA: 1. ICT-dienstverlener aanspreken op het niet-realiseren van de afgesproken norm. Dit geldt voor de eerste keer dat dit in een overleg vastgesteld wordt;
35
2. dwingende afspraken met opdrachtnemer maken bij het voor de tweede keer niet realiseren van de afgesproken norm. Dit betreft afspraken over maatregelen die de ICT-dienstverlener moet uitvoeren ter verbetering van de dienstverlening; 3. het indienen van een formele klacht; 4. bij het niet realiseren van de norm is de opdrachtgever gerechtigd tot het opleggen van een boete aan opdrachtnemer per keer dat de norm niet wordt gerealiseerd (bijvoorbeeld de beschikbaarheidseis). Vaststelling hiervan vindt plaats tijdens het overleg; 5. bestuurs- of directieoverleg gecombineerd met dwingende afspraken; 6. schriftelijk in gebreke stellen; 7. ontbinding van de overeenkomst.
36
Conclusie Het opstellen en afsluiten van een SLA, in het kader van een ICT-dienstverleningscontract, is een uitermate belangrijke en gevoelige zaak. Risicomanagement, goede prestatie-indicatoren, adequate rapportage en overleg en nauwkeurige regeling van de financiën zijn daar belangrijke bouwstenen in. U mag ervan uitgaan dat uw wederpartij, leverancier of afnemer ook graag werkt met een goede overeenkomst. Inzet, maar ook expertise en onafhankelijk advies zijn hierbij belangrijke ingrediënten. Een ervaren SLA-consultant (NVBI’er) kan daarbij helpen en u voor misstappen behoeden. Een goed contract en een goede SLA zijn ook hier het halve werk.
