Geld tellen of innen?

Afstudeerscriptie Koninklijk NIVRA - Universiteit Nyenrode Doctoraal Accountancy

“Geld tellen of innen?” Risicoanalyse cash processing bij een financiële instelling en interne beheersing in geval van outsourcing

Naam Adres Studentnummer Telefoon E-mail

: Marcelline Bloemheuvel-Brouwers : Ringvaartpark 42 : 2907 LH Capelle aan den IJssel : 950130 : 06-1098 1706 : [email protected]

Begeleider Examinator

: Dr. W.A.J. van der Zande RE MIM : Prof. Dr. W.F. de Koning RA RE

Vakgroep

: Bestuurlijke Informatieverzorging

Datum verdediging

: 15 Juni 2007

Pagina 1


VOORWOORD Een woord van dank aan mijn werkgever, die mij de gelegenheid heeft geboden om te participeren in projecten gericht op outsourcing. Op deze wijze was het voor mij mogelijk om mij te kunnen verdiepen in de outsourcing materie en daarmee samenhangende zaken bij een financiële instelling. Daarnaast ook een woord van dank aan mijn scriptiebegeleider, de heer W. Van Der Zande, die mij in het gehele traject heeft gesteund en heeft voorzien van nuttige adviezen. Voor het schrijven van deze scriptie heb ik gebruik gemaakt van rapporten van diverse organisaties zoals KPMG, Deloitte en Significant. Bij deze een woord van dank richting de mensen die hebben meegezocht naar relevante artikelen en documentatie. Deze scriptie had niet tot stand kunnen komen zonder de medewerking van mijn collegae en medewerkers van diverse andere organisaties die bereid waren om deel te nemen aan dit onderzoek en tijd hebben vrijgemaakt voor het kunnen afleggen van interviews, waarvoor dus ook mijn dank. ´And last but not least´, mijn man Aart die mij in velerlei opzichten gesteund heeft tijdens deze periode en die menig zeiluurtje heeft moeten missen gezien de tijd die ik moest besteden aan het schrijven van deze scriptie.

Pagina 2


SAMENVATTING Uitbesteding en andere varianten op sourcing, inclusief combinaties hiervan (zogenaamde multisourcing) zijn op dit moment “hot”. Steeds meer (ook niet ICT-) ondernemingen besluiten, vanwege diverse redenen, om processen of delen ervan uit te besteden aan een derde partij. De uitvoering van een uitbestedingproject gaat echter niet zonder slag of stoot. In het uitbestedingproces zijn talloze faal- en succesfactoren, waarmee de deelnemende partijen rekening moeten houden. Indien de risico’s niet voldoende beheerst zijn of kunnen worden, leidt dit vaak tot het tussentijds beëindigen van de uitbestedingovereenkomst met alle gevolgen van dien (bijv. extra kosten, problemen om proces weer ‘in-house’ te nemen). Reden te meer extra aandacht te besteden aan de praktische toepasbaarheid van de mogelijke beheersingsmaatregelen. Het (kwalitatieve) onderzoek is uitgevoerd bij Fortis Bank Nederland en is gericht op de beheersingsvraag bij uitbesteding van het geldverwerkingsproces. Het geldverwerkingsproces bevat de afstorting van het (chartale) geld door de transporteur bij het bankkantoor, het tellen van het geld door de leverancier bij een zogenaamd geldtelcentrum en het (fysiek) vervoeren en afstorten van de geldvoorraden naar DNB. De onderzoeksdoelstellingen zijn: “(1)Het onderzoek is gericht op het verkrijgen van kennis en inzicht met betrekking tot de aanwezige risico’s van het geldverwerkingsproces bij een bancaire instelling. (2) Daarnaast is het onderzoek er op gericht om kennis en inzicht te verwerven van de aanwezige risico’s van geldverwerking in geval van outsourcing met inachtneming van de door toezichthouders gestelde voorwaarden ten aanzien van outsourcing. (3) Tenslotte is het onderzoek er op gericht om te komen tot inzichten met betrekking tot mogelijk te nemen beheersingsmaatregelen voor het verminderen resp. mitigeren van de gesignaleerde risico’s in geval van outsourcing.” De beheersingsproblematiek van het geldverwerkingsproces Fortis Bank Nederland heeft haar geldverwerkingsproces voor een deel uitbesteed aan een leverancier. Aan het uitbesteden van het geldverwerkingsproces kleven tal van risico’s (beheersrisico, financieel risico, operationeel risico, IT-risico), die voor de bank in voldoende mate beheersbaar moeten zijn. Daarnaast stelt de Nederlandse toezichthouder (in casu DNB) aanvullende eisen als een bank specifieke processen (of delen daarvan) wil gaan uitbesteden.

Pagina 3


De bank heeft voor uitbesteding een beleid opgesteld, waarin de definitie is overgenomen die door DNB wordt gehanteerd in haar regelgeving. In de praktijk blijkt dat de toepasbaarheid van deze definitie nog wel eens tot verwarring kan leiden en hierdoor een risico kan ontstaan van het onterecht niet herkennen van een sourcingproces met als gevolg dat bepaalde beheersingsmaatregelen niet worden geïmplementeerd. Het benaderen van het sourcingvraagstuk vanuit de beheersingsvraag kan hiervoor een oplossing bieden. De bank heeft, voor de risico’s inherent aan de uitbesteding van het geldverwerkingsproces, in samenwerking met de leverancier, adequate maatregelen getroffen om de risico’s beheersbaar te houden. Deze maatregelen zijn voornamelijk van organisatorische, contractuele en procedurele aard. Van de maatregelen die mogelijk zijn voor het verkrijgen van external assurance (bijv. door middel van SAS-70 verklaringen, accountantsverklaringen e.d.), wordt echter (nog) weinig gebruik gemaakt. Beheersingsproblematiek outsourcing in algemene zin De laatste onderzoeksdoelstelling beperkt zich niet enkel tot de beheersingsproblematiek rondom het uitbesteden van het geldverwerkingsproces, maar ook tot de beheersing van uitbestedingsrisico’s in algemene zin. Veel beheersingsmaatregelen zijn procedureel, organisatorisch en contractueel te realiseren. Contractuele maatregelen zijn veelal geïmplementeerd, maar de afspraken tussen leverancier en uitbesteder worden echter niet altijd volledig gerealiseerd. Het onderzoek toont aan dat hiervoor diverse oorzaken zijn, te weten: -

Een (te) vergaande juridisering van (contractuele) bepalingen, waardoor er weinig ruimte is voor flexibiliteit;

-

Een te grote verwachtingskloof tussen uitbesteder en leverancier, die drukverhogend werkt voor de relatie tussen beiden partijen;

-

Te weinig aandacht voor control vanuit de leverancierskant voor de specifieke weten regelgeving in de contractfase;

-

Onderschatting van de vorm en belang van de relatie tussen de uitbesteder en de leverancier.

Voor het beheersen van deze risico’s zijn, ongeacht welk proces, tenminste 2 partijen nodig; de uitbesteder en de leverancier. De kwaliteit van de relatie tussen de partijen, betrokken in de overeenkomst, is essentieel voor een waarborg voor continuïteit. De relatie zal gebaseerd moeten zijn op onderling vertrouwen en benaderd moeten worden vanuit een partnership-gedachte (‘win-

Pagina 4


win’ situatie). In de praktijk blijkt dat de uitvoering van een uitbestedingstraject vanuit deze gedachte en de handhaving ervan erg moeilijk is. Om de partnership-relatie meer gestalte te kunnen geven en de haalbaarheid van afspraken te verhogen, kunnen de volgende maatregelen worden getroffen: -

Het ontwikkelen en implementeren van programma’s voor relatiemanagement;

-

Het instellen van compliance functies bij leveranciers;

-

Het ontwikkelen van volwassenheidsmodellen voor organisaties op procesgebied.

Daarnaast zou een nader onderzoek kunnen worden uitgevoerd naar de faal- en succes factoren van de opbouw en instandhouding van partnership relaties.

Pagina 5


INHOUDSOPGAVE LIJST AFKORTINGEN........................................................................................................................8 1.

INLEIDING EN ONDERZOEKSDOELSTELLING.................................................................9 1.1 INLEIDING ...............................................................................................................................9 1.2 PROBLEEMSTELLING .........................................................................................................11 1.3 OPZET VAN HET ONDERZOEK ..........................................................................................13

2.

CASH PROCESSING; HET PROCES EN DE RISICO’S ......................................................15 2.1 INLEIDING .............................................................................................................................15 2.2 CASH PROCESSING BIJ FORTIS BANK .............................................................................15 2.3 ADMINISTRATIEVE ORGANISATIE GELDVERWERKING............................................19 2.4 CASH PROCESSING EN RISICO’S.......................................................................................20 2.5 SAMENVATTING ..................................................................................................................21

3.

OUTSOURCING: MOTIEVEN, CRITERIA EN RISICO’S ..................................................22 3.1 INLEIDING .............................................................................................................................22 3.2 WAT BETEKENT OUTSOURCING? ....................................................................................22 3.2.1 Algemeen...............................................................................................................................22 3.2.2 Sourcing varianten.................................................................................................................22 3.2.3 Definitie volgens toezichthouders .........................................................................................25 3.2.4 Definitie volgens de financiële instelling ..............................................................................27 3.2.5 Definitie in de praktijk...........................................................................................................29 3.2.6 Samenvatting .........................................................................................................................29 3.3 COMPLIANCE KADER VOOR UITBESTEDE ACTIVITEITEN ........................................30 3.3.1 Algemeen...............................................................................................................................30 3.3.2 Regelgeving volgens toezichthouders ...................................................................................30 3.3.3 Regelgeving volgens de financiële instelling ........................................................................35 3.3.4 Samenvatting .........................................................................................................................36 3.4 MOTIEVEN VOOR OUTSOURCING....................................................................................37 3.5 RISICO’S RONDOM OUTSOURCING .................................................................................39 3.5.1 Inleiding.................................................................................................................................39 3.5.2 In de praktijk erkende algemene risico’s ...............................................................................39 3.5.3 Risico’s in relatie tot cash processing....................................................................................41 3.5.4 Samenvatting .........................................................................................................................43

4.

OUTSOURCING VAN CASH PROCESSING EN BEHEERSINGSMAATREGELEN......45 4.1 INLEIDING .............................................................................................................................45 4.2 BESLUITVORMING TOT UITBESTEDING ........................................................................47 4.3 ORGANISATORISCHE MAATREGELEN ...........................................................................49 4.4 PROCEDURELE MAATREGELEN.......................................................................................51 4.5 CONTRACTUELE MAATREGELEN ...................................................................................53 4.6 ASSURANCE ..........................................................................................................................56 4.7 MEETBAARHEID EN MONITORING VAN MAATREGELEN..........................................57 4.8 SAMENVATTING ..................................................................................................................58

5.

OUTSOURCING: ‘AWARENESS FIRST’...............................................................................60 5.1 INLEIDING .............................................................................................................................60 5.2 BEWUSTZIJN: WANNEER SPREKEN VAN OUTSOURCING?.........................................60 5.3 BEWUSTZIJN: STRATEGISCHE POSITIONERING...........................................................62 5.4 BEWUSTZIJN: RELATIE MET LEVERANCIER .................................................................63 5.5 BEWUSTZIJN: VOLWASSENHEID ORGANISATIE..........................................................64 5.6 SAMENVATTING ..................................................................................................................67

Pagina 6


6.

KWALITATIEF ONDERZOEK................................................................................................69 6.1 INLEIDING .............................................................................................................................69 6.2 DOEL EN OPZET VAN HET ONDERZOEK.........................................................................69 6.3 AANPAK KWALITATIEF ONDERZOEK ............................................................................70 6.4 ONDERZOEKSRESULTATEN..............................................................................................71 6.4.1 Algemeen...............................................................................................................................71 6.4.2 Outsourcing kader..................................................................................................................71 6.4.3 Compliance kader ..................................................................................................................76 6.4.4 Risicokader ............................................................................................................................78 6.4.5 Beheersingskader...................................................................................................................82 6.5 SAMENVATTING KWALITATIEF ONDERZOEK .............................................................88

7.

CONCLUSIES EN AANBEVELINGEN ...................................................................................91 7.1 INLEIDING .............................................................................................................................91 7.2 EVALUATIE ...........................................................................................................................91 7.2.1 Onderzoeksdoelstelling .........................................................................................................91 7.2.2 Eerste onderzoeksvraag .........................................................................................................92 7.2.3 Tweede onderzoeksvraag.......................................................................................................92 7.2.4 Derde onderzoeksvraag .........................................................................................................93 7.2.5 Vierde onderzoeksvraag ........................................................................................................94 7.2.6 Vijfde onderzoeksvraag .........................................................................................................94 7.3 ADVIEZEN/ AANBEVELINGEN..........................................................................................96 7.4 RECENTE ONTWIKKELINGEN...........................................................................................98

LITERATUURLIJST ..........................................................................................................................99 BIJLAGE 1. SAMENVATTING RAPPORT KPMG ....................................................................101 BIJLAGE 2. ORGANISATIESTRUCTUUR FINANCIËLE INSTELLING ..............................102 BIJLAGE 3. FORTIS BANK : FINANCIELE CIJFERS EN FEITEN .......................................103 BIJLAGE 4. ORGANISATIESTRUCTUUR PAYMENTS/ IPPO................................................104 BIJLAGE 5. RESULTATEN ONDERZOEK DELOITTE ............................................................106 BIJLAGE 6. INHOUD BUSINESS CASE VOLGENS RIJSENBRIJ..........................................108 BIJLAGE 7. SYNDICALE SPANNINGEN ROND OUTSOURCING ........................................110 BIJLAGE 8. OVERZICHT GEÏNTERVIEWDE PERSONEN.....................................................111 BIJLAGE 9. VRAGENLIJST INTERVIEWS ................................................................................112

Pagina 7


LIJST AFKORTINGEN

DNB

: De Nederlandse Bank

ROB

: Regeling Organisatie en Beheersing

AFM

: Autoriteit Financiële Markten

NVB

: Nederlandse Vereniging van Banken

SLA

: Service Level Agreement

SLM

: Service Level Management

BIS

: Bank for International Settlements

GTC

: Geld Tel Centrum

TPM

: Third Party Mededeling

SAS-70

: Statement of Audit Standards no.70

INK

: Instituut Nederlandse Kwaliteit

MKB

: Midden en Klein Bedrijf

Pagina 8


1. INLEIDING EN ONDERZOEKSDOELSTELLING 1.1

INLEIDING

Het uitbesteden (‘outsourcen’) van processen is sinds eind jaren negentig steeds actueler aan het worden. Er gaat geen dag voorbij of er verschijnt in een of ander tijdschrift of nieuwsblad wel een artikel gerelateerd aan dit fenomeen. Tegenwoordig is zelfs een tijdschrift op de markt genaamd ‘Outsource Magazine’ dat 6 maal per jaar verschijnt en is in oktober 2006 een leerstoel op dit gebied gecreëerd aan de universiteit Nyenrode. Grote belangstelling dus voor deze activiteit, zo ook bij de financiële instelling, waar de auteur van dit rapport sinds 2006 werkzaam is. Waarom besteden ondernemingen activiteiten of processen uit aan derden? ”Het uitbesteden van (primaire) bedrijfsprocessen kan leiden tot efficiencyverbeteringen en kostenverlagingen. Door specifieke deskundigheid, een frisse blik, grotere proceskennis of een meer resultaatgerichte instelling is de opdrachtnemer soms beter in staat dergelijke activiteiten uit te voeren. De opdrachtgever kan zijn kosten reduceren en de inzichtelijkheid en voorspelbaarheid ervan vergroten 1 ”. Dat ondernemingen kiezen voor outsourcing, onder andere uit hoofde van kostenbesparing, wordt door KPMG bevestigd in haar onderzoeksrapport. Uit dit recent onderzoek blijkt dat financiële instellingen activiteiten uitbesteden met als belangrijkste reden het kostenmotief, nauw op de voet gevolgd door verbetering dienstverlening, kwaliteit en kennis en kunde 2 . De samenvatting van dit rapport is opgenomen in bijlage 1.In dit onderzoek is op een aantal punten van deze onderzoeksresultaten gebruik gemaakt.

Figuur 1: Classificatie beoogde voordelen outsourcing (Bron: KPMG rapport)

1

Reedijk J. en Berkel F. van, “Het uitbesteden van primaire bedrijfsprocessen” KPMG International “Future Sourcing; Evaluating the risks and benefits of sourcing; Financial Services” (2006)

2

Pagina 9


Het kunnen realiseren van deze beoogde voordelen geldt natuurlijk voor zolang de aan outsourcing verbonden risico’s door de onderneming voldoende beheerst worden. Bij een financiële instelling, vooral bij een bancaire instelling, is de kwalitatieve borging door de leverancier essentieel in verband met onder andere het enorme reputatierisico dat de uitbesteder hierdoor loopt 3 . De Nederlandse Bank (DNB) heeft, in haar functie als toezichthouder voor financiële instellingen, in opvolging van de diverse ontwikkelingen op het gebied van outsourcing, in 2004 in haar ROB-richtlijnen 4 (Regeling Organisatie en Beheersing) specifieke criteria gesteld voor (sub)processen die door een financiële instelling, onder toezicht staand van DNB, worden uitbesteed. DNB heeft het blijkbaar belangrijk geacht deze “nieuwe” activiteit in haar regelgeving op te nemen. Naar aanleiding van de aanscherping van de ROB heeft Fortis Bank in 2005 een (interne) beleidsnota opgesteld waarin o.a. de randvoorwaarden zijn opgenomen voor het uitbesteden van (sub)processen. Naast het feit dat de toezichthouder specifieke regels stelt voor een bank bij het uitbesteden van activiteiten of (deel)processen speelt ook de maatschappelijke functie van de bank een belangrijke rol. Het genieten van maatschappelijk vertrouwen en het hieraan gerelateerde reputatierisico is voor een bank een zeer relevante kritische succesfactor. Bij het outsourcen van (sub)processen is het dan ook belangrijk dat een goede afweging plaatsvindt van de aanwezige risico’s en de te nemen beheersingsmaatregelen om risico’s te verkleinen resp. te mitigeren. Zorgvuldigheid in het besluitvormingstraject is dus gewenst. Op het moment dat een (sub)proces wordt geoutsourced, kunnen de kwaliteit en betrouwbaarheid van het (sub)proces niet meer volledig worden gewaarborgd door middel van interne beheersingsmaatregelen en een adequate administratieve organisatie en zal dit dus op een andere manier moeten plaatsvinden respectievelijk beheersbaar moeten zijn. Diverse banken hebben, evenals Fortis Bank (hierna te noemen als ‘de bank’), een gedeelte van het chartale geldbeheer proces uitbesteed aan derden. Geldverwerking is een bancair proces, waarbij het erg belangrijk is dat het reputatierisico, inherent aan de maatschappelijke functie, zo klein mogelijk is, zo niet nihil. Een belangrijk onderdeel van het geldbeheer proces is het vullen en ledigen van de geldautomaten, inclusief het tellen van de inhoud. In Duitsland heeft de grootste Duitse geldtransporteur, Heros, in februari 2006 uitstel van betaling aangevraagd nadat bleek dat

3

“Een kredietinstelling kan slechts functioneren indien zij het vertrouwen geniet van het publiek”; uit: Starreveld, “Bestuurlijke Informatieverzorging”, hoofdstuk XVII.

Pagina 10


mogelijk 300 miljoen Euro was gefraudeerd door middel van het “slepen” van geld. De dochteronderneming Nordcash heeft zich gespecialiseerd in het ophalen, tellen en bijschrijven van de dagopbrengsten van supermarkten en warenhuizen alsmede het vullen en ledigen van geldautomaten. Aangezien de Heros-groep met een marktaandeel van 35% de grootste geldtransporteur in Duitland is, leidde dit voor de banken tot een continuïteitsrisico ten aanzien van het vullen en ledigen van geldautomaten 5 . De Nederlandse Vereniging van Banken (NVB) heeft de oorzaken van deze fraude bestudeerd om zodoende inzicht te krijgen in de vereiste (beheersings)maatregelen om een dergelijke fraude in de toekomst te voorkomen. De Heros-zaak is een sprekend voorbeeld van een risico dat een onderneming loopt bij outsourcing, zeker als sprake is van transport van (chartaal) geld, en hiermee aanleiding om de problematiek van outsourcing eens nader te onderzoeken. Deze scriptie gaat over het uitbesteden van het proces van geldverwerking (onderdeel van het chartale geldbeheerproces). In deze scriptie wordt hieronder verstaan het tellen van het geld door een GTC 6 , inclusief het transport van de bank naar het GTC en naar de DNB. Het GTC telt dagelijks gemiddeld 2,5 mio Euro in opdracht van de bank. De contractwaarde bedraagt ca. 1,2 miljoen Euro op jaarbasis. 1.2

PROBLEEMSTELLING

Het managementprobleem dat aan het onderzoek ten grondslag ligt is of, in geval van outsourcing, voldoende beheersingsmaatregelen zijn of kunnen worden getroffen die de aan het (sub)proces gerelateerde risico’s mitigeert respectievelijk verlaagt tot een aanvaardbaar niveau. Eén van de (strategische) doelstellingen van Fortis Bank is het voldoen aan de door de toezichthouders gestelde eisen en het verrichten van bancaire en daaraan gerelateerde activiteiten op een dusdanige wijze dat het reputatierisico minimaal is. Dit leidt tot de volgende onderzoeksdoelstelling(en): “(1)Het onderzoek is gericht op het verkrijgen van kennis en inzicht met betrekking tot de aanwezige risico’s van het geldverwerkingsproces bij een bancaire instelling. (2) Daarnaast is het onderzoek er op gericht om kennis en inzicht te verwerven van de aanwezige risico’s van geldverwerking in geval van outsourcing met inachtneming van de door toezichthouders gestelde voorwaarden ten aanzien van outsourcing.

4

Vanaf 1 januari 2007 wordt de ROB geïntegreerd in de Wet Financieel Toezicht. www.faz.net/ www.stern.de 6 GTC= Geldtelcentrum. Dit wordt nader toegelicht in hoofdstuk 2. 5

Pagina 11


(3) Tenslotte is het onderzoek er op gericht om te komen tot inzichten met betrekking tot mogelijk te nemen beheersingsmaatregelen voor het verminderen resp. mitigeren van de gesignaleerde risico’s in geval van outsourcing.” Het onderzoek zal als een kwalitatief onderzoek opgezet worden in de vorm van een case studie en worden uitgevoerd bij Fortis Bank. De reden voor deze wijze van onderzoek is dat vanwege het specifieke karakter van Fortis Bank (bancaire instelling & vertrouwelijke informatie) geen of nauwelijks onderzoek kan worden gedaan naar bestaande, vergelijkbare, situaties. Aan de hand van het uitgevoerde literatuuronderzoek zal een benaderingsanalyse worden opgesteld, die zal worden getoetst door middel van het uitvoeren van een kwalitatief onderzoek met behulp van onder andere het houden van interviews. Vanuit de literatuur zal een risicoanalyse (inclusief een analyse van de te nemen beheersingsmaatregelen) worden uitgevoerd op het geldverwerkingsproces, met inachtneming van de geldende interne en externe regelgeving, voor zover het outsourcing betreft. De uitkomsten van dit onderzoek bieden het management een helder inzicht in de aanwezige risico’s en de bijbehorende mogelijke beheersingsmaatregelen van het geldverwerkingsproces in het geval van outsourcing. Bij het in kaart brengen van de mogelijke beheersingsmaatregelen zal tevens worden ingegaan op de bij de bank geïmplementeerde beheersingsmaatregelen, waardoor mogelijke lacunes in de interne beheersing bij de bank zichtbaar zijn. Uit dit onderzoek zal voor de bank blijken waar en in welke mate een mogelijk reputatierisico aanwezig is in dit onderdeel van het geldverwerkingsproces. In opvolging van de geconstateerde leemtes in de interne beheersing zullen voorstellen worden gedaan om het aanwezige reputatierisico te verminderen of beheersingsmaatregelen te verbeteren. Daarnaast zullen de resultaten van het onderzoek enig inzicht geven in de praktische toepasbaarheid van de mogelijke beheersingsmaatregelen. Dit gedeelte van het onderzoek zal niet specifiek zijn toegespitst op het geldverwerkingsproces. Uit de onderzoeksdoelstelling kunnen de volgende deelvragen worden gedefinieerd: 1. Hoe is het geldverwerkingsproces administratief en organisatorisch ingericht. Wat zijn de mogelijke inherente risico’s bij het al dan niet het outsourcen van (een deel van) het proces? 2. Wat is de definitie respectievelijk wat wordt verstaan onder ‘outsourcing’? 3. Wat zijn de gestelde eisen ten aanzien van outsourcing uit hoofde van geldende weten regelgeving op nationaal niveau?

Pagina 12


4. Wat zijn de mogelijke beheersingsmaatregelen voor het verminderen respectievelijk mitigeren van de additionele risico’s in geval van outsourcing en welke beheersingsmaatregelen zijn geïmplementeerd in geval van het geldverwerkingsproces? 5. In hoeverre zijn de beheersingsmaatregelen realistisch en haalbaar? Bovenstaande kan schematisch als volgt worden weergegeven:

risicoanalyse cash processing

weten regelgeving

outsourcing cash processing

risico's

beheersingsmaatregelen

theorie outsourcing

Figuur 2: Onderzoekskader outsourcing cash processing

1.3

OPZET VAN HET ONDERZOEK

Deze scriptie kan globaal in drie gedeelten worden opgedeeld. Het eerste deel (hoofdstuk 2 tot en met hoofdstuk 5) bevat een beschrijving van de administratieve organisatie van het geldverwerkingsproces en de hieruit voortvloeiende risico’s, zonder dat hierop enige beheersingsmaatregelen van toepassing zijn (hoofdstuk 2). Daarnaast zal in dit deel het begrip outsourcing nader worden toegelicht, een uiteenzetting plaatsvinden van de relevante toetsingskaders (interne en externe regelgeving) en worden aangegeven wat de specifiek aan outsourcing gerelateerde risico’s zijn (hoofdstuk 3). Vervolgens zal, vanuit de in kaart gebrachte additionele risico’s als gevolge van outsourcing, een aantal beheersingsmaatregelen in kaart worden gebracht waarmee de risico’s kunnen worden gemitigeerd respectievelijk verminderd (hoofdstuk 4). In hoofdstuk 5 zal een alternatieve benaderingssystematiek worden opgesteld voor outsourcing die zal worden getoetst aan de hand van het kwalitatieve onderzoek. Het tweede gedeelte van de scriptie (hoofdstuk 6) bevat het (kwalitatieve) onderzoek. Dit onderzoek vindt plaats door middel van het uitvoeren van diverse (breedte en diepte) interviews aan de hand van vragenlijsten en/of checklisten. Het doel van de interviews is, naast de verificatie van de juistheid en volledigheid van de in kaart gebrachte risico’s en beheersingsmaatregelen in

Pagina 13


hoofdstuk 2, 3 en 4, antwoord te krijgen op een aantal vragen, te bezien vanuit verschillende onderzoeksobjecten, te weten: 1. Outsourcing kader: Is het voldoende helder wat onder outsourcing wordt verstaan en welke processen hiervoor in aanmerking komen? 2. Compliance kader: Is het voldoende helder welke eisen de toezichthouder stelt aan het uitbesteden van processen en zijn deze haalbaar? 3. Risico kader: Zijn, zowel de uitbesteder als de leverancier, voldoende bewust van de aan uitbesteding inherente risico’s en hebben ze hiervoor adequate maatregelen getroffen? 4. Beheersingskader: -

Zijn de beschreven beheersingsmaatregelen volledig en in hoeverre zijn deze realistisch?

-

Welke beheersingsmaatregelen zijn geïmplementeerd ten aanzien van het geld verwerkingsproces, zowel door de uitbesteder als de leverancier?

De scriptie wordt afgesloten met het derde deel, hoofdstuk zeven, waarin de samenvatting van en bevindingen uit de voorgaande hoofdstukken wordt weergegeven en mogelijke aanbevelingen worden gedaan ten aanzien van de beheersingsmaatregelen. In dit hoofdstuk zullen de conclusies worden weergegeven op de in dit hoofdstuk beschreven onderzoeksdoelstelling(en).

Pagina 14


2. CASH PROCESSING; HET PROCES EN DE RISICO’S 2.1

INLEIDING

Het onderzoek wordt uitgevoerd bij een internationale financiële dienstverlener op het gebied van bankieren en verzekeren. De bank biedt de particuliere, zakelijke en institutionele klanten een breed pakket van producten en diensten via de eigen kanalen, in samenwerking met het verzekeringsintermediair en via andere distributiepartners. Met een marktkapitalisatie van EUR 38,7 miljard, behoort de bank tot de twintig grootste financiële instellingen van Europa. De bank is vertegenwoordigd in ca. 50 landen en telt 58.000 medewerkers wereldwijd 7 . In paragraaf 2.2 zal het proces van geldverwerking (als onderdeel van het chartale geldbeheerproces) binnen de bank worden toegelicht. Hier wordt een omschrijving gegeven van de fasen van het geldverwerkingsproces en zal een korte toelichting worden gegeven wat onder chartaal geldbeheer wordt verstaan. In paragraaf 2.3 wordt vanuit de theorie, o.a. van Starreveld, een theoretisch kader opgesteld voor het uitvoeren van een risicoanalyse. Daarna worden in paragraaf 2.4, vanuit het in paragraaf 2.2 in kaart gebrachte proces, en de in paragraaf 2.3 uiteengezette risicoanalyse, de risico’s gedefinieerd die gerelateerd zijn aan het proces van geldverwerking. In paragraaf 2.5 vindt een korte samenvatting plaats van de belangrijkste risico’s binnen het geldverwerkingsproces.

2.2

CASH PROCESSING BIJ FORTIS BANK

Binnen het geldbeheer kan onderscheid worden gemaakt tussen chartaal en giraal geldverkeer. Chartaal geld betekent volgens het Van Dale Groot Woordenboek “contant geld”. Starreveld 8 definieert chartaal geld als een “wettig betaalmiddel in de vorm van vrij overdraagbare pasmunten, muntbiljetten en bankbiljetten”. Girale geldverwerking heeft alles te maken met het verwerken van niet-fysieke geldstromen, zoals het verwerken van bankgirokaarten of betalingen via online banking systemen. Volgens Starreveld bestaat giraal geld uit aan de cliënten toekomende tegoeden, die in de administratie van de bank zijn vastgelegd.

7

Infonet de financiële instelling Press Information Starreveld, de Mare en Joels, “Bestuurlijke Informatieverzorging”, hoofdstuk XVII, Binnenlands Betalingsverkeer

8

Pagina 15


Bij de bank is de afdeling Values & Cheques verantwoordelijk voor onder andere de verwerking en controle van de chartale geldstromen inclusief het beheer van de bijbehorende grootboek- en tussenrekeningen. Een overzicht van de organisatiestructuur is opgenomen in bijlage 2. Het chartale geldproces kan bij de bank worden onderscheiden in:

Geldverwerking (2)

Transport (1)

chartaal geldbeheer

Servicing (3)

Figuur 3: Subprocessen chartaal geldbeheer

Het chartale geldbeheer bestaat uit: 1) Het (beveiligd) transporteren van geld en waardepapieren. Het transporteren van geld en waardepapier kan worden uitgevoerd door (externe) leveranciers, zoals Brinks en Geldnet, of door de bank zelf. In casu is het waardetransport uitbesteed aan een externe leverancier. 2) Het verwerken (tellen) van geld (cash processing). Het verwerken en tellen van geld geschiedt bij zogenaamde Geld Tel Centra (GTC). Deze GTC’s zijn in eigendom van de financiële instellingen of in eigendom van derden. In het laatste geval is het tellen van geld door de bank uitbesteed aan derden. Voorbeelden van leveranciers zijn Brinks, G4S (voorheen Geldnet) en Secure Cash (voorheen Heros). 3) Het servicen van geldautomaten (ATM’s). Het servicen van de geldautomaten houdt in dat de geldautomaten worden gevuld en geledigd, alsmede het plegen van onderhoud en het oplossingen van storingen. Bij de bank worden de kantoorautomaten (de geldautomaten die zich bevinden bij een bankkantoor) geserviced door de eigen instelling. De off-premises locaties 9 worden geserviced door een externe leverancier. De bank bepaalt de hoeveelheid geld in de geldautomaten en geeft de bestelling door aan het GWK. Daarna schakelt zij de (externe) waardetransporteur in, die het geld ophaalt bij GWK en de geldautomaten vult.

9

Geldautomaten die niet (fysiek) zijn aangesloten op een kantoororganisatie van de financiële instelling.

Pagina 16


De GTC’s worden gebruikt voor 2 klantgroepen, te weten a) retailers en b) eigen gebruik. In geval van retailers (a) gaat het met name om het tellen van ontvangen geld bij GTC en de afstorting naar DNB. In geval van eigen gebruik (b) verzorgt de (externe) waardetransporteur het vervoer van en naar de kantoororganisaties en de bevoorrading en lediging van off-premises geldautomaten, inclusief het transport en de afstorting naar het GTC. De retailer bepaalt of hij de cash processing en het waardetransport, om het geld te vervoeren van plaats A naar het GTC, zelf inhuurt (een zogenaamd eigen contract) of dit via de instelling doet. De retailer blijft in alle gevallen zelf verantwoordelijk voor de afstorting naar het betreffende bankkantoor. De volgende varianten zijn mogelijk:

Situatie b)

Situatie a)

Situatie c)

Transport

Geldverwerking

Transport

Geldverwerking

Transport

Geldverwerking

Klant

Klant

Klant

Klant

Klant

Klant

contract

contract

contract

Waardetransporteur

Bank

Bank

contract

contract

GTC

Waardetransporteur

contract

Waardetransporteur

contract

GTC

contract

Bank

contract

GTC

Figuur 4: Procesvarianten cash processing

a) De retailer sluit zelf een contract af met een waardetransporteur en met een GTC. In dit geval is de retailer zelf verantwoordelijk voor risico’s uit hoofde van transport en geldverwerking. In deze situatie ontvangt de bank van het GTC de stortingsgegevens van de betreffende klant om zodoende de transactiegegevens te kunnen verwerken 10 .

10

Enkel banken kunnen een rekening hebben bij DNB en op deze wijze chartaal geld omzetten in giraal geld.

Pagina 17


b) De retailer zorgt zelf voor het waardetransport en sluit een overeenkomst met de bank voor de cash processing. De retailer is zelf verantwoordelijk voor het transport naar het GTC en de bank is verantwoordelijk voor de risico’s bij de geldverwerking. c) De retailer sluit een overeenkomst met de bank, die zorg draagt voor transport (van het bankkantoor naar het GTC) en cash processing. De bank draagt in dit geval alle risico’s. De retailer brengt het geld (of laat dit brengen door een waardetransporteur) naar het betreffende bankkantoor in (een) daarvoor bestemde sealbag(s). In het geval dat de bank zorg draagt voor de cash processing wordt hiervoor een aparte “Sealbag overeenkomst” met de klant gesloten. Het proces van cash processing is als volgt: De klant stort op dag 1 het geld in een sealbag (een sealbag is een afsluitbare plastic zak, die gebruikt kan worden om muntgeld, biljetten en cheques door klanten op kantoor of bij een waardetransporteur af te storten 11 ). Op dag 2 vindt het transport plaats naar het GTC door een transporteur, die ingehuurd is door de bank of door de klant zelf. Op de derde dag wordt het geld van de bank getransporteerd van het GTC naar DNB die het ontvangen bedrag boekt op een tussenrekening van de bank. De totale verwerkingstijd vanaf de afstorting van het geld door de klant tot en met de afdracht bij DNB bedraagt dus 3 (werk)dagen. In de praktijk kan dit echter afwijken als gevolg van transportplanningen en (specifieke) stortingsafspraken met de klant. Bij de valutadata van de boeking van deze transacties wordt wel deze doorlooptijd van 3 dagen in acht genomen. De geldverwerker verstuurt dagelijks een elektronisch bestand naar de bank waarin het totaal gestorte geld per klant (per sealbag nummer) is opgenomen. Dit elektronische bestand wordt vervolgens gebruikt om bij de klanten van de bank het gestorte geld daadwerkelijk bij te boeken op de rekening. Een en ander kan schematisch als volgt worden weergegeven:

Klant Dag 1

Dag 2

Geld Tel Centrum

DNB

Financiele instelling

afstorting in sealbag geldverwerking

Dag 3

afstorting DNB storting per sealbag

Figuur 5: Proces flow cash processing i.g.v. Seal Bag overeenkomst

In de hierboven getoonde figuur kan het transport zowel door de klant zelf (ingehuurd) geschieden als wel via de bank. Indien de klant er echter voor kiest om voor zowel het transport

11

www.infonet.nl van de financiële instelling

Pagina 18


als de cash processing zelf zorg te dragen en hiervoor contracten af te sluiten, heeft de bank geen inzicht op basis van eigen gegevens hoeveel de afstorting bedraagt en is zij hiervoor afhankelijk van de transactiegegevens van het GTC en de afloopcontrole op rekeningen van DNB.

2.3

ADMINISTRATIEVE ORGANISATIE GELDVERWERKING

Van oudsher beschikt een bank over een kasafdeling. De door de kasafdeling te verrichten diensten waren onder andere het ontvangen en/of uitbetalen van chartaal geld, het verzilveren van cheques, het wisselen van vreemde valuta en dergelijke. De kasfunctie is, volgens de terminologie en denkkader van Starreveld, een beschikkende functie. De kassier telt het ontvangen (of af te geven geldbedrag), voert diverse controles hierop uit, verifieert de juistheid van de klantgegevens (bijvoorbeeld aan de hand van legitimatiebewijs en rekeningnummer) en autoriseert de uiteindelijke transactie. Deze kasfunctie heeft, mede door de factor tijd en de technologische ontwikkelingen, een andere invulling gekregen. Het tellen van geld geschiedt tegenwoordig door speciaal daarvoor ontwikkelde apparatuur en wordt niet meer handmatig door de kassier gedaan. Opnametransacties zijn grotendeels vervangen door de geldautomaten waarbij de kassier geen tussenkomst meer heeft. Het identificeren van de klant geschiedt door middel van invoer van een bankpas in combinatie met een Pincode 12 . Starreveld geeft aan dat een van de belangrijkste maatregelen van interne controle bij banken is het aanwezig zijn van de vereiste functiescheiding. Controle op opbrengstverantwoording is haast onmogelijk, omdat een duidelijke tegenhanger van de geldbeweging in de vorm van goederen of andere inventariseerbare waarden, ontbreekt. Daarnaast komt voor dat ook geen controleverband kan worden gemaakt met benutte capaciteit. Het aanwezig zijn van de vereiste functiescheiding en organisatorische maatregelen, die een waarborg kan bieden voor juistheid, rechtmatigheid en volledigheid van verantwoordingen, lijkt hiermee dus haast een gegeven. De organisatorische maatregelen en functiescheiding dienen te waarborgen dat de essentiële functies, door Starreveld genoemd als “beschikkend, registrerend, bewarend, uitvoerend en controlerend”, duidelijk van elkaar gescheiden functioneren. In casu: de kassiersfunctie, die GTC vervult op deze wijze, mag niet belast zijn met meer dan 1 van de bovengenoemde taken. De bank ontvangt van G4S dagelijks opgaven van de gestorte bedragen per sealbag nummer. De bank verwerkt aan de hand van deze gegevens de storting op de rekening van de betreffende

12

Persoonlijk Identificatie Nummer .

Pagina 19


klant. Aan de controle op de juistheid en tijdigheid van de transacties wordt vorm gegeven doordat Fortis Bank dagelijks een afloopcontrole op de tussenrekening(en) met DNB uitvoert.

2.4

CASH PROCESSING EN RISICO’S

In geval van cash processing komt het geld niet in “handen” van de bank, maar wordt dit geteld door het GTC. In dit geval vervult GTC een beschikkende functie; zij ontvangt van de waardetransporteur het geld, telt dit, controleert het ontvangen geldbedrag en stort dit af naar DNB. De volgende risico’s kunnen worden onderkend in het geldverwerkingsproces:

Klant

Geld Tel Centrum

afstorting in sealbag

DNB

Financiele Instelling

Beheersrisico

Dag 1 geld verwerking

Dag 2

Dag 3

automatiseringsafstorting DNB

financieel risico

risico

storting per sealbag

Transportrisico Frauderisico

Figuur 6: risico’s geldverwerkingsproces

a) Transportrisico Het risico is aanwezig dat het waardetransport tussen het bankkantoor, het GTC en DNB wordt overvallen en geld wordt ontvreemd. b) Beheersrisico Het GTC ontvangt het geld van de waardetransporteur en telt het geld. Het risico bestaat dat bij het GTC op enigerwijze geld wordt ontvreemd. c) Financieel risico De detaillist stort het door hem afgetelde geld in een daarvoor bestemde Seal Bag, die wordt geopend door een medewerker van het GTC. Het door GTC getelde en verwerkte geldbedrag en het bij de DNB afgestorte geldbedrag kan afwijken van het bedrag dat is vastgesteld door de detaillist. Pagina 20


d) Frauderisico Het risico is aanwezig dat in het geldverwerkingsproces (inclusief transport) geld wordt ontvreemd als gevolg van frauduleuze handelingen, zoals bijvoorbeeld samenspanning of opzettelijk foutieve verantwoordingen. e) Operationeel risico Gedurende het proces van geldverwerking is het mogelijk dat fouten worden gemaakt als gevolg van menselijke handelen. Hierbij valt te denken aan bijvoorbeeld telfouten en invoerfouten. f)

Automatiseringsrisico (IT-risico)

Een aantal onderdelen van het geldverwerkingsproces zijn geautomatiseerd. Hierbij valt te denken aan de geldtelmachines bij het GTC en het elektronisch versturen van de data tussen GTC, DBN en Fortis Bank. Er bestaat een risico ten aanzien van de veiligheid en betrouwbaarheid van de informatie die de bank ontvangt en de continuïteit van de dataverwerking.

2.5

SAMENVATTING

In dit hoofdstuk is kort aangegeven waar cash processing uit bestaat en dat dit onderzoek zich richt op een subonderdeel van dit proces, namelijk geldverwerking. Het tellen van geld is van oudsher een taak van de kassier, maar mede door enorme technologische ontwikkelingen is deze taak (vaak) uitbesteed aan een GTC. Dit betekent dat het fysieke waardetransport ook op een andere manier wordt ingevuld en hiervoor een derde partij wordt ingeschakeld, al dan niet door de bank zelf. Door het inschakelen van derden in dit proces (figuur 3 illustreert de mogelijkheden hiervan) ontstaan een aantal procesrisico’s, die door de bank in voldoende mate moeten worden beheerst, teneinde het reputatierisico zo klein mogelijk te houden. Gezien het aantal en de aard van de geconstateerde risico’s is het interessant om de problematiek van interne beheersing van deze risico’s eens nader te bezien. In dit hoofdstuk is geen aandacht besteed aan bedrijfsrisico’s, zoals reputatierisico, compliance risico en dergelijke. Deze risico’s zullen in kaart worden gebracht bij het volgende hoofdstuk dat het proces outsourcing en de daaruit voortvloeiende risico’s behandelt.

Pagina 21


3. OUTSOURCING: MOTIEVEN, CRITERIA EN RISICO’S 3.1

INLEIDING

In dit hoofdstuk zal in kaart worden gebracht welke definities in de praktijk en door de diverse toezichthouders worden gehanteerd. Daarna zal uit de verschillende omschrijvingen een nieuwe definitie worden samengesteld. Vervolgens zal, vanuit de literatuur en beschikbare onderzoeksrapporten, worden aangegeven welke motieven aanwezig kunnen zijn om (sub)processen al dan niet te outsourcen. Daarna zal kort worden aangestipt wat de eisen zijn die door weten regelgeving worden gesteld aan het uitbesteden van activiteiten. Tot slot vindt een korte opsomming plaats van de risico’s die mogelijk kunnen voortvloeien uit het uitbesteden van activiteiten.

3.2

WAT BETEKENT OUTSOURCING?

3.2.1

Algemeen

In deze paragraaf zal vanuit diverse invalshoeken en informatiebronnen getracht worden inzicht te krijgen in de definitie van outsourcing. Wanneer is iets inkoop en wanneer is het uitbesteding? In de praktijk blijkt dit onderscheid toch niet zo eenvoudig. Echter, de scopebepaling van deze definitie is belangrijk, omdat de beheersingsmaatregelen voor outsourcing stringenter zijn dan bij inkoop. In de volgende paragrafen volgt een aantal definities zoals gevonden in diverse artikelen, tijdschriften of interne- en/of externe regelgeving. In paragraaf 3.2.6 zal ik een korte samenvatting geven wat naar mijn mening outsourcing inhoudt. 3.2.2

Sourcing varianten

In de praktijk circuleren allerlei begrippen zoals insourcing, multisourcing, offshore outsourcing e.d. In deze paragraaf wil ik heel kort aanstippen wat de verschillende, veel voorkomende, begrippen zijn die voorkomen en wat deze begrippen betekenen. Dit is geen limitatieve opsomming.

Pagina 22


Offshore outsourcing Berenschot heeft eind 2004 een onderzoek naar offshoring uitgevoerd, in opdracht van het Ministerie van Economische zaken. De doelstelling van het onderzoek 13 was het verkrijgen van inzichten in de aard, omvang en motieven voor het verplaatsen van bedrijfsactiviteiten door Nederlandse bedrijven naar het buitenland, het zogenaamde offshore outsourcing. Uit het onderzoek blijkt dat met name ICT-outsourcing zich kenmerkt door een sterke groei in het verplaatsen van activiteiten in combinatie met het verplaatsen van veel werkgelegenheid naar het buitenland. De activiteiten worden voornamelijk verplaatst naar het Midden- en Oost Europa en Azie, zoals bijvoorbeeld India. De reden om de activiteiten naar dit soort landen te verplaatsen is vaak gelegen in de lagere loonkosten. De banksector zit, volgens dit onderzoek, nog sterk in het “conservatieve” kwadrant, zoals onderstaande figuur laat zien.

Figuur 7: Offshore Outsourcing: Indeling sectoren naar categorieën 14

13

Rapport Berenschot “Aard, omvang en effecten van verplaatsen bedrijfsactiviteiten naar het buitenland”, november 2004. 14 Rapport Berenschot “Aard, omvang en effecten van verplaatsen bedrijfsactiviteiten naar het buitenland”, november 2004.

Pagina 23


In het rapport van het Basel Committee 15 is opgenomen welke financiële instellingen contracten hebben gesloten met ondernemingen in India en wat de omvang is van het aantal arbeidsplaatsen van deze outsourcingcontracten.

Figuur 8: Off-shoring: Verschuiving werkgelegenheid naar India

Inmiddels zijn deze cijfers achterhaald; bij de financiële instellingen is een trend zichtbaar bij offshoring. Een voorbeeld hiervan is ABN-AMRO dat in april 2006 heeft besloten om de afdeling Service Operations deels uit te besteden naar India. Het uitbesteden van deze dienst heeft het ontstaan van 900 arbeidsplaatsen in India tot gevolg. Inshore outsourcing Het onderscheid tussen offshore en in-shore, ook wel near-shoring genoemd, wordt gemaakt voor het aanduiden voor het wel of niet verplaatsen van een bedrijfsactiviteit naar het buitenland. Inshore of near-shore outsourcing betekent dan het uitbesteden van activiteiten naar gespecialiseerde aanbieders in de buurt. Insourcing is het tegengestelde van outsourcing. Een onderneming gaat optreden als “service provider” en gaat bedrijfsactiviteiten uitvoeren voor een “user organisatie”. Het doel van insourcing is vaak te komen tot standaardisatie, professionalisering en productiviteitsverhoging 16 . In de praktijk wordt in dit kader ook vaak gesproken over ‘shared service centers’. In de praktijk wordt ook wel eens gesproken over BPO; Business Process Outsourcing. Dit betekent dat een derde partij complete bedrijfsprocessen overneemt van een organisatie 17 . Een voorbeeld hiervan is de overdracht van de polisadministratie ‘Leven’ door Axa aan Accenture op 1 mei 2004. Het proces van polisacceptatie tot aan de uitkering is uitbesteed. Accenture is een internationale onderneming die zich onder meer heeft gespecialiseerd in het beheren van

15

The Basel Committee on Banking Supervision, “Joint Forum; Outsourcing in Financial Services”, February 2005. 16 D.J. van der Poel, “Outsourcen; onderbouwde beslissing of vergissing”, Compact 2004

Pagina 24


bedrijfsprocessen voor derden, zoals bijvoorbeeld facturatie en klantbeheer, polisadministratie en het voeren van een boekhouding. Een ander, meer recentelijk, voorbeeld van BPO is het contract in februari 2007 afgesloten tussen Ordina en Robeco. Op basis van dit contract gaat Ordina voor Robeco de IT-structuur beheren die het beleggen in fondsen en aandelen en het sparen bij de financiële dienstverlener mogelijk maakt. Het gaat hier om een 10-jarig contract met een totale contractwaarde van ca. 85 miljoen Euro. In het kader van dit onderzoek en de hierboven toegelichte varianten van outsourcing kan worden gesteld dat dit onderzoek zich vooral richt op de near-shore outsourcing variant. Cash processing is een activiteit waarbij het wenselijk is, bijvoorbeeld vanuit het transportrisico, dat de fysieke afstand tussen DNB en het GTC zo minimaal mogelijk is. Off-shoring outsourcing is een variant die in dit proces niet mogelijk zou zijn. 3.2.3

Definitie volgens toezichthouders

Het toezicht op financiële instellingen wordt in Nederland uitgevoerd door de DNB en de Autoriteit Financiële Markten (AFM). Het toezicht van DNB richt zich op de financiële soliditeit van financiële ondernemingen en de stabiliteit van het financiële stelsel. Zij ziet er op toe dat de banken op verantwoorde wijze hun bedrijf uitvoeren en voldoen aan bepaalde minimumeisen behorende bij het vergunningenstelsel. De AFM richt zich als gedragstoezichthouder op het bevorderen van een ordelijk en transparant marktproces en de zuivere verhoudingen tussen marktpartijen. 3.2.3.1 DNB Zoals in de voorgaande paragraaf reeds vermeld, is DNB een van belangrijkste toezichthouders voor de financiële instelling. Voor het kunnen uitoefenen van de functie van toezichthouder heeft DNB een richtlijn uitgevaardigd: de Regeling Organisatie en Beheersing (ROB). De grondslag van de ROB is de Wet Toezicht Kredietwezen (Wtk 1992). De regeling heeft tot doel richtlijnen en aanbevelingen te geven voor de organisatie en beheersing van bedrijfsprocessen bij instellingen. Uitgangspunt is een beheerste en integere bedrijfsvoering te bereiken en te onderhouden. Primair gaat het dus om het 'in control' zijn van de gehele organisatie.

17

VNU Business Publications “Accent op Business Process Outsourcing”, januari 2005

Pagina 25


DNB vermeldt in haar ROB een definitie die is toegespitst op het bankwezen: “uitbesteding, het door andere groepsentiteiten of door onafhankelijke derden op structurele basis laten leveren van diensten, goederen of faciliteiten die deel uitmaken van de bancaire of daaraan ter ondersteuning verlenende bedrijfsprocessen , behoudens zover het betreft inkoop 18 ”. De toezichthouder maakt dus geen verschil tussen interne en externe outsourcing. De service organisatie hoeft volgens DNB niet per se een derde te zijn. De definitie zoals de bank deze hanteert is afgeleid van de definitie die DNB hanteert, zoals zal blijken in de volgende paragraaf. De toezichthouder geeft in zijn definitie aan dat inkoop niet wordt gezien als uitbesteding. In de ROB is inkoop beschreven als: “het laten leveren van diensten, goederen of faciliteiten door genoemde partijen (1) zonder dat informatie over of van de instelling in de macht van de leverancier kan komen, of (2) van gestandaardiseerde producten als marktinformatie of kantoorinventaris 19 .” In de definitie van DNB zit besloten dat het uitbesteden van een activiteit waarbij vertrouwelijke (kwetsbare) informatie de entiteit verlaat, door DNB wordt gezien als outsourcing en niet als inkoopactiviteit. Het gaat bij uitbesteding van (deel)processen steeds om risico’s die een materiele invloed kunnen hebben op de financiële prestaties, de financiële positie, continuïteit of reputatie van de instelling. Voor deze beoordeling is een onderscheid tussen bancaire en ondersteunende processen als zodanig niet relevant. Een voorbeeld hiervan is het uitbesteden van de gehele juridische functie. Deze is als zodanig geen specifiek bancair proces, maar kan wel leiden tot een enorm reputatie- of operationeel risico. 3.2.3.2 AFM Onder uitbesteding door een effecteninstelling verstaat de AFM het uitbesteden van de effectendiensten als genoemd in artikel 1 onder h Nadere Regeling gedragstoezicht effectenverkeer 2002 (NRG 2002) of het uitbesteden door een effecteninstelling van (gedeeltes) van de administratieve organisatie en interne controle als bedoeld in artikel 24 lid 3 jo. In 2003 heeft de AFM een concept beleidsregel uitbesteding opgesteld. In deze concept beleidsregel worden allerlei eisen gesteld indien een instelling overgaat tot uitbesteding, maar hierin wordt geen nadere uitleg gegeven over het begrip uitbesteding.

18 19

Regeling Organisatie en Beheersing, www.dnb.nl Regeling Organisatie en Beheersing, www.dnb.nl.

Pagina 26


3.2.3.3 Basel II In februari 2005 heeft het Basel Committee on Banking Supervision, in samenwerking met BIS 20 , een rapport uitgebracht “Outsourcing in Financial Services” 21 . Het doel van dit rapport is het ontwikkelen en opstellen van richtlijnen voor financiële instellingen en toezichthouders om zodoende beter risico’s te kunnen beheersen. In dit rapport wordt een definitie gegeven van outsourcing: ‘Outsourcing is defined in this paper as a regulated entity’s use of a third party (either an affiliated entity within a corporate group or an entity that is external to the corporate group) to perform activities on a continuing basis that would normally be undertaken by the regulated entity, now or in the future’. Uit de definitie blijkt dat het Basel Committee zich aansluit bij de definitie van DNB voor wat betreft het geen onderscheid maken of uitbesteding plaatsvindt naar een groepsdeel dan wel een externe derde partij. Daarnaast laat de definitie zien dat het om activiteiten gaat die structureel worden uitbesteed en die normaliter door de instelling zelf zouden worden uitgevoerd. Hierbij is het niet geheel helder of dit specifiek bancaire activiteiten betreft. 3.2.4

Definitie volgens de financiële instelling

De bank heeft een (interne) internationale richtlijn vastgesteld voor de uitbesteding van bancaire bedrijfsprocessen en ondersteunende diensten; de ‘Outsourcing Compliance Policy’. Deze beleidsnota zou, volgens de toelichting bij de beleidsnota, niet alleen een antwoord op de aanscherping van de regelgeving van de nationale en internationale toezichthouders ten aanzien van de beheersing van outsourcing-activiteiten zijn. De bank stelt expliciet in deze nota de additionele risico’s, die voortvloeien uit outsourcing, te erkennen en wil door middel van het opstellen van een specifieke beleidsnota een algemeen normenkader aangeven. In de beleidsnota wordt extra benadrukt dat de beleidsnota niet bestemd is voor het nemen van strategische beslissingen, zoals wel of niet outsourcing. De beleidsnota geeft een normenkader aan voor diverse onderdelen in de pre-contractuele fase en de fase na het afsluiten van het contract. Volgens de Outsourcing Policy wordt het volgende onder outsourcing verstaan: “This Outsourcing Policy applies when a legal entity of “Fortis Bank ” (the “Outsourcing Party”) entrusts another legal entity (the “Service Provider”) – either intra-group or independent third party – with the supply on a structural basis of goods, services or facilities 20

Bank for International Settlements. The Basel Committee on Banking Supervision, “Joint Forum; Outsourcing in Financial Services”, February 2005. 21

Pagina 27


which are part of business or auxiliary processes meant to support the provision of banking or other financial services. Are not considered as outsourcing: - activities that are normally not undertaken by a Financial Institution - “purchasing contracts” defined as the purchase of services, goods and facilities without giving the Service Provider any information concerning the purchasing institution (or its customers) as well as any information belonging to them; or of standardized products, such as market information - incidental hiring of services for resolving a specific problem (such as a legal dispute). The use of independent agents to sell the bank products or services is not considered to be "outsourcing", as long these agents act following the Bank well defined instructions and procedures, in its name, under its responsibility and control. 22 ” Fortis Bank onderkent bij outsourcing de volgende criteria: activiteit tussen twee verschillende juridische entiteiten; dienstverlening vindt structureel plaats; betreft een bancair proces (of een gedeelte ervan). Het eerste criterium geeft aan dat het uitbesteden van een activiteit binnen groepsverband, maar tussen twee verschillende juridische entiteiten, ook als outsourcing wordt gedefinieerd. Deze vorm van uitbesteding noem ik verder interne outsourcing. Het tweede criterium geeft aan dat de uitbesteding van structurele aard is. Dit is een criterium dat niet helemaal concreet is; wat is structureel? Bij de hantering van de definitie door de bank blijkt in de praktijk dat ‘structureel’ vaak wordt geassocieerd met ‘lange termijn’. Als men bedenkt dat outsourcing veelal gaat om het uitbesteden van primaire processen, dan is het logisch om te stellen dat dit soort beslissingen veelal van strategische aard zijn en dus voor een langere termijn. Het derde criterium geeft aan dat het om het uitbesteden van een bancair proces dient te gaan. Wat wordt verstaan onder een bancair proces? Hierbij valt te denken aan het verstrekken van kredieten, het verstrekken van hypotheken e.d. In de interne beleidsnota zijn een aantal voorbeelden gegeven die wel en niet onder de scope van outsourcing vallen volgens de bank. Het waardetransport is een voorbeeld van een activiteit die niet onder de scope van outsourcing valt. De reden hiervoor is dat dit geen primair bancair proces betreft; een supermarkt(concern) heeft namelijk ook waardetransport! Hierop zal in het onderzoek nog worden teruggekomen.

22

Fortis Bank “Outsourcing Policy”, February 4th 2005

Pagina 28


3.2.5

Definitie in de praktijk

In een aantal artikelen wordt een definitie gegeven van outsourcing. Hieronder volgt een summier overzicht van definities van een aantal auteurs, evenals de door hen aangegeven criteria voor het kunnen definiëren (en dus erkennen) van outsourcing. Langfield 23 ziet outsourcing als het uitbesteden van activiteiten of processen aan een derde. Hij geeft geen nadere toelichting of het relevant is of de derde partij wel of niet een groepsonderdeel is. Verder maakt hij in zijn definitie geen onderscheid tussen primaire of ondersteunende processen. Dit geldt ook voor Bielski 24 ; zij geeft geen aan dat het bij outsourcing gaat om het uitbesteden van (deel) processen naar een derde, waarbij het van belang is dat de user-organisatie (de uitbestedende partij) zich bewust is van de verwachtingen ten aanzien van de service provider en in staat is tot het kunnen managen van de prestaties. De definitie van Langfield sluit aan bij de definitie van P.G. van der Putt 25 . Hij geeft aan dat het gaat om het uitbesteden van een of meer activiteiten, die vrijwel alle werkzaamheden kunnen omvatten die binnen een onderneming worden verricht. Het woord ‘vrijwel’ duidt erop dat van der Putt blijkbaar wil aangeven dat niet alle werkzaamheden kunnen worden uitbesteed. De activiteiten die niet kunnen worden uitbesteed, worden echter in dit artikel niet verder genoemd of toegelicht. Volgens van der Poel 26 worden de laatste jaren steeds meer ondersteunende onderdelen van de bedrijfsvoering aangemerkt voor outsourcing, zoals bijvoorbeeld salarisverwerking, ICTnetwerkdiensten e.d. Hij geeft in zijn artikel geen definitie van outsourcing, maar in zijn artikel geeft hij duidelijk aan dat steeds meer ondersteunende processen voor outsourcing in aanmerking komen en uitbesteed worden. Vele artikelen en publicaties over outsourcing geven niet expliciet aan wat onder outsourcing of uitbesteding zou moeten worden verstaan. Wel wordt in artikelen en/of publicaties aangegeven welke sourcing-variant onderwerp van bespreking is. 3.2.6

Samenvatting

Onderzoek naar de definitie van outsourcing laat zien dat de bank in haar definitie nauw aansluit bij de definitie van de toezichthouders. Hoewel in deze definities uitbesteding gekoppeld is aan primaire of bancaire processen, blijkt in de praktijk dat deze koppeling misschien wel te beperkt

23

Kim Langfield-Smith, “Management Control Systems and trust in outsourcing relationships”, 2003. Lauren Bielski, “Outsourcing’s new global reach”, ABA Banking Journal 2003. 25 P.G. van der Putt, “Outsourcing; it takes two to tango”. 26 van der Poel, “Outsourcen; onderbouwde beslissing of vergissing?”, Compact 2004. 24

Pagina 29


is. In artikelen en publicaties wordt outsourcing steeds meer benaderd als het uitbesteden van processen die ook van ondersteunende aard kunnen zijn. In hoofdstuk 5 zal hierop nader worden ingegaan. Daarnaast wordt zowel door de toezichthouders als door de bank geen onderscheid gemaakt tussen interne en externe outsourcing. In de definities is in vele gevallen expliciet opgenomen dat het gaat om uitbesteding van een activiteit naar een andere juridische entiteit, die ook onderdeel van de groep kan uitmaken.

3.3 3.3.1

COMPLIANCE KADER VOOR UITBESTEDE ACTIVITEITEN Algemeen

In de vorige paragraaf is in kaart gebracht wat de definitie is van outsourcing ofwel uitbesteding volgens de voor een financiële instelling van toepassing zijnde referentiekaders. Zoals reeds toegelicht in voorgaande paragraaf, is een financiële instelling gebonden aan diverse weten regelgeving en spelen de toezichthouders AFM en DNB, voor wat betreft de Nederlandse weten regelgeving, hierin een grote rol. In deze paragraaf wordt een overzicht gegeven van de eisen die in de diverse weten regelgeving worden gesteld indien een financiële instelling besluit tot uitbesteding 27 . Door het stellen van deze eisen is het mogelijk om het minimale “controle framework” in kaart te brengen. De beheersingsmaatregelen die een organisatie ontwerpt en implementeert dienen minimaal te voldoen aan de door de toezichthouders gestelde eisen. In de hierna volgende paragrafen zullen, vanuit de interne en externe weten regelgeving de minimale criteria voor beheersing in kaart worden gebracht. 3.3.2

Regelgeving volgens toezichthouders

Verondersteld mag worden dat interne overwegingen dominant zijn bij het al dan niet slagen van outsourcing. Zowel de outsourcer als de service provider ontkomen echter niet aan het feit dat zij moeten voldoen aan de regelgeving van de toezichthouder(s). De regelgeving van de toezichthouder is er in eerste instantie op gericht dat de belangen van de stakeholders beschermd worden. Onzorgvuldig omgaan met outsourcing kan voor de outsourcer tot bedrijfsrisico’s leiden. Hierbij valt te denken aan het relatierisico met de toezichthouder en het reputatierisico.

27

In dit onderzoek wordt geabstraheerd van internationale weten regelgeving, zoals bijvoorbeeld de CEBS, die van invloed kunnen zijn op de Nederlandse weten regelgeving.

Pagina 30


3.3.2.1 Regeling Organisatie en Beheersing (ROB) De ROB heeft als doel ‘richtlijnen en aanbevelingen te geven voor de organisatie en beheersing van bedrijfsprocessen bij instellingen’. De ROB geeft een normenkader waarbinnen de instelling de vrijheid heeft invulling te geven aan de implementatie 28 . De richtlijnen hebben een dwingend karakter; de aanbevelingen zijn niet dwingend van aard, doch bij afwijking moet deze deugdelijk worden gemotiveerd. In de ROB is niets opgenomen over sancties. Regeling Organisatie en Beheersing

Algemeen/ definities

Verantwoordelijkheid van de instelling (art. 1-4)

Organisatieinrichting en beheersingsmechanismen (art. 5-23)

Rol en taken Bestuur en Commissarissen (art. 24-33)

Organisatie en beheersing van specifieke risicogebieden (art. 34-72)

Uitbesteding

Figuur 9: Opbouw Regeling Organisatie en Beheersing (ROB)

De artikelen 58 t/m 64 zijn gericht op uitbesteding van bedrijfsactiviteiten. In deze artikelen worden de volgende eisen gesteld: -

De instelling dient over een helder en goed gecommuniceerd beleidsplan te beschikken, waarin duidelijk aandacht is besteed aan autorisaties, limietstellingen en risicobeheersing (art. 58); de beleidsuitgangspunten worden vastgelegd, bijvoorbeeld in een beleidsplan, waarin met name aandacht wordt besteed aan de keuze van werkzaamheden die wel of niet voor uitbesteding in aanmerking komen en aan de invulling van de eis dat de instelling ervoor dient te zorgen dat ook ten aanzien van de uitbestede (deel)processen wordt voldaan aan de richtlijnen en aanbevelingen van de bank inzake organisatie en beheersing. In dat kader dient tevens aandacht te worden besteed aan maatregelen ter waarborging van de continuïteit van de bedrijfsvoering.

-

De instelling dient, bij onvoldoende waarborging van een beheerste en integere bedrijfsvoering, af te zien van uitbesteding (art. 59); de Bank is van mening dat de instelling ter zake van het handhaven van een beheerste en integere bedrijfsvoering

28

De ROB wordt per 1 januari 2007 vervangen door de Wet Financieel Toezicht.

Pagina 31


eenzelfde mate van zorgvuldigheid dient te betrachten als die welke zou gelden voor het zelf verrichten van de werkzaamheden. Daar waar onvoldoende waarborgen aanwezig zijn voor het handhaven van een beheerste en integere bedrijfsvoering dient niet tot uitbesteding te worden overgegaan. -

De instelling draagt zorg voor een systematische analyse van risico’s die samenhangen met de uitbesteding van de werkzaamheden, zowel op instellingsbrede basis als op het niveau van de bedrijfsonderdelen (art. 60); risicoanalyse is een continu proces, waarbij ten aanzien van uitbesteding op systematische wijze rekening dient te worden gehouden met de risico’s van bestaande uitbestedingen, alsmede van wijzigingen daarin en van nieuwe vormen van uitbesteding.

-

De instelling integreert het beleid in de operationele zaken door middel van procedures en maatregelen (art. 61);

-

De instelling legt de afspraken inzake uitbesteding met de service provider vast in een schriftelijke overeenkomst en voorziet hierin voor DNB de bevoegdheid desgewenst bij de service provider onderzoek te verrichten (art. 62); de overeenkomst met de externe dienstverlener/leverancier – ook wel een Service Level Agreement (SLA) genoemd – omvat het geheel van relevante aspecten betreffende de dienstverlening, waarbij in het bijzonder gedacht zal kunnen worden aan de verplichting tot naleving van relevante richtlijnen inzake organisatie en beheersing door de externe dienstverlener/leverancier. Als de externe dienstverlener/leverancier voor meerdere organisaties werkt, kunnen de waarborgen dat de verschillende processen in voldoende mate van elkaar zijn geïsoleerd, in de SLA aan de orde komen. De SLA dient erin te voorzien dat de Bank de bevoegdheid heeft om informatie in te winnen omtrent de uitbestede werkzaamheden bij de externe dienstverlener/leverancier resp. bij zijn externe accountant en desgewenst onderzoek te doen of te laten doen bij de externe dienstverlener/leverancier. De Bank zal van deze bevoegdheid slechts gebruik maken met het oog op de toepassing van deze regeling en na voorafgaand overleg met de instelling. Een verzoek zal via de instelling aan de externe dienstverlener/leverancier worden gericht. Wanneer deze bevoegdheid van de Bank niet met de dienstverlener/ leverancier overeengekomen kan worden, dient de instelling in, aan de uitbesteding voorafgaand, overleg met de Bank na te gaan welke alternatieve maatregelen tot een passende compensatie kunnen leiden.

Pagina 32


-

De instelling beschikt over procedures en maatregelen om toezicht te houden op de met de service provider gemaakt (prestatie)afspraken (art. 64). De instelling dient te beschikken over procedures en maatregelen die de prestaties van de externe dienstverlener/leverancier op een betrouwbare wijze meten en beoordelen. Tevens dient regelmatig te worden vastgesteld dat er zich ten opzichte van de initiële beoordeling van de dienstverlener/leverancier geen belangrijke wijzigingen van de feiten of omstandigheden hebben voorgedaan, die van invloed zouden kunnen zijn op (de continuering van) de uitbesteding.

In de artikelen 58 en 59 is een zorgvuldigheidseis gesteld, ten aanzien waarvan de volgende uitvoeringsaspecten kunnen worden genoemd: a. passende procedures en maatregelen ter voorbereiding van de besluitvorming ten aanzien van voorgenomen nieuwe of gewijzigde uitbesteding, waaronder de eerder genoemde risicoanalyse en de beschikbaarheid van voldoende gegevens; b. de beoordeling van de externe dienstverlener/leverancier op aspecten als de financiële gegoedheid, reputatie en integriteit, kwaliteit van de dienstverlening, interne organisatie en beheersing, beschikbaarheid van voldoende deskundig personeel, eventuele onderaanbesteding, vertrouwelijkheid van informatie, het land van vestiging met de daarbij behorende mogelijkheden tot toegang voor de instelling en haar externe accountant, alsmede voor de Bank (zie artikel 62); c.

een calamiteitenplan, waaronder back-upprocedures.

Artikel 63 is in deze lijst niet meegenomen. Dit betreft namelijk een gebodsartikel: de ROB stelt dat bepaalde activiteiten, zoals bijvoorbeeld internal audit en de financiële functie, niet mogen worden uitbesteed. Voor het in kaart brengen van een minimaal normenkader is dit niet verder van belang.

3.3.2.2 AFM: Regeling gedragstoezicht effectenverkeer (NRG 2002) In de regeling is opgenomen dat de AFM uitbesteding door een effecteninstelling beschouwt als een majeure wijziging in de AO/IC 29 . De effecteninstelling dient het voornemen tot uitbesteding

29

Schreuder Karin, “Autoriteit Financiële Markten over uitbesteding”.

Pagina 33


ter goedkeuring voor te leggen aan de AFM. De reden hiervoor is dat het bestuur van de effecteninstelling de verantwoordelijkheid heeft en houdt om te blijven voldoen aan de geldende weten regelgeving en de relevante verantwoordingsinformatie. De toezichthouder stelt helder dat de effecteninstelling, alvorens het besluit te nemen tot uitbesteding, zich ervan moeten vergewissen dat de service provider de werkzaamheden in overeenstemming met de weten regelgeving, kan uitvoeren. In de beleidsregel uitbesteding heeft de AFM een aantal eisen opgenomen waaraan de (effecten)instelling dient te voldoen. Deze eisen zijn: -

Er dient een schriftelijke overeenkomst te zijn met de uitbesteder;

-

In de schriftelijke overeenkomst met de derde partij dient de instelling vast te leggen dat de AFM bij de derde partij alle bescheiden kan opvragen en informatie kan inwinnen die nodig is voor de uitoefening van haar wettelijke taak;

-

Bij de keuze van de leverancier dient de instelling zich ervan te overtuigen dat de leverancier voldoende kan waarborgen dat aan de wettelijke vereisten kan worden voldaan;

-

De instelling dient de AFM onverwijld op de hoogte te stellen van materiele problemen bij uitbestede activiteiten;

-

De instelling dient maatregelen te treffen waarmee ze in staat is binnen een redelijke en verantwoorde termijn terug te vallen op de eigen organisatie of een andere organisatie, waarmee de continuïteit gewaarborgd is.

Expliciet heeft de AFM ook in deze richtlijn opgenomen dat de instelling te allen tijde eindverantwoordelijk blijft voor de eisen die gelden bij of krachtens de NRG (Nadere Regeling Gedragstoezicht; zie paragraaf 3.2.3.2). De AFM stelt naast de bovengenoemde (algemene) eisen, ook specifieke eisen ten aanzien van het uitbesteden van vermogensbeheer en het uitbesteden van effectendiensten. In het kader van het onderwerp van dit onderzoek, cash processing, en het geringe verband met deze diensten, wordt op deze eisen hier niet nader ingegaan.

Pagina 34


3.3.3

Regelgeving volgens de financiële instelling

De bank heeft in haar interne beleidsnota een aantal eisen gesteld waaraan het uitbesteden van activiteiten moet voldoen 30 . Deze eisen zijn:

-

Zorgvuldige besluitvorming. In de besluitvormingsfase dient een gedetailleerd uitgewerkte business case te zijn opgesteld en voorgelegd aan het betrokken management. Naast de business case moet een deugdelijke risicoanalyse zijn gemaakt waarbij de vereiste disciplines, zo nodig, zijn ingeschakeld. Hierbij valt te denken aan bijvoorbeeld Compliance, Risk Management en Juridische Zaken.

-

Zorgvuldige leveranciersselectie;

-

Opstellen van een contract met inachtneming van de daarvoor beschikbaar gestelde standaard;

-

Het monitoren van de service provider zoals het periodiek beoordelen van de prestatieafspraken en het beoordelen van de financiële positie;

30

-

Toegang voor interne en externe auditors;

-

Waarborging van continuïteit van het uitbestede proces.

Fortis Bank Outsourcing Policy, 2004

Pagina 35


3.3.4

Samenvatting

De eisen die door de toezichthouders respectievelijk Fortis Bank worden gesteld, kunnen als volgt worden samengevat:

Criteria outsourcing DNB Beleidsplan Beoordeling waarborging beheerste bedrijfsvoering serviceprovider

x

Systematische risicoanalyse

x

Schriftelijke overeenkomst met serviceprovider Toegang bij serviceprovider voor toezichthouders en financiele instelling

x

x

x

x

Calamiteitenplan

x

Integratie beleid in operationele bedrijfsvoering; procedures en richtlijnen

x

Financiele instelling

x x

x x

x x

x

Procedures en richtlijnen voor toezicht houden op serviceprovider

Meldingsplicht bij materiele problemen

AFM

x x

x

x

x = van toepassing

Figuur 10: Door toezichthouders gestelde criteria t.a.v. outsourcing

De richtlijnen van de toezichthouders en Fortis Bank in ogenschouw nemende, kan worden gesteld dat in vele opzichten de criteria hetzelfde zijn. Dit is natuurlijk ook niet vreemd gezien het feit dat de financiële instellingen aan het toezicht van DNB en AFM zijn onderworpen. De ROB is wat meer gericht op het instellen van beleid, procedures en richtlijnen, hetgeen ook logisch is: ROB betekent Richtlijnen voor Organisatie en Beheersing. Het is duidelijk dat de bank bij het opstellen van haar beleid de uitgangspunten van DNB en AFM grotendeels heeft overgenomen. Desalniettemin zijn er toch 3 verschillen zichtbaar. Zo heeft de bank in haar intern beleid niet de door de AFM voorgeschreven meldingsplicht overgenomen. Een criterium dat door DNB ook niet is opgenomen in haar regelgeving. Daarnaast heeft de bank in haar beleid niet expliciet opgenomen dat het beleid moet worden geïntegreerd in de operationele bedrijfsvoering door middel van (interne) procedures en richtlijnen.

Pagina 36


Het derde en laatste verschil is het niet opnemen van een afzonderlijk beleidsplan. Volgens DNB dient er een afzonderlijk beleidsplan te zijn waarin o.a. is vastgelegd op welke wijze wordt gewaarborgd dat uitbestede activiteiten voldoen aan de ROB en de keuze van werkzaamheden die wel of niet voor uitbesteding in aanmerking komen. In het beleid van de bank is enkel aangegeven dat ‘core management’ op het gebied van strategie en risk management niet mag worden uitbesteed. 3.4

MOTIEVEN VOOR OUTSOURCING

Waarom zou een financiële instelling overgaan tot uitbesteding van (sub)processen? De toezichthouders stellen hier, zoals uit de vorige paragraaf gebleken is, nogal wat eisen aan. In de praktijk zijn al vele onderzoeken uitgevoerd naar de motieven voor uitbesteding. In de inleiding (paragraaf 1.1) is al aangegeven dat uit het onderzoek (2006) van KPMG (bijlage 1) is gebleken dat de belangrijkste reden voor outsourcing kostenbesparing is. In het rapport van Bank for International Settlements (BIS) 31 , dat iets minder recent is (2005), zijn de motieven voor outsourcing onderzocht met als doelgroep de Europese Banken.

Figuur 11: Redenen voor Europese banken t.a.v. outsourcing 32

Uit bovenstaande grafiek blijkt dat kostenbesparing ook voor Europese banken veruit ook de belangrijkste reden is om over te gaan op outsourcing. Het uitbesteden van primaire

31

The Basel Committee on Banking Supervision, “Joint Forum; Outsourcing in Financial Services”, February 2005. 32 The Basel Committee on Banking Supervision, “Joint Forum; Outsourcing in Financial Services”, February 2005.

Pagina 37


bedrijfsprocessen (of delen hiervan) kan tot efficiencyverbeteringen en/of kostenverlagingen leiden. Daarnaast kunnen doorlooptijden korter worden en kan klantenwaardering verbeteren. Naast het motief van kostenbesparing zijn er nog meerdere motieven die kunnen leiden tot het besluit van uitbesteding. Bij het doornemen van diverse publicaties en artikelen zijn de meest genoemde redenen:

Motieven voor outsourcing Motieven

Polo v/d Putte

v/d Poel

Frog

KPMG

BIS (*)

Kostenbesparing

x

x

x

x

x

x

Verkrijgen kapitaal

x

Focus op kernactiviteiten

x

x

Kwaliteitsverbetering

x

x x

x

x

x

Efficiencyverbetering

x

x

x

Innovatie en technologie

x

Bedrijfscultuur

x

Risico verlaging Toegang tot kennis en kunde

x

x x

x

x

x

(*) = Bank for International Settlements

Figuur 12: Motieven voor outsourcing

Hieruit blijkt dat, naast kostenbesparing, ook kwaliteitsaspecten en toegang tot kennis en kunde belangrijke motieven zijn om een proces te gaan outsourcen. Voor het verrichten van bepaalde activiteiten kunnen hoogwaardige informatiesystemen of specialistische deskundigheid nodig zijn. Voor een gemiddelde onderneming kan het moeilijk en/of kostbaar zijn om deze kennis in huis te halen of te houden. Leveranciers kunnen echter wel over de benodigde kennis en kunde beschikken, hetgeen ook kan leiden tot kwaliteitsverbetering van het proces. Daarnaast is een belangrijk (strategisch) motief om de bedrijfsactiviteiten meer te richten op de kerncompetenties, wat zou kunnen betekenen dat een gedeelte van het primaire proces niet meer tot de kerncompetentie zou behoren. Uitbesteding kan dan een keuze zijn als gevolg van een wijziging in de strategie. Door het uitbesteden komt er meer tijd vrij voor de kernactiviteiten van de onderneming. Volgens Bragg 33 is de focus op kernactiviteiten een van de belangrijkste motieven om uit te besteden. De kernactiviteiten worden door Bragg gezien als de kritische processen van een onderneming om succesvol te kunnen zijn. Bragg gaat echter nog een stap verder. Hij geeft aan dat het zelfs mogelijk is om ook (delen van) deze kritische bedrijfsprocessen

33

Steven M. Bragg, ‘Outsourcing, a guide to’, blz. 2-4, 1998.

Pagina 38


uit te besteden indien bijvoorbeeld een leverancier dit proces kwalitatief beter kan uitvoeren. Daarnaast kan het volgens hem een keuze zijn om een kritisch bedrijfsproces uit te besteden als de verwachting is dat dit proces op korte of middellange termijn een minder kritisch proces zal gaan worden, bijvoorbeeld door verwachte marktontwikkelingen.

3.5

RISICO’S RONDOM OUTSOURCING

3.5.1

Inleiding

In deze paragraaf wordt eerst ingegaan op de door meerdere bronnen erkende algemene risico’s die inherent zijn aan het uitbesteden van een proces of dienst en welke van die risico’s bij de bank van toepassing zijn. Daarna zullen, in paragraaf 3.5.3, de (specifieke) risico’s in kaart worden gebracht die voortvloeien uit het uitbesteden van cash processing zonder dat hierop enige vorm van beheersingsmaatregelen van toepassing zijn. In paragraaf 3.5.4 zal uiteindelijk een (summier) overzicht worden gegeven van de aanwezige risico’s waarvoor in het kader van dit onderzoek beheersingsmaatregelen dienen te worden opgesteld. 3.5.2

In de praktijk erkende algemene risico’s

Met diverse rapporten en gepubliceerde artikelen als bron, kunnen de volgende risico’s bij outsourcing als proces worden onderkend: Risico's Outsourcing van toepassing op Cash processing v

Basel Committee

KPMG

Reedijk/ van Berkel

Strategisch

x

x

x

Reputatie

x

x

v

Compliance

x

x

v

x

Risico

Operational

x

Exit strategie

x

Counterparty

x

Landen risico

x

Contractueel/ juridisch

x

Toegang

x

Concentratie en systeem

x

Financieel

x

v v

x

v v

x x

x

v

Figuur 13: Risico’s inherent aan outsourcing

Pagina 39


Wat opvalt bij het onderzoeken van de soorten risico’s die door verschillende bronnen worden onderkend, is het feit dat zowel het strategisch als het operationele risico door alle vermelde bronnen worden onderkend. Daarnaast is het kenmerkend dat een aantal motieven voor outsourcing, benoemd in de voorgaande paragraaf, tevens worden erkend als zijnde een risico. Er lijkt hierdoor een relatie te bestaan tussen de motieven die tot het besluit van outsourcing kunnen leiden en het beheersen van deze motieven. Enkele voorbeelden hiervan zijn: •

Financieel risico

Een van de belangrijkste motieven, althans volgens het onderzoek van KPMG (zie inleidende paragraaf), om een (sub)proces uit te besteden is de kostenfactor. Deloitte heeft echter in 2005 een onderzoek 34 uitgevoerd waarbij financiële instellingen vertegenwoordigd waren in de onderzoekspopulatie. Uit dit onderzoek blijkt echter dat, van de respondenten die het kostenmotief als belangrijkste criterium oordeelden in hun besluitvormingsproces, 38% zich geconfronteerd zag met additionele, niet-voorziene kosten. Uit dit onderzoek is ook gebleken dat van de processen of diensten die respondenten hebben uitbesteed, 65% van de uitbestede activiteiten naar verloop van tijd weer terug ‘in-house’ zijn genomen vanwege te hoge kosten of slechte dienstverlening door de leverancier. Hiermee lijkt dus duidelijk dat, hoewel het kostenmotief vaak een beslissende factor in de besluitvorming is, het financiële risico vaak een reden is om de activiteit weer terug ‘in house’ te nemen. •

Operationeel risico

Het uitbesteden van processen kan in vele gevallen gepaard gaan met banenverlies. Deze situatie kan leiden tot onrust en onzekerheid over de toekomst bij medewerker van de onderneming. Volgens Reedijk en van Berkel 35 kan deze sfeer een negatieve impact hebben op productiviteit en personeelsverloop. Het BIS geeft in haar Basel-rapport aan dat de onderneming een operationeel risico kan lopen in verband met fraude en fouten bij de leverancier. •

Strategisch risico

Reedijk en van Berkel28 stellen dat het uitbesteden van bedrijfsprocessen een afhankelijkheid creëert van de opdrachtgever ten opzichte van de leverancier. De leverancier krijgt inzicht in voor

34

Deloitte, “Calling a change in the outsourcing market”, April 2005.

35

Reedijk J. en van Berkel F., ‘Het uitbesteden van primaire bedrijfsprocessen’, Management Control and Accounting, nummer 6, 2001.

Pagina 40


de onderneming (kritische) processen en krijgt daar controle over. Op deze wijze verliest de onderneming kennis van het proces en kan zij geen controle meer over het proces uitoefenen. In de relatie met het uitbesteden van geldverwerking zijn niet alle risico’s van toepassing. Het country risk is hier niet van toepassing, aangezien het hier gaat om het ‘on-shore’ uitbesteden van het proces van geldverwerking. Het country risk is gerelateerd aan politieke, sociale en juridische invloeden van een land. Daarnaast is het counterparty risk eveneens niet van toepassing, omdat dit risico specifiek gerelateerd is aan het kredietproces en geen relatie heeft met geldverwerking. Bragg 36 onderkent ook nog een macro-economisch risico op het gebied van werkgelegenheid. In het geval dat een uitbestedende organisatie een dominante marktpositie heeft in een locale economie, kan uitbesteding leiden tot verschuiving van arbeidsplaatsen naar het buitenland, wat gepaard kan gaan met het verlies van arbeidsplaatsen in de locale markt. Dit kan enorme maatschappelijke gevolgen hebben die zich uiten in stakingen, slechte publiciteit en dergelijke. In het kader van de onderhavige studie is dit risico verder niet relevant, aangezien de bank geen dominante positie heeft en er geen sprake is van offshore outsourcing. 3.5.3

Risico’s in relatie tot cash processing

In paragraaf 2.4 zijn de risico’s in kaart gebracht die inherent zijn aan het geldverwerkingsproces. In de voorgaande paragraaf is aangegeven welke algemene risico’s van toepassing zijn in geval van uitbesteding van het geldverwerkingsproces (figuur 13). Hieronder zijn de risico’s gespecificeerd naar proces- en algemene risico’s. De algemene risico’s zullen verder worden toegelicht in deze paragraaf.

Procesrisico's (Hoofdstuk 2)

Algemene risico's (Hoofdstuk 3)

Transport Beheer Financieel Fraude Operationeel Automatisering

Compliance (a) Strategisch (b) Reputatie (c) Exit (d) Contractueel/ Juridisch (e) Toegang (f)

Figuur 14: Risico´s outsourcing geldverwerkingsproces

36

Steven M. Bragg, ‘Outsourcing, a guide to’, blz. 7, 1998.

Pagina 41


a)

Compliancerisico 37 ; De bank loopt, bij het uitbesteden van activiteiten, het risico dat zij niet of niet volledig voldoet aan interne en externe weten regelgeving. De diverse toezichthouders evenals de bank zelf, hebben een normenkader opgesteld in de vorm van regelgeving of beleidsnotities, voor het uitbesteden van activiteiten of processen en hebben hierbij expliciet vermeld dat in geval van outsourcing de leverancier, wel of niet vallend onder de regelgeving van de toezichthouder, de relevante weten regelgeving moet naleven. Deze criteria zijn in de voorgaande paragrafen in kaart gebracht. Hierbij valt bijvoorbeeld te denken aan de Wet op de Bescherming van Persoonsgegevens. De leverancier zal in de betreffende situatie de vertrouwelijkheid van klantengegevens dienen te waarborgen.

b)

Strategisch risico; Doordat de uitbestedende organisatie de uitvoering van een proces (of een deel ervan) overdraagt aan een service provider, wordt de organisatie deels afhankelijk van de service provider. Een voorbeeld van een risico betreft de continuïteit van het proces. Het is immers denkbaar dat een leverancier wordt overgenomen door een derde partij waar outsourcing (in een dergelijk geval insourcing) niet past in de bedrijfsstrategie. Een andere denkbare situatie is de financiële situatie van de service provider, die ertoe zou kunnen leiden dat de service provider zijn diensten niet meer kan leveren.

c)

Reputatierisico; De bank loopt een reputatierisico als de service provider een slechte dienstverlening levert of een dienstverlening die niet voldoet aan de normen. Een sprekend voorbeeld hiervan is Heros Groep: de banken die gebruik maakten van deze waardetransporteur werden met naam in de media genoemd. Daarnaast ondervonden de klanten van deze banken ook hinder van deze fraudezaak: de klanten werd gevraagd zoveel mogelijk geld op te nemen bij de bankkantoren en niet bij de geldautomaten aangezien de bevoorrading van de geldautomaten een probleem zou kunnen worden. Het moge duidelijk zijn dat dit de reputatie van een bank niet bevordert.

37

Volgens de Regeling Organisatie en Beheersing wordt hieronder verstaan ‘de naleving van weten regelgeving, alsmede het werken volgens de normen en regels die een instelling zelf heeft opgesteld’(artikel 0 lid d).

Pagina 42


d)

Exit risico; Dit risico kan worden gezien in relatie met het strategische risico. De uitbestedende onderneming loopt een risico als er geen adequate exit-strategie voorhanden is. In het geval dat een situatie, zoals genoemd onder c) zich voordoet, dient van tevoren bedacht te zijn hoe te handelen in een dergelijke situatie. Met andere woorden: er dient een strategie te zijn die beschrijft hoe het proces weer terug in-house kan worden genomen en kan worden uitbesteed aan een andere leverancier, indien de leverancier zijn diensten niet of niet voldoende kan leveren en de continuïteit van het proces in gevaar wordt gebracht.

e)

Contractueel/ juridisch risico; De uitbestedende organisatie loopt een risico dat de afspraken niet voldoende en juridisch waterdicht zijn vastgelegd. In een dergelijk geval wordt het lastig om de leverancier tot nakoming van het contract en gemaakte afspraken te dwingen en/of geleden schade te vorderen.

f)

Toegang. Zoals al in eerdere paragrafen (zie 3.3.2) uiteengezet, ontslaat het uitbesteden van activiteiten de organisatie niet van diens verantwoordelijkheid voor het naleven van de weten regelgeving. De bank blijft uiteindelijk in alle gevallen eindverantwoordelijk voor de uitvoering, ongeacht of delen van het proces zijn uitbesteed of niet. In dit kader is het voor de uitbestedende onderneming van belang dat zij voldoende toegang krijgen bij de leverancier om deze verantwoordingsfunctie ten aanzien van de toezichthouders te kunnen uitvoeren. Dit risico kan worden gezien in relatie met het compliancerisico: het is de toezichthouder die deze extra eis stelt in geval van outsourcing. 38

3.5.4

Samenvatting

De risico’s in het kader van het proces van geldverwerking zijn te verdelen in algemene risico’s en procesrisico’s. De algemene risico’s, beschreven in paragraaf 3.5.3, zijn risico’s die een organisatie loopt bij het uitbesteden van geldverwerking. De specifieke risico’s, beschreven in paragraaf 2.4, zijn risico’s die aanwezig zijn bij het uitvoeren van het geldverwerkingsproces. Uit het voorgaande blijkt dat veel redenen om uit te besteden ook uiteindelijk de reden kunnen zijn om de outsourcing te beëindigen. Dit geldt vooral voor het kosten- en het kwaliteitsmotief; in geval een service provider de dienst niet of niet voldoende kan nakomen, ontstaat een risico dat de kwaliteit van de dienstverlening verslechtert, wat gepaard kan gaan met additionele, vaak niet voorziene, kosten. Een en ander is ook gebleken uit het rapport van Deloitte, waarvan een

38

In de navolgende hoofdstukken zal dit risico worden geclassificeerd onder Compliance risico.

Pagina 43


samenvatting is opgenomen in bijlage 5. Een verband lijkt te bestaan tussen de motieven om uit te besteden en de onderkende risico’s. Indien de risico’s niet voldoende worden beheerst, worden de beoogde voordelen van uitbesteding niet gehaald. Reden te meer om aandacht te besteden aan de beheersbaarheid van de in kaart gebrachte risico’s. Hieraan zal in het volgende hoofdstuk aandacht worden besteed.

Pagina 44


4. OUTSOURCING VAN CASH PROCESSING EN BEHEERSINGSMAATREGELEN 4.1

INLEIDING

In het voorgaande hoofdstuk is aangegeven wat de risico’s zijn indien het proces van geldverwerking, of een deel ervan, wordt uitbesteed. Dat uitbesteding niet altijd tot het verwachte resultaat leidt, blijkt uit een onderzoek van Deloitte 39 . Uit dit onderzoek blijkt, zoals onderstaande grafiek laat zien, dat van de respondenten 64% na verloop van tijd het uitbesteden van een proces of dienst weer ‘terug in huis’ hebben genomen.

Figuur 15: ‘Have you brought any outsourced services back in-house? (bron: Deloitte’)

Gartner 40 geeft aan dat veel ondernemingen die uitbesteden, ondanks de motieven ertoe, zich geconfronteerd zien met vele problemen. Deze organisatie stelt dat het merendeel van de oorzaken van deze problemen bij de uitbestedende organisatie zelf liggen en niet bij de service provider. Volgens Gartner zijn er een aantal oorzaken waardoor de theorie (de in de literatuur genoemde redenen om tot uitbesteding over te gaan) en de praktijk (de resultaten van de uitvoering) niet met elkaar overeenstemmen. Een van die oorzaken is ‘the myth of economies of scale’. Gartner erkent dat o.a. kostenbesparing een belangrijk motief is om over te gaan tot uitbesteding. Volgens Gartner kan deze kostenbesparing echter vaak niet worden gerealiseerd, omdat de uitbestedende organisatie een standaardisatie van de dienstverlening niet toelaat, waardoor de te behalen schaalvoordelen bij de service provider (te) beperkt zijn. Daarnaast geeft

39 40

Deloitte , ‘Calling a change in the outsourcing market’, April 2005. Cohen Linda, Young Allie en Gartner Inc , ‘Multisourcing’, pagina 8, 2006.

Pagina 45


Gartner aan dat in vele gevallen door de uitbestedende organisatie het monitoren van de service provider wordt onderschat: de outsourcing overeenkomst wordt afgesloten en ondertekend, maar er zijn geen heldere richtlijnen en verantwoordelijkheden bij de uitbestedende organisatie voor het monitoren van de naleving van deze overeenkomst en dus ook de kwaliteit en prestaties van de service provider. Bij de contractonderhandelingen met de service provider wordt deze, volgens Gartner, vaak benaderd als zijnde de vijand, wat resulteert in slechte verhoudingen en vaak, als gevolg hiervan, in een slechte dienstverlening. Ook binnen de financiële dienstverlening is verbetering van de kwaliteit als gevolg van uitbesteding niet altijd zichtbaar of gerealiseerd. Een quote uit een artikel verschenen in het Financieel Dagblad van 7 augustus 2006: ‘Ingrepen in de organisatie en uitbesteding van ondersteunende diensten leiden bij banken tot een verslechterde dienstverlening aan zakelijke klanten’ 41 . Het artikel is gebaseerd op een enquête ‘Bank van het Jaar’, die jaarlijks wordt uitgevoerd door het Financieel Dagblad in samenwerking met adviesbureau Vallstein. Het onderzoek is uitgevoerd bij ondernemingen met een omzet van 10 Mio Euro en meer. In dit artikel wordt o.a. uiteengezet dat de uitbesteding van diensten door banken, voor wat betreft de zakelijke dienstverlening, leidt tot een verslechtering in de dienstverlening. Kortom, beoogde voordelen worden niet altijd gerealiseerd en er worden tal van problemen ondervonden bij het uitbesteden van processen, die niet zelden leiden tot het beëindigen van de uitbesteding. Om dergelijke problemen zoveel mogelijk te voorkomen zal in dit hoofdstuk dan ook in kaart worden gebracht welke potentiële beheersingsmaatregelen aanwezig (kunnen) zijn om de aanwezige risico’s te kunnen mitigeren tot een aanvaardbaar niveau en hiermee zodoende de beoogde voordelen te kunnen realiseren. Voor de volgende risico’s dienen, voor zover mogelijk, beheersingsmaatregelen te worden opgesteld: Procesrisico's (Hoofdstuk 2)

Algemene risico's (Hoofdstuk 3)

Transport Beheer Financieel Fraude Operationeel Automatisering

Compliance (a) Strategisch (b) Reputatie (c) Exit (d) Contractueel/ Juridisch (e) Toegang (f)

Figuur 16: Risico´s outsourcing geldverwerkingsproces

41

Brattes Prisco, ‘Dienstverlening banken lijdt onder meer outsourcing’, Financieel Dagblad, 7 augustus 2006.

Pagina 46


4.2

BESLUITVORMING TOT UITBESTEDING

Strategische heroriëntatie

Strategisch risico

Van der Poel 42 geeft aan dat in geval van outsourcing een

Compliance risico

strategische heroriëntatie zou moeten plaatsvinden op activiteiten die de onderneming onderscheidend maken van

Beheersrisico

derden. Behr en Faas bevestigen dit 43 . Zij stellen dat op strategisch niveau beleid en doelstellingen van de organisatie

Reputatierisico

moeten worden vastgesteld op het gebied van outsourcing. Het vaststellen van strategie en beleid heeft invloed op de

Frauderisico

toekomstige ontwikkeling van de organisatie en omvat een heroverweging van de kerncompetenties van de onderneming. De strategische positionering van outsourcing in de organisatie wordt ook onderstreept door Quint Wellington Redwood. Quint 44 ontwikkelde een ‘Sourcing Governance Framework’, waarin outsourcing op 3 niveaus wordt benaderd; strategisch, tactisch en operationeel in de rollen van respectievelijk Sourcing Director, Vendor Manager en Service Support Manager. Opstellen en monitoren van een (positieve) business case Deze strategische heroriëntatie kan worden uitgewerkt in een business case, die duidelijk aangeeft welke activiteit kan worden uitbesteed, op welke wijze en welke beweegredenen daarvoor gelden. Delen ziet een positieve business case als een succesfactor in het uitbestedingtraject 45 . Volgens Delen is succes op lange termijn alleen verzekerd als men die business case daarna blijft gebruiken om het proces van uitbesteding en daarna de feitelijke dienstverlening te monitoren. Rijsenbrij geeft in zijn artikel 46 de voorwaarden aan waaraan een goede business case dient te voldoen; ‘de business case dient een zakelijk instrument te zijn met een neutrale opsomming van feiten op grond waarvan een afgewogen beslissing kan worden genomen’. In bijlage 6 is een beschrijving opgenomen van de onderwerpen die volgens Rijsenbrij in een business case zouden moeten worden opgenomen. De wijze van totstandkoming van de business case is echter even zo belangrijk; betrokkenheid van de juiste beslissers en de beoogde service provider in dit traject is essentieel voor het creëren van een draagvlak voor het proces. Rijsenbrij onderkent 6 fasen binnen het proces van totstandkoming van de business case. Deze fasen zijn in de volgende tabel opgenomen.

42

van der Poel, “Outsourcen; onderbouwde beslissing of vergissing?”, Compact 2004. Behr J. en Faas A. , ‘Succesvol sourcen begint met succesvol organiseren´, IT Beheer Jaarboek. 44 Ijmker A., ‘Gezocht: Outsourcing manager m/v’, Outsource Magazine, nummer 3 2006, pagina 27. 45 Delen G., ‘Zes faal- en vijf succesfactoren bij uitbesteding’, Informatie, April 2004. 43

Pagina 47


Figuur 17: Stadia opstellen business case (bron: Rijsenbrij

47

)

Uit deze fasering blijkt duidelijk dat de business case wordt gebruikt voor de tussentijdse monitoring en evaluatie van de dienstverlening door de service provider evenals voor de evaluatie van de dienstverlening aan het einde van de contractperiode. Het opstellen van een adequate business case op een juiste wijze leidt tot draagvlak in de organisatie en inzicht in mogelijkheden en valkuilen zowel vanuit strategisch als vanuit compliance perspectief. Leveranciersselectie Een ander cruciaal onderdeel van de besluitvormingsfase vormt het proces van het selecteren van de geschikte leverancier. Volgens Bragg 48 komt het in de praktijk veelvuldig voor dat, bij de selectie van de leverancier, te weinig aandacht wordt geschonken aan andere zaken dan de laagste prijs. Aan andere zaken valt dan te denken aan wijze van procesvoering, cultuur, reputatie, kennisniveau en specifieke expertise, locatie en financiële positie van de leverancier. In een rapport van Brink 49 , in samenwerking met KPMG, wordt dit nog eens benadrukt. Brink bevestigt dat, naast de genoemde bedrijfseconomische factoren, een goede fit in cultuur en managementstijl

46

Rijsenbrij D., ‘Checklist voor een businesscase’, Informatie, April 2004. Rijsenbrij D., ‘Checklist voor een businesscase’, Informatie, April 2004. 48 Steven M. Bragg, ‘Outsourcing, a guide to’, blz. 18-19, 1998. 49 Brink G.M. (augustus 2006), ‘Factors that play a role in defining the sourcing strategy from an operations management view’. 47

Pagina 48


tussen de klant en de leverancier essentieel is voor de kwaliteit van de dienstverlening. Door het verkrijgen van inzicht in de procesvoering en interne normen en waarden (bijvoorbeeld: hoe gaat de leverancier om met integriteit?) bij de leverancier kan de uitbestedende organisatie zich een beeld vormen van het mogelijke frauderisico dat bij de leverancier zou kunnen optreden. Brink benadrukt zelfs dat een goede relatie tussen leverancier en klant op lange termijn waardevoller is dan het in detail juridiseren van de afspraken. KPMG 50 ziet na ‘de first wave outsourcing’ dat ondernemingen steeds meer de nadruk leggen op kwalitatieve factoren als een culturele fit en ‘chemie’ tussen partijen. De leverancier wordt meer benaderd vanuit een partnership relatie.

4.3

ORGANISATORISCHE MAATREGELEN

Open communicatie

Operationeel risico

Is eenmaal een besluit genomen tot outsourcing, dan kan dit

Beheersrisico

leiden tot onrust en onvrede bij medewerkers en leiden tot een operationeel risico. Reedijk en van Berkel stellen dat een open,

Contractueel/

eerlijke en duidelijke communicatie met medewerkers hierover

juridisch risico

51

dit kan voorkomen. Ook Delen geeft aan dat uitbesteding en de vaak hieraan gerelateerde overdracht van personeel een faalfactor kan worden in het outsourcingsproces. Indien outsourcing gepaard gaat met het verlies van veel arbeidsplaatsen, wat veelal speelt bij offshore outsourcing, leidt dit ook niet zelden tot bewegingen bij de vakbonden. Het lijkt dus zeer voor de hand te liggen om in dergelijke gevallen tijdig en open te communiceren met betrokken partijen zoals werknemers, ondernemingsraden en vakbonden en een goede realistische inschatting te maken van de verwachte gevolgen. Inbedding monitoring functie in organisatiestructuur Volgens Gartner 52 zijn vele ondernemingen bij het aangaan van een uitbestedingovereenkomst, niet voldoende voorbereid en organisatorisch ingericht op het kunnen monitoren van de dienstverlening. Deze ondernemingen veronderstellen, bewust of onbewust, dat het sluiten van de overeenkomst met de bijhorende prestatieafspraken voldoende zal zijn voor de kwaliteitsborging van de dienstverlening. Gartner ziet dit als één van de belangrijkste oorzaken dat outsourcingdeals niet tot de gewenste voordelen leiden. De uitbestedende onderneming dient de organisatie zo in te richten dat verantwoordelijkheden en bevoegdheden ten aanzien van het

50

Red. Outsource Magazine (2006), ‘KPMG voorspelt toename insourcing’, nummer 6, pagina 12. Delen G., ‘Zes faal- en vijf succesfactoren bij uitbesteding’, Informatie, April 2004. 52 Cohen Linda, Young Allie en Gartner Inc , ‘Multisourcing’, pagina 11, 2006. 51

Pagina 49


monitoren van de dienstverlening en de prestatieafspraken helder en duidelijk zijn. Daarnaast geeft deze organisatie aan dat, in het geval de onderneming het belang van het monitoren van de leverancier wèl onderkent, de competentievaardigheden hiervan vaak worden onderschat. Het monitoren van een externe leverancier vergt andere vaardigheden dan het managen van een intern proces. Volgens IJmker 53 vindt sturing van de leverancier vaak niet op de juiste wijze plaats (te veel op inhoud, operationele zaken of juridische aspecten) en niet door de juiste persoon. Afgeleid van het Sourcing Governance Framework van Quint heeft IJmker een aantal competenties opgesteld voor een outsourcing manager 54 . Deze zijn: Bedrijfs- versus inkoopbelang: 1) Oog voor verschillende belangen (stakeholder view); het kunnen denken vanuit alle relevante invalshoeken waarbij het gemeenschappelijk belang prevaleert en dus geen ruimte is voor ‘eiland-denken’. 2) Goed kunnen afwegen van bedrijfsbelang versus inkoopbelang; de afweging kunnen maken vanuit een multidisciplinaire denkwijze en niet enkel vanuit de inkoopfunctie. 3) Inlevingsvermogen; het vermogen om zich te kunnen inleven in emotionele belangen en gevoelens van de betrokken partijen bij zowel de interne organisatie als bij de leverancier. Bonus/ malusconstructie: 4) Onderhandelingsvaardigheid; goed onderhandelen en in alle situaties belangen zorgvuldig afwegen vereisen een nuchtere, zakelijke instelling en een tactisch (denk)vermogen. 5) Voldoende (gedoseerde) kennis van de materie; essentieel hierbij is dat de manager over voldoende kennis dient te beschikken en dus niet over zeer diepgaande kennis. Dit om te voorkomen dat de outsourcing manager zich meer gaat richten op de input en zich inhoudelijk met de zaken gaat bemoeien in plaats van zich te richten op de output, het resultaat. 6) Kennis van de branche van de outsourcingsleverancier; de manager zal zich ervan moet vergewissen wat de leveranciersmarkt is en wat hun werkmethodes zijn.

53 54

Ijmker A., ‘Gezocht: Outsourcing manager m/v’, Outsource Magazine, nummer 3 2006, pagina 27. Een outsourcing manager kan één of meerdere rollen vervuld zoals benoemd in paragraaf 4.2.

Pagina 50


Communicatieve vaardigheden en integere houding: 7) Inzicht in de eigen positie; vanuit zijn eigen positie moeten de verantwoordelijkheden, bevoegdheden en taken helder zijn voor de manager, ook moet hij inzicht hebben in de eigen positie ten opzichte van het geheel (zogenaamde ‘helikopterview’). 8) Integere houding; vanwege de sleutelpositie en de hiermee gepaard gaande belangen tussen leverancier en onderneming, dient de manager iemand te zijn die voldoende emotionele en/of sociale binding heeft met de onderneming om eventuele kansen op fraude of samenspanning met de leverancier te verkleinen. 9) Basiskennis van juridische zaken; de outsourcingovereenkomst is een belangrijk contract tussen de leverancier en de onderneming. De manager dient over voldoende juridische kennis te beschikken om de contractinhoud te kunnen begrijpen en hierover voldoende te kunnen communiceren met de juridische afdeling in geval van conflicten of eventuele bijstellingen. 10) Goede communicatieve vaardigheden; de outsourcing manager is bij outsourcing de ‘spin in het web’. Goede en heldere communicatie op het juiste niveau (operationeel, tactisch, strategisch) is van groot belang. De invoering van de dergelijke functie (outsourcing manager) is nog zeer pril, maar lijkt niet al te voortvarend te worden ingevuld zoals blijkt uit de bevindingen van Gartner in zijn recent uitgevoerde onderzoek en het niet zelden ontbreken van een goede monitoring van de uitbestede activiteiten in de praktijk. 4.4

PROCEDURELE MAATREGELEN

Verankering in operationele bedrijfsvoering

Compliance risico

Zoals in paragraaf 2.4 uiteengezet, is er sprake van een aantal

Operationeel risico

procesrisico’s die, voor zover mogelijk, door procedurele maatregelen te treffen dienen te worden gemitigeerd. De

Fraude risico

organisatie dient dus, ook conform de richtlijnen van de ROB (paragraaf 3.3.4.) de maatregelen, voor zover dit mogelijk is, te

Automatiseringsrisico

verankeren in de interne operationele bedrijfsvoering door middel van het opstellen van procedures en richtlijnen.

Financieel risico

Pagina 51


In de transportprocedure, het transporteren van het geld van de klant naar het GTC en naar DNB, dient de nodige aandacht te worden besteed aan een goede en betrouwbare registratie van ontvangst en afgifte van het transport, waarbij onderlinge kwijting wordt verleend tussen de ontvangende en afleverende partij. In deze procedure dienen ook richtlijnen te worden opgenomen hoe wordt omgegaan met het te transporteren geld (in casu: de sealbag). Hierbij kan bijvoorbeeld worden gedacht aan het verzegelen van de sealbag, zodat kan worden gecontroleerd dat de sealbag niet tijdens transport is geopend. Zoals in hoofdstuk 2 al uiteen is gezet, is er een financieel risico aanwezig. Er kan een situatie ontstaan waarin het door het GTC getelde en verwerkte bedrag afwijkt van het door de detaillist opgegeven bedrag of van het door de bank verwerkte bedrag.

Klant

GTC

DNB

Bank

Bedrag

Bedrag

Bedrag

Bedrag

Figuur 18: Interne controle financieel risico

De bank dient het zo te regelen, middels procedures en afspraken met de service provider, dat zij alle informatie ontvangt over het door de klant opgegeven bedrag, het door het GTC ontvangen en getelde bedrag en het door DNB ontvangen bedrag en dat deze informatie bij de bank wordt gemonitored. De informatievoorziening dient er dus in te voorzien dat deze gegevens op transactieniveau (een sealbag wordt gezien als één transactie) beschikbaar en dus vergelijkbaar zijn. Voor het optreden van verschillen in de geldverwerking en de door de klant opgegeven bedragen dient de bank heldere procedures en richtlijnen op te stellen en deze duidelijk te communiceren met de klant. Hierbij kan bijvoorbeeld worden gedacht aan het schriftelijk informeren van de klant indien het verschil een x-bedrag overschrijdt. Daarnaast dient, ter verkleining van het operationeel risico, een aantal interne controlemaatregelen te worden ingevoerd ter voorkoming van bijvoorbeeld invoeren telfouten. Hierbij valt te denken aan interne controle, zoals het 4-ogen principe en de scheiding tussen invoer en controle (en validatie) van invoer.

Pagina 52


4.5

CONTRACTUELE MAATREGELEN

Overeenkomst tot uitbesteding Reedijk en van Berkel geven in hun artikel aan dat het strategische risico beperkt kan worden door onder andere het

Compliance risico (incl. toegang) Transport risico

opstellen van een duidelijk contract tussen de onderneming en de leverancier, een zogenaamd outsourcingcontract. Volgens Delen

Operationeel risico

moet een dergelijk contract enerzijds zekerheid bieden en anderzijds flexibiliteit. Specifieke zaken die in een contract kunnen worden geregeld zijn het exit-scenario (wat te doen indien de activiteiten weer ‘back-in-house’ worden gehaald?), de door de toezichthouders vereiste toegang, aansprakelijkheid en de

Exit risico Juridisch risico Reputatie risico

gewenste dienstverlening. Automatiseringsrisico

Figuur 19: Kwaliteitseisen aan product/dienst 55 Van der Put 56 geeft aan dat een outsourcingovereenkomst kan bestaan uit een mantelovereenkomst, een dienstencatalogus, een of meerdere SLA’s en een Dossier Financiële Afspraken (DFA). De mantelovereenkomst bevat dan bepalingen over de structuur van diverse bijbehorende documenten, duur en beëindiging van de overeenkomst, gevolgen van beëindiging en mogelijke sancties en garanties. Daarnaast kan deze overeenkomst bepalingen bevatten op het gebied van controlerechten, zoals externe audits, alsmede op het gebied van geheimhouding.

55

Putter Rian de, ‘Business Process Outsourcing en de vertrouwensrelatie tussen sourcing partijen’, september 2005, scriptie i.o.v. Vrije Universiteit Amsterdam, pagina 8. 56

Van der Put P.G., ‘Outsourcing; it takes two to tango’, hoofdstuk 6, maart 2004, www.platformoutsourcing.nl.

Pagina 53


mantelovereenkomst (juridisch kader)

dienstencatalogus - produkten - diensten

een of meerdere SLA's - prestatie afspraken

Dossier Financiele Afspraken (DFA) - financiele afspraken

Figuur 20: Juridische structuur outsourcingcontract De (prestatie)afspraken tussen klant en service provider over de beheersingsdoelstellingen worden veelal genormeerd in SLA’s. De Nederlandse Vereniging van Banken (NVB) 57 heeft in 2005 een handreiking opgesteld, genaamd: “Outsourcing: Service Level Agreement (SLA) en Service Level Management (SLM)” en bedoeld als hulpmiddel bij het opstellen van dergelijke contracten. De opzet van deze handreiking is in overeenstemming met de ROB en de regelgeving van de AFM en is inhoudelijk afgestemd met de (Nederlandse) toezichthouders 58 . Het SLM beschrijft het proces van totstandkoming van een SLA, de communicatie naar aanleiding van de SLA en de monitoring (bewaking) van de in de SLA gemaakte prestatieafspraken. De NVB benadrukt dat de SLA primair een werkbaar document moet zijn en dat de juridische afspraken zoveel mogelijk moeten worden vastgelegd in de mantelovereenkomst. Voor de controle op de naleving van deze SLA’s kan een service delivery manager worden aangesteld. De NVB geeft in deze handreiking aan dat het SLA in ieder geval aan de volgende criteria dient te voldoen, na het doorlopen van een goed en gedegen proces van besluitvorming om tot uitbesteding over te gaan: •

Volledigheid van de prestatieafspraken;

•

De prestatieafspraken moeten duidelijk en helder zijn geformuleerd;

•

De SLA moet normen bevatten, zodat het werkelijke niveau van dienstverlening kan worden getoetst en bewaakt;

•

Consistentie van de gemaakte afspraken in de verschillende te hanteren juridische documenten.

Het SLM-proces is specifiek opgesteld voor het monitoren en bewaken van uitbesteden van delen van Informatie Technologie. Alhoewel (enkele) raakvlakken met de onderzoeksdoelstelling aanwezig zijn, is in dit onderzoek aan dit proces geen verdere aandacht besteed.

57

De NVB is in 1989 opgericht en behartigt de belangen van Nederlandse banken op nationaal en internationaal niveau. Vrijwel alle Nederlandse banken zijn lid van de NVB. 58 Jaarverslag NVB 2005, bladzijde 23.

Pagina 54


Sancties Het opnemen van sancties is volgens Van der Put relevant om de leverancier voldoende te kunnen prikkelen om goede prestaties te leveren. In welke mate en op welke wijze deze sancties moeten worden vertaald in juridische afspraken is volgens Van der Put verschillend per situatie. Afhankelijk van de positie van beide partijen zal hiervoor een passend sanctiemodel gekozen moeten worden, dat recht doet aan beide partijen. Exit-situatie Aangezien in een outsourcing transactie activiteiten uit handen worden gegeven van de gebruikersorganisatie aan de service provider, ontstaat hierdoor een afhankelijkheidsrelatie met de service provider. In dit kader is het van belang in de overeenkomst op te nemen hoe er gehandeld wordt wanneer partijen uit elkaar gaan: de exit-regeling. In de (mantel)overeenkomst wordt veelal bepaald dat de leverancier, in geval van beëindiging van de overeenkomst, moet meewerken aan de overdracht van de activiteit terug naar de klant of naar een opvolgende service provider. In de praktijk wordt vaak in de overeenkomst opgenomen welke werkzaamheden de service provider in een dergelijke situatie dient te verrichten, alsmede de bijdrage in de hiermee gepaard gaande kosten 59 . Kennis en expertise In een exit-situatie kan voor de klant intern een probleem optreden op het gebied van de beschikbaarheid van kennis van het uitbestede proces. Een mogelijke oplossing hiervoor kan zijn om bij het sluiten van de overeenkomst eigen personeel te behouden en bij de service provider te detacheren voor de duur van het contract. Zo blijft de proceskennis binnen de eigen organisatie behouden. Diverse eisen die door de relevante toezichthouders worden gesteld, zoals de toegang voor de toezichthouder bij de service provider (paragraaf 3.3.4), kunnen in deze overeenkomst op juridisch verantwoorde wijze worden vastgelegd. Business Contingency Planning Indien bij het uitbesteden van een (deel)proces het operationeel proces en datacommunicatie sterk afhankelijk zijn van geautomatiseerde systemen, dient de uitbesteder voldoende vertrouwen te hebben de continuïteit en de betrouwbaarheid van de gegevensverwerking. Dit kan door bijvoorbeeld contractueel te regelen dat de leverancier dient te beschikken over adequate backup-, uitwijk- en recoveryprocedures e.d.

59

Behr J. en Faas A. , ‘Succesvol sourcen begint met succesvol organiseren´, IT Beheer Jaarboek.

Pagina 55


Uit praktijkonderzoek 60 blijkt dat alle afgesloten contracten met service providers ca. 25% standaard contracten betreffen. Dit betekent dat voor het opstellen van het contract elke situatie en de daarbij behorende voorwaarden, condities en afspraken afzonderlijk kritisch beoordeeld moeten worden. Dekking door middel van verzekeringen Het geld wordt door de waardetransporteur opgehaald bij Fortis Bank en getransporteerd naar het GTC en naar DNB; er bestaat het risico dat dit waardetransport wordt overvallen. Voor deze onderdelen van transport is het mogelijk (zo niet noodzakelijk) voor de bank om het transport te verzekeren voor zover dit mogelijk en reëel is. Voor eventuele restrisico’s kunnen aanvullende afspraken worden gemaakt met de waardetransporteur. In deze casus is de afspraak gemaakt dat de waardetransporteur het restrisico (het bedrag dat niet door de verzekering wordt gedekt) loopt voor het transport. 4.6

ASSURANCE

Toegang bij leverancier in contract

Compliance risico

In het kader van de verantwoordingsfunctie van de bank ten

Operationeel risico

opzichte van de toezichthouder, dient de bank een zekere mate van assurance (zekerheid) te krijgen over de betrouwbaarheid van

Reputatie risico

het uitbestede proces bij de service provider en de nakoming van de gemaakte afspraken. Zoals in paragraaf 3.3.2. en verder uiteen is gezet, dient de bank (wettelijk) te beoordelen of de bedrijfsvoering en de uitvoering van het proces in voldoende mate

Automatiseringsrisico

en op adequate wijze door de service provider kan worden gewaarborgd. Deze beoordeling kan door de bank zelf worden uitgevoerd in samenwerking met bijvoorbeeld de interne accountantsafdeling. In het contract tussen onderneming en leverancier kan een clausule worden opgenomen voor het laten uitvoeren van een audit bij de leverancier. Op deze wijze kan de onderneming toch een oordeel vormen over de kwaliteit en de interne controle van het proces bij de leverancier. Indien het een uitbesteding betreft van een financiële instelling, wordt door de toezichthouder zelfs verplicht gesteld, zoals al in paragraaf 3.3.2 is uiteengezet, dat de toezichthouder toegang krijgt bij de service provider. Dit is ook logisch, gezien de functie en taak van de toezichthouder.

60

Deloitte, “Calling a change in the outsourcing market”, April 2005.

Pagina 56


Assurance door externe partijen De organisatie kan echter ook assurance krijgen aan de hand van specifieke assurance verklaringen. Hierbij valt bijvoorbeeld te denken aan SAS 70 61 -audit rapportages en third-party mededelingen. SAS 70 is een effectieve manier voor de uitbestedende organisatie om inzicht te krijgen in de administratieve organisatie en de interne controle en beheersingsmaatregelen van de service provider. Een SAS 70 verklaring geeft een oordeel over de opzet en het bestaan van de aanwezige beheersingsmaatregelen (zogenaamde SAS 70 type I verklaring) evenals de werking ervan (zogenaamde SAS 70 type II verklaring). Een third-party mededeling (TPM) is een schriftelijke uiting van een onafhankelijke en onpartijdige auditor (EDP of Register Accountant) ten behoeve van een of meer gebruikers. De mededeling is gebaseerd op een door de auditor uitgevoerd onderzoek, dat een bepaalde mate van zekerheid verschaft over het stelsel van getroffen beheersmaatregelen ter waarborging van de kwaliteit van de dienstverlening. De voordelen van een TPM is dat een dergelijke mededeling in de meeste gevallen wordt geaccepteerd door de (externe) auditors van de uitbestedende organisatie en daarom leiden tot een voordeel bij de service provider. Er kan nu immers worden volstaan met een onderzoek dat assurance kan geven aan meerdere klanten.

4.7

MEETBAARHEID EN MONITORING VAN MAATREGELEN

Uit een onderzoek van KPMG 62 blijkt dat het meten van de beoogde voordelen van uitbesteding voor het overgrote deel gebeurt op basis van kwalitatieve criteria. Dit geldt niet voor kostenbesparing; 66% van de respondenten geven aan dit op basis van kwantitatieve criteria te meten. De risico’s die verbonden zijn aan outsourcing worden door de respondenten voor minimaal 60% gemeten en gemonitored op basis van kwalitatieve criteria. Voor het financiële risico wordt een uitzondering gemaakt; dit wordt door ca. 70% van de respondenten gemeten aan de hand van kwantitatieve criteria. Het meten van het dienstniveau van de service provider is mede afhankelijk van de soort van relatie tussen de service provider en de uitbestedende organisatie. Volgens De Putter 63 bestaat er

61

SAS = Statement of Audit Standards No. 70. KPMG International “Future Sourcing; Evaluating the risks and benefits of sourcing; Financial Services” (2006), pagina 10-11. 63 Putter Rian de., ‘Business Proces Outsourcing en de vertrouwensrelatie tussen sourcing partijen’, September 2005. scriptie i.o.v.Vrije Universiteit Amsterdam, pagina 8. 62

Pagina 57


een wisselwerking tussen de beloning en de relatie; de keuze voor de relatie bepaalt hoe het bonus-malussysteem wordt ingericht en tegelijkertijd beïnvloeden de gekozen prestatieindicatoren en het bonus-malussysteem de relatie. Des te belangrijker de samenwerkingsrelatie met de service provider is, bijvoorbeeld in geval van outsourcing van (een deel van) de core business, des te meer het bonus-malussysteem gericht zal zijn op het motiveren en laten excelleren van de service provider. 4.8

SAMENVATTING

In dit hoofdstuk zijn de mogelijke maatregelen, zoals beschreven in diverse literatuur en publicaties, in kaart gebracht die kunnen worden ingevoerd ter beheersing van de risico’s die voortvloeien uit het uitbesteden van het proces van cash processing bij de financiële instelling. In onderstaande tabel zijn de mogelijke maatregelen per risico aangegeven. In dit hoofdstuk is verder geen aandacht besteed aan de mogelijke voor- en nadelen van deze maatregelen. Deze vraag zal worden beantwoord door het afnemen van interviews met relevante personen en zal

Maatregelen Besluitvorming tot uitbesteding (4.2): - strategische herorientatie - opstellen & monitoren business case - leveranciersselectie

√ √

Maatregelen ter verkrijging assurance (4.6): - toegang bij leverancier in contract - externe partijen

Automatisering

Toegang

√ √

√ √

√

Procedurele maatregelen (4.4): - verankering in operationele bedrijfsvoering - interne controlemaatregelen Contractuele maatregelen (4.5): - overeenkomst tot aanbesteding - dekking door verzekeringen

√ √

Organisatorische maatregelen (4.3): - open communicatie - inbedding monitoring functie


Exit

Reputatie

Strategisch

Compliance

Operationeel

Fraude

Financieel

Beheer

Risico's

Transport

verder aan bod komen in hoofdstuk 6 en 7.

√ √

√

√ √

√ √

√

√

√

√

√ √

√ √

√

√

√

√

√ √ √

√ √

Figuur 21: Overzicht van mogelijke beheersingsmaatregelen per risico

Wat uit bovenstaande samenvatting opvalt is dat een risico kan worden gemitigeerd door een of meerdere beheersingsmaatregelen. Voor alle geconstateerde risico’s kunnen beheersingsmaatregelen voor worden getroffen; de (praktische) haalbaarheid en uitvoerbaarheid

Pagina 58


van deze beheersingsmaatregelen is echter niet aan de orde geweest. Die zullen moeten blijken uit het (praktijk)onderzoek aan de hand van interviews met betrokken personen. Vele risico’s kunnen worden ondervangen of worden beperkt door het vastleggen van contractuele bepalingen en afspraken. Dit lijkt logisch aangezien een gedeelte van het proces in handen komt van een derde partij. Maar dit is niet alles omvattend. Voor de aanwezige risico’s dient zowel de klant als de leverancier adequate beheersingsmaatregelen te implementeren om de risico’s te kunnen beheersen. De interne organisatie van de uitbestedende organisatie dient te worden aangepast door middel van organisatorische en procedurele maatregelen om nauwer en op een meer constructieve wijze samen te kunnen werken met de leverancier. Deze benadering zal nader worden uitgewerkt in het volgende hoofdstuk.

Pagina 59


5. OUTSOURCING: ‘AWARENESS FIRST’ 5.1

INLEIDING

Uit hoofdstuk 3 blijkt dat de definitie van outsourcing wellicht niet helemaal helder of eenduidig is. Welke processen kun je nu wel en welke niet uitbesteden en wat wordt onder ‘primaire’ of ‘bancaire’ processen verstaan? Volgens een aantal artikelen zijn de primaire processen de ‘core’ processen van een onderneming. Maar is dit altijd eenduidig? Het moge helder zijn dat kredietverlening een primair proces is van een bancaire instelling, maar waar ligt de grens? Waarom is het proces van geldverwerking, inherent en specifiek voor een bancaire instelling, geen core business? Of is het dat wel? Is het realistisch om ‘interne’ outsourcing gelijk te stellen aan ‘externe’ outsourcing? Het beleid en de uitvoering wordt immers door dezelfde organisatie bepaald? Dit zijn vragen die bij het onderzoek ter discussie zullen worden gesteld. De toezichthouder maakt in ieder geval op dit moment geen onderscheid tussen interne en externe uitbesteding; het uitbesteden door een andere juridische entiteit is voldoende om dit als uitbesteding te betitelen. Zouden we het onderscheid tussen interne en externe outsourcing wel moeten willen maken? Uit hoofdstuk 4 blijkt duidelijk dat een fors aantal beheersingsmaatregelen moeten worden genomen, zowel door de uitbestedende organisatie als de leverancier, indien men besluit tot uitbesteding. De organisatie dient zelf voldoende bewust te zijn wat de (mogelijke) consequenties zijn van uitbesteding en de haalbaarheid van de vereiste of gewenste beheersingsmaatregelen. Dit zal nader worden toegelicht in dit hoofdstuk. In dit hoofdstuk zal aandacht worden besteed aan een andere benaderingswijze van outsourcing; een benadering die wordt geïnitieerd door de vraag ‘Wil en moet (bijvoorbeeld als gevolg van weten regelgeving) een organisatie zelf ‘in-control’ zijn bij de uitvoering van een (deel van een) proces?’. Waarvan moet een organisatie zich bewust zijn op het moment dat ze een proces willen gaan uitbesteden?

5.2

BEWUSTZIJN: WANNEER SPREKEN VAN OUTSOURCING?

Fortis Bank heeft in haar beleid opgenomen dat van uitbesteding sprake is indien een bancair proces of een deel daarvan, wordt uitbesteed aan een andere juridische entiteit (paragraaf 3.2.4). De toezichthouder, in dit geval DNB, voegt hieraan toe dat daaraan ondersteunende processen ook vallen onder de definitie (paragraaf 3.2.3.1). Uit de literatuur blijkt dat ook uitbesteding van ondersteunende processen gekenmerkt kan worden als outsourcing. Sterker nog, uit een aantal Pagina 60


artikelen is gebleken dat uitbesteding van ‘core’ processen niet gewenst is aangezien die de toegevoegde waarde voor de onderneming creëren, die daardoor negatief beïnvloed zou kunnen worden. In een dergelijk geval rijst de vraag: ‘Is het wel gewenst om vanuit de definitie van outsourcing een proces te categoriseren als zijnde wel of geen uitbesteding?’ Een andere gedachtewijze zou kunnen zijn om te redeneren vanuit de risico’s en de beheersingsproblematiek en niet zo zeer vanuit de definitie. De vraag zou gesteld kunnen worden of het gewenst zou zijn, in geval van het laten uitvoeren van een (deel van een) proces door een leverancier, de aan het proces gerelateerde risico’s, alsmede de risico’s die ontstaan doordat de leverancier deze gaat uitvoeren, in voldoende mate te willen of moeten (vanuit weten regelgeving) beheersen. In dat kader is het verder niet relevant of het een primair of ondersteunend proces betreft. De aard en omvang van de risico’s en de gewenste beheersing van het proces zijn dan leidend om het als outsourcing te betitelen en de hieraan gerelateerde beheersingsmechanismen te implementeren. Deze gedachtewijze kan van groot belang zijn voor (grote) organisaties waar beslissingen voor outsourcing en inkoop zijn gedelegeerd. Visie en beleid over uitbesteding zijn dan, ook in geval van Fortis, vastgelegd in beleidsnota’s die voldoende richting moeten geven voor de beslissers. Indien de interpretatie van een ‘bancair’ proces niet helemaal juist wordt opgevat, is de kans aanwezig dat ten onrechte een proces niet als uitbesteding wordt gekenmerkt en zodoende hiervoor ook niet de nodige beheersingsmaatregelen zijn getroffen. Dus de vraag die de onderneming zich zelf zal moeten stellen is: ‘Wil of moet (op basis van weten regelgeving) ik als onderneming ‘in-control’ blijven bij de uitvoering van het proces? Indien het antwoord op deze vraag bevestigend is, is er sprake van uitbesteding en zal de onderneming een intensieve relatie aan moeten gaan met de service provider (de uitvoerder van het proces). De relatie met de service provider zal later in dit hoofdstuk aan de orde komen. De organisatie dient zich dus, het voorgaande samenvattend, bewust te zijn van: - Wanneer een inkoop kan of moet worden betiteld als outsourcing. Hulpmiddel hierbij kan zijn het aangeven van het minimale risicokader die een inkoop vervolgens categoriseert als uitbesteding.

Pagina 61


Zelf 'in-control'?

Inkoop Nee

Ja

Outsourcing Sprake van outsourcing

Figuur 22: Differentiatie inkoop versus outsourcing

In geval van Fortis dient de bank zich er terdege bewust van te zijn, en dit ook uit te dragen naar de strategische en tactische niveaus binnen de bank, wat precies wordt verstaan onder het bancaire proces. Zou men kiezen voor bovenstaand proces, dan zou dit geen onderwerp van discussie zijn en zou enkel de vragen moeten beantwoord of Fortis bij het proces ‘in-control’ wil blijven of moeten zijn. Hierbij zou dan eventueel een minimaal risicokader kunnen worden aangegeven.

5.3

BEWUSTZIJN: STRATEGISCHE POSITIONERING

‘Gezien de argumenten voor outsourcing en de impact daarvan op de processen en de bedrijfsvoering is de betrokkenheid van deskundig management en gebruikers een absolute randvoorwaarde voor het laten welslagen van outsourcing 64 ’. Een outsourcingtraject kent een topdown benadering waarbij strategie, beleidsdoelstellingen, kerntaken, producten en diensten, primaire en secundaire processen de revue dienen te passeren en beoogde doelen en resultaten in kaart worden gebracht. Langs deze weg kan men komen tot een verantwoorde beslissing. Uit het onderzoek van KPMG 65 blijkt echter dat 40% van de in het onderzoek betrokken financiële dienstverleners een korte termijn visie hanteren over uitbesteding. In dergelijke gevallen ontbreekt vaak een ondernemingsstrategie op het vlak van sourcing waarin o.a. zou moeten zijn vastgelegd hoe risico’s en voordelen gevolgd en beheerst moeten worden. Dat het formuleren van strategie over outsourcing een belangrijke beheersingsmaatregel is, is reeds toegelicht in hoofdstuk 4.2. Uit een ander onderzoek van KPMG (‘Sourcing in the Global

64

Poel D.J. van der, “Outsourcen; onderbouwde beslissing of vergissing?”, Compact, 2004, pagina 18.

65

KPMG International, “Future Sourcing; evaluating the risks and benefits of sourcing, Financial Services”, 2006.

Pagina 62


Environment: The Challenge Ahead’) blijkt volgens Grommen 66 dat outsourcingsdeals vaak niet leiden tot het gewenste succes door het gebrek aan strategische visie op sourcing bij de uitbestedende organisatie. In vele gevallen is zelden een duidelijk bedrijfsoverkoepelend standpunt geformuleerd over hoe outsourcing moet worden aangepast en wat de beoogde resultaten moeten zijn. Strategic sourcing is, volgens Arendonk 67 , het bewust omgaan met sourcingsvraagstukken binnen de organisatie. De ‘make-or-buy’ vraag is geen operationele vraag, maar een beleidsmatige. Hierdoor moet het vraagstuk op beleidsniveau behandeld worden en is een organisatiebrede aanpak nodig. Strategic souring borgt dat een organisatie op het juiste moment de juiste sourcing variant voor de juiste organisatieactiviteiten gebruikt om de organisatiedoelstellingen optimaal te ondersteunen of te helpen bereiken. ´Strategic sourcing´ is dus niet het eenmalig besluiten omtrent een mogelijke sourcing, maar het periodiek bekijken van de organisatie als geheel en het aanpassen van de manier van sourcing aan de strategie van de organisatie. Gartner bevestigt dit. Deze organisatie geeft aan dat een van de voorwaarden voor een succesvolle outsourcing is het formuleren en uitdragen van een duidelijk en heldere sourcingstrategie 68 . Gartner gebruikt hierbij het begrip ‘multi-sourcing’, dat inhoudt dat meerdere sourcingvarianten (zie ook paragraaf 3.2.2) kunnen leiden tot een optimale sourcing strategie. Om de voordelen van (out)sourcing optimaal te benutten dient de organisatie zich bewust te zijn van de sourcing varianten en de door de organisatie gewenste en te realiseren sourcing strategie. Hierbij geeft Gartner aan dat het ook mogelijk en soms zelfs gewenst is om één proces door meerdere leveranciers te laten uitvoeren, waarin iedere leverancier verantwoordelijk is voor een subdeel. Deze vorm van outsourcing wordt ook door Nijenhuis 69 gezien als een toekomstige ontwikkeling van sourcing. 5.4

BEWUSTZIJN: RELATIE MET LEVERANCIER

Er bestaat een groot verschil tussen het inkopen van producten en het aangaan van een sourcingrelatie. Bij een inkoop probeert men de laagste prijs te krijgen tegen een vooraf vastgestelde prestatie of kwaliteit; de relatie tussen leverancier en klant is minder van belang en niet zozeer van invloed op de prestatie. Bij outsourcing wordt men echter langdurig van elkaar afhankelijk. Wanneer een leverancier heeft geoffreerd tegen een te lage prijs en dan niet uit de kosten komt, is hij vaak gedwongen zijn inzet te beperken, wat ten koste van het service level gaat. Of hij gaat al zijn creativiteit richten op het identificeren van meerwerk. In een dergelijke

66

Grommen S., ‘Outsourcing faalt bij gebrek aan strategische visie’, www.datanews.nl, 6 oktober 2006. Arendonk Cas van c.s., ‘Financiële bedrijfsactiviteiten wel of niet outsourcen?’, Tijdschrift Controlling, September 2006, pagina 28. 68 Cohen Linda, Young Allie en Gartner Inc , ‘Multisourcing’, pagina 14, 2006. 69 Nijenhuis W., ‘De kansen en valkuilen van outsourcing’, Media Plaza Review, februari 2006. 67

Pagina 63


situatie wordt alles wat niet letterlijk in de SLA en het contract is opgenomen, apart in rekening gebracht en kan de situatie ontstaan dat beoogde kostenvoordelen niet worden behaald. Het moge helder zijn dat de relatie tussen de uitbesteder en leverancier gericht zal moeten zijn op een ‘winwin’-situatie. De ‘beloningsstructuur’ tussen leverancier en ondernemer is reeds nader toegelicht in hoofdstuk 4.7. De in hoofdstuk 4 aangegeven beheersingsmaatregelen - voor zover deze geregeld kunnen worden in contracten en schriftelijke afspraken - zijn zeker belangrijk voor de afdekking van het juridische risico. Echter naar mijn idee zou de goede relatie met de leverancier boven de contractuele regels moeten prevaleren. Deze soort relatie is echter van geheel andere aard dan die van een inkooprelatie, waarbij de onderneming zelf niet ‘in-control’ hoeft te zijn. Nijenhuis bevestigt dit in zijn artikel 70 en geeft aan dat ook op operationeel niveau goed contact moet zijn tussen de service provider en de organisatie, waarbij één contactpersoon die kennis heeft van het proces als intermediair kan fungeren. Nijenhuis vergelijkt de relatie met een

leverancier met een partner relatie; aanvankelijk zijn beide partijen enthousiast, maar gaandeweg kunnen er misverstanden of breuken in de relatie ontstaan. Dan ontstaat het punt van de ‘Dark Night Of Outsourcing’ van Morgan Chambers; het punt van ‘kiezen of delen’. Dit leidt in de praktijk tot een ‘verbroken relatie’: de uitbesteding wordt stop gezet. Of het leidt tot een hernieuwde verbeterde relatie, waarin afspraken en processen beter op elkaar worden afgestemd. Cruciaal bij dit breekpunt is het vermogen en bewustzijn van de uitbestedende organisatie om dit punt te erkennen en de juiste weg in te slaan.

5.5

BEWUSTZIJN: VOLWASSENHEID ORGANISATIE

De mate van volwassenheid van de uitbestedende organisatie staat niet helemaal los van de relatie met de leverancier. De organisatie dient in voldoende mate volwassen te zijn om de relatie met een leverancier te kunnen managen. Het vermogen om zichzelf of een andere organisatie aan te sturen kan gemeten worden aan de hand van een zogenaamd ‘volwassenheidsmodel’. Een voorbeeld van een dergelijk model is het INKmanagementmodel, afkomstig van het gelijknamige INK (Instituut Nederlandse Kwaliteit). Dit model onderscheidt de volwassenheid van een organisatie in een 5-tal niveaus, te weten:

70

Nijenhuis W., ‘De kansen en valkuilen van outsourcing’, Media Plaza Review, februari 2006.

Pagina 64

Niveaus volgens INK-model: oriëntatie op:


Excelleren

5 Keten

4 Systeem

3 Proces

2 1

Activiteit

Mate van volwassenheid

Figuur 23: Fasen volwassenheid volgens INK-model

Om een leverancier te kunnen monitoren moet een organisatie minstens op niveau 4 zitten; Ketengeoriënteerd dus 71 . Het INK-model is opgebouwd uit een 9-tal velden. Deze negen velden zijn te verdelen in 2 aandachtsgebieden, te weten de ‘organisatievelden’ en de ‘resultaatvelden’. De organisatievelden hebben betrekking op leiderschap, beheer en strategie, personeelsmanagement, middelenmanagement en management van processen. Dit zijn allemaal aandachtsgebieden die betrekking hebben op de interne organisatie en die uiteindelijk leiden tot het resultaat. De resultaatgebieden zijn de waardering door klanten, de waardering door personeel, de waardering door de maatschappij en de ondernemingsresultaten. Deze 9 velden zijn op een of andere wijze aan elkaar gekoppeld voor zover ze elkaar kunnen beïnvloeden. Een en ander is weergegeven in de hierna volgende figuur.

Figuur 24: INK-management model: organisatie en resultaatvelden

71

Volgens G. Delen (2005), ‘Succesfactoren voor outsourcing’, Compact, pagina 40.

Pagina 65


Bij de organisatie gaat het vooral om de wijze waarop de organisatie de processen managed, strategie en beleid opstelt en uitdraagt en de wijze van motiveren van medewerkers om zodoende processen te kunnen verbeteren en resultaten te optimaliseren. Bij de resultaatgebieden gaat het vooral om de meetbaarheid van de prestatie en het stellen van normen hiervoor om de uitkomsten hiervan vervolgens te kunnen vergelijken met andersoortige ondernemingen. Hoe meer een organisatie in staat is deze velden aan elkaar te koppelen, hoe meer een organisatie zal groeien in volwassenheid 72 . Om te komen tot betere prestaties via een structureel proces is de Deming-cirkel een handzaam middel. De filosofie achter dit theoretische kader is dat de uitgevoerde werkzaamheden kritisch worden geanalyseerd en als input dienen voor de volgende fase in het proces. De 4 verschillende fasen in de Deming-cirkel zijn: Plan, Do, Check en Act. De Deming-cirkel toepassend op het INK-model levert de volgende figuur op:

Figuur 25: Deming gerelateerd aan het INK-model

72

In deze scriptie worden geabstraheerd van de wijze van totstandkoming van de diverse niveaus van volwassenheid.

Pagina 66


De Deming-cirkel in relatie met het INK-model zou prima kunnen werken als verbetermodel voor de volwassenheid van een organisatie en daarmee dus ook de competentie om outsourcingdeals te kunnen sluiten en processen, uitbesteed of niet, te blijven managen.

5.6

SAMENVATTING

In dit hoofdstuk is getracht outsourcing vanuit een andere invalshoek te benaderen. Teneinde discussies over definities van primaire en secundaire processen te voorkomen, is gekozen voor een benadering vanuit de door de onderneming gewenste beheersing in geval van uitbesteding van een (deel van een) proces. Indien de onderneming deze vraag bevestigend beantwoordt, kan worden gesproken van outsourcing en dient door de onderneming een goede inschatting gemaakt te worden van de risico’s en de beheersingsmaatregelen die hierop van toepassing zouden kunnen zijn. Echter, voordat dit traject kan worden opgestart, dient de uitbestedende onderneming zich bewust te zijn van een aantal zaken die wezenlijk anders zijn dan de reguliere bedrijfsvoering. De onderneming dient goed na te denken over de strategische positionering van (out)sourcing, het outsourcingbeleid en de mogelijkheden die andere sourcingvarianten kunnen bieden. Daarnaast moet de organisatie zich er goed bewust van zijn dat ze de relatie met de leverancier ‘aankunnen’; het is namelijk een andersoortige relatie en het vergt dus andere managerial capaciteiten om de leverancier te monitoren dan in geval van een inkooprelatie. Hierbij kan de onderneming het INK-model gebruiken om een zelfevaluatie uit te voeren op de mate van volwassenheid. Om de volwassenheid van een onderneming te verbeteren kan de Deming-cirkel worden toegepast, die een re-iteratief proces beschrijft, gericht op verbeteren en evaluatie van prestaties en normen.

Pagina 67


Zelf 'in-control'?

Nee

Inkoop

Ja

Sprake van outsourcing

BEWUSTZIJN

Strategische positionering

Partnership leverancier

volwassenheid organisatie

(Pre)keuze outsourcing

Besluitvormings traject

Figuur 26: Outsourcing, een andere benaderingswijze

Als de onderneming voldoende volwassen is (volgens het INK-management model gericht op de keten), is zij voldoende capabel om de intensieve relatie met de leverancier te managen. Een en ander is samengevat in bovenstaande figuur. In hoeverre deze filosofie draagkracht heeft in de praktijk zal worden onderzocht in het volgende hoofdstuk aan de hand van het houden van interviews.

Pagina 68


6. KWALITATIEF ONDERZOEK 6.1

INLEIDING

In de voorgaande hoofdstukken zijn allereerst het proces van cash processing in kaart gebracht en de risico’s die inherent zijn aan dit proces zonder dat hierop enige vorm van beheersingsmaatregelen van toepassing zijn. Daarna is vanuit de literatuur onderzocht wat de exacte definiëring is van outsourcing en is - mede vanuit diverse (externe) onderzoeksrapporten een opsomming gemaakt van de hieruit vloeiende specifieke risico’s. Vervolgens is op basis van de voor Fortis Bank Nederland van toepassing zijnde weten regelgeving het (minimale) normenkader in beeld gebracht. In hoofdstuk 4 is getracht een zo volledig mogelijk beeld te schetsen, vanuit diverse publicaties en (externe) onderzoeksrapporten, van de potentiële beheersingsmaatregelen die geïmplementeerd kunnen worden voor de erkende algemene en procesrisico’s. In hoofdstuk 5 is een alternatieve benaderingswijze voor outsourcing beschreven. Dit hoofdstuk beschrijft de doelstelling(en) van het uitgevoerde kwalitatieve (praktijk)onderzoek evenals de aanpak, werkwijze en resultaten.

6.2

DOEL EN OPZET VAN HET ONDERZOEK

In hoofdstuk 1 is de onderzoeksdoelstelling opgenomen: “(1)Het onderzoek is gericht op het verkrijgen van kennis en inzicht met betrekking tot de aanwezige risico’s van het geldverwerkingsproces bij een bancaire instelling. (2) Daarnaast is het onderzoek er op gericht om kennis en inzicht te verwerven van de aanwezige risico’s van geldverwerking in geval van outsourcing met inachtneming van de door toezichthouders gestelde voorwaarden ten aanzien van outsourcing. (3) Tenslotte is het onderzoek er op gericht om te komen tot inzichten met betrekking tot mogelijk te nemen beheersingsmaatregelen voor het verminderen resp. mitigeren van de gesignaleerde risico’s van outsourcing.” Het praktijkonderzoek wordt uitgevoerd voor het (uitbestede) geldverwerkingsproces binnen Fortis Bank Nederland en kan worden onderverdeeld in de volgende onderzoeksaspecten: 1. Outsourcing kader: Is het voldoende helder wat onder outsourcing wordt verstaan en welke processen hiervoor in aanmerking komen?

Pagina 69


2. Compliance kader: Is het voldoende helder welke eisen de toezichthouder stelt ten aanzien van het uitbesteden van processen en zijn deze haalbaar? 3. Risico kader: Zijn, zowel de uitbesteder als de leverancier, voldoende bewust van de aan uitbesteding inherente risico’s en hebben ze hiervoor adequate maatregelen getroffen? 4. Beheersingskader*: -

In hoeverre zijn de in hoofdstuk 4 beschreven beheersingsmaatregelen toegepast binnen het geldverwerkingsproces in deze casus?

-

In hoeverre zijn de in hoofdstuk 4 beschreven beheersingsmaatregelen realistisch en worden deze in de praktijk toegepast?

-

Vindt de uitbesteding plaats vanuit de partnership gedachte?

Aangezien het hier een casusgericht onderzoek betreft, zal het praktijkonderzoek verklarend en toetsend van aard zijn en toegespitst op de situatie bij Fortis Bank Nederland. * Voor wat betreft het beheersingskader en de hieraan gerelateerde onderzoeksvragen: dit onderzoeksaspect zal zich niet enkel richten op het geldverwerkingsproces, maar op de gehele beheersingsproblematiek van outsourcing in het algemeen.

6.3

AANPAK KWALITATIEF ONDERZOEK

Het kwalitatief onderzoek is uitgevoerd aan de hand van interviews. Voor het afleggen van deze interviews is een (standaard) vragenlijst opgesteld (bijlage 9) waarbij rekening gehouden is met het ‘snow-balling’ effect (antwoorden in interview x kunnen tot vragen leiden in interview x+1). Deze gesprekken zijn schriftelijk vastgelegd in interviewverslagen en gevalideerd door de betrokkenen. De casestudy (kwalitatief onderzoek) kenmerkt zich o.a. doordat er geen kwantitatieve analyse van de verzamelde gegevens kan plaatsvinden 73 . Analyse vindt plaats door uitkomsten onderling te vergelijken. Om bij dit onderzoek meer diepgang te verkrijgen is ervoor gekozen om meerdere organisaties (bronnen) te betrekken bij de interviews (bronnentriangulatie). De volgende organisaties zijn betrokken in de interviews:

73

Verschuren P. en Doorewaard H., ‘Het ontwerpen van een onderzoek’, pagina 170.

Pagina 70


•

Bancaire instellingen: Fortis Bank Nederland;

•

Adviesbureaus:

Kirkman Company;

•

Leveranciers:

G4S, CMG Logica, CSC;

•

Toezichthouder:

DNB;

•

Overig:

Outsource Magazine.

In bijlage 8 is een overzicht opgenomen van de geïnterviewde personen per organisatie waarbij hun functie is weergegeven. De interviews zijn mede gebruikt ter validatie voor juistheid en volledigheid van de in kaart gebrachte risico’s en beheersingsmaatregelen (hoofdstuk 2, 3 en 4) en ter toetsing van het in hoofdstuk 5 beschreven theoretisch model. De wijzigingen hierop die voortgevloeid zijn uit de interviews, zijn al in de betreffende hoofdstukken verwerkt en zullen hier niet meer afzonderlijk worden behandeld 74 .

6.4 6.4.1

ONDERZOEKSRESULTATEN Algemeen

In deze paragraaf zullen de resultaten worden weergegeven van de afgelegde interviews. Voor zover de resultaten leiden tot verschillende meningen en/of opvattingen tussen bank, leverancier, uitbesteder en overige partijen, is dit afzonderlijk weergegeven. Bij het weergeven van deze meningen en/of opvattingen dient de lezer bedacht te zijn dat dit opmerkingen zijn vanuit een individueel standpunt en deze mogelijkerwijs niet de mening van de organisatie als geheel weergeven. 6.4.2

Outsourcing kader

Is het voldoende helder wat onder outsourcing wordt verstaan en welke processen hiervoor in aanmerking komen? Om antwoord te kunnen geven op deze vraag dienen de volgende (sub)vragen te worden beantwoord, te weten: Is helder wat onder outsourcing wordt verstaan? Is het verschil tussen inkoop en outsourcing helder? 74

N.a.v. de interviews waren er slechts summiere inhoudelijke wijzigingen in deze hoofdstukken.

Pagina 71


Is er eenduidigheid over de processen die een onderneming resp. een financiële instelling kan of mag uitbesteden? Kan iedere organisatie een(sub)proces uitbesteden? Is er adequaat beleid op het gebied van (out) sourcing? Zou outsourcing beter gedefinieerd kunnen worden vanuit het antwoord op de beheersingsvraag, zoals in hoofdstuk 5 is uiteengezet? De antwoorden op deze vragen vanuit de diverse bronnen, zijn hieronder, per vraag, toegelicht. Is helder wat onder outsourcing wordt verstaan? Alle bronnen zijn van mening dat (out)sourcing het uitbesteden van processen betreft waarbij de uiteindelijke verantwoordelijkheid van deze processen blijft liggen bij de uitbesteder. Het antwoord op de vraag welke processen dan uitbesteed kunnen of mogen worden, wordt verderop in deze paragraaf beantwoord. Is het verschil tussen inkoop en outsourcing helder? Volgens Fortis Bank is het kenmerkende verschil tussen inkoop en outsourcing dat in geval van outsourcing vertrouwelijke gegevens onder beheer van de leverancier kunnen komen. Een adviesorganisatie, gespecialiseerd in bemiddeling, advisering en ondersteuning in sourcingtrajecten, volgt een benadering die geen verschil meer maakt tussen inkoop en sourcing. Inkoop wordt in een dergelijk geval gezien als een operationeel proces dat wordt uitbesteed en waarvan men het resultaat van het proces outsourced. Kenmerkend hierbij is dat de organisatie voldoende ervaring en kennis van het proces heeft om het gewenste resultaat juist te kunnen specificeren. Vanuit een andere bron wordt aangegeven dat het kenmerkende verschil tussen inkoop en outsourcing de termijn betreft van het contract c.q. de relatie die wordt aangegaan. Outsourcing vindt vaak plaats voor langere termijn en er vindt een duidelijke ‘knip’ plaats in het primaire proces. Vanuit deze visie vindt inkoop veelal plaats op ad-hoc basis; contracten kunnen snel beëindigd worden en er kan makkelijker worden overgestapt naar een andere leverancier. Diensten of producten die worden ingekocht hebben minder impact op de core business en de kwaliteit ervan kan vaak worden bedongen via een garantieclausule in het contract. In de praktijk kan echter een bundeling van inkoop van meerdere diensten binnen één procesgebied wel leiden tot uitbesteding. Een voorbeeld hiervan is de inkoop van diensten binnen het personeelsproces. Op het moment dat het gehele personeelsproces (bijvoorbeeld personeelswerving, personeelsadministratie en salarisverwerking) wordt ingekocht, is duidelijk sprake van outsourcing, omdat het (vroegtijdig) beëindigen van het contract en dus het weer zelf gaan Pagina 72


uitvoeren van dit gehele proces tot complexe situaties kan leiden. Hier ontstaat dus een afhankelijkheidsrelatie tussen de uitbesteder en de leverancier. Vanuit de leverancierskant wordt aangegeven dat een belangrijk verschil tussen inkoop en outsourcing is, dat bij outsourcing de uitbesteder wel zelf in-control wil of moet (op basis van weten regelgeving) zijn. Wat dit betreft sluit deze zienswijze aan bij de beheersingsvraag van hoofdstuk 5. Is er eenduidigheid omtrent de processen die een onderneming resp. een financiële instelling kan/mag uitbesteden? Alle bronnen zijn het erover eens dat alle processen kunnen worden uitbesteed met uitzondering van die processen die tot de core business behoren en de functies van (dagelijkse) leiding van de onderneming, het bestuur, de interne audit en de financiële functie. De uitbesteding van deze functies is door de toezichthouder niet toegestaan (ROB artikel 63 75 ). Onduidelijk is echter wat exact wordt verstaan onder core business. Een leverancier definieert het core proces als dat proces waarin de kracht van de onderneming zit. Bij het uitbesteden van dit proces, of een deel hiervan, verdwijnt de kracht (geheel of deels) en zal de onderneming op termijn geen bestaansrecht meer hebben doordat de onderscheidende factor is verdwenen. Een voorbeeld hiervan zijn Nike en Benetton; in feite is de marketingorganisatie hun core business. Hier ligt hun kracht; zij kopen sportartikelen in en marketen dit tot een dusdanig niveau dat zij dit artikel onder een merklabel kunnen verkopen op de markt. Een andere bron geeft aan het core proces onlosmakelijk verbonden is met de significante bijdrage in het financiële resultaat. Volgens een andere bron zijn het die bedrijfsprocessen die duidelijk een relatie hebben met het eindproduct. Het hierbij door de bron genoemde voorbeeld betrof Philips; zij inkopen en verkopen o.a. gloeilampen, maar produceren deze niet zelf (of deze stelling klopt is niet geverifieerd). Toch wordt dit gezien als een core proces voor Philips. Kan iedere organisatie een proces (of deel daarvan) uitbesteden? Een van de gebruikte bronnen is een adviesbureau dat een eigen benadering heeft voor sourcingvraagstukken. In het kader hiervan spreken zij van ‘maximale source-ability’, wat inhoudt dat per situatie en onderneming de hoogst haalbare sourcingvariant wordt bepaald. Een onderdeel van deze methode is o.a. het vaststellen in hoeverre de organisatie of het proces/ domein volwassen genoeg is. Het model is voornamelijk bedoeld voor IT domeinen maar kan, na

75

Zie ook paragraaf 3.3.2.1 laatste alinea.

Pagina 73


enige aanpassingen, ook gebruikt worden voor het meten van de volwassenheid van de uitbestedende organisatie.

Figuur 27: Volwassenheidsniveau’s van domeinen 76

Vorenstaande staat in schril contract met een uitspraak van een andere bron. Deze bron is van mening dat in principe alle organisaties processen of delen daarvan uitbesteden. In de markt is voldoende kennis aanwezig (bijv. bij adviesbureaus), die de uitbesteder bij dit traject kan inkopen om beslissingen weloverwogen te kunnen nemen. Het uitsteden van IT is al wat verder ontwikkeld dan het uitbesteden van bedrijfsprocessen. Binnen dit vakgebied is recent een studie uitgevoerd, met als doelgroep financiële instellingen, naar de factoren die een juiste ‘Mindset’ en ‘Readiness’ bepalen voor offshore outsourcing als onderdeel van de sourcing strategie (rapport van Yellowtail Offshore Readiness Survey 2007). Eén van de belangrijkste conclusies van dit onderzoek is dat de ‘Mindset’ op de gebieden cultuur en kennismanagement hoog scoort (64% resp. 59%), waaruit blijkt dat de financiële instellingen inzien dat het organiseren van kennismanagement en het hebben van een open, internationale cultuur belangrijke succesfactoren zijn 77 . Is er adequaat beleid op het gebied van (out) sourcing? In hoofdstuk 3.5 zijn de risico’s rondom outsourcing in kaart gebracht. Een van de meest genoemde risico’s is het strategisch risico (paragraaf 3.5.2, figuur 13). Om de (sub)risico’s die hieruit voortvloeien te ondervangen is het belangrijk dat een onderneming beschikt over

76

Behr G. en Faas A., ‘Succesvol sourcen begint met succesvol organiseren;, IT Jaarboek 2004/2005, pagina 164. 77 Prof. Dr. Van Hillegersberg, ‘Yellowtail Offshore Readiness Survey 2007’, 2007, pagina 64.

Pagina 74


strategisch beleid op het gebied van (out)sourcing. Deze beheersingsmaatregel is al toegelicht in paragraaf 4.2. In de praktijk blijkt, zoals door alle bronnen wordt bevestigd, dat nog niet veel ondernemingen beschikken over een heldere en duidelijke sourcing strategie. Er is echter wel aandacht voor: menig (grote) onderneming is bezig om sourcingsvraagstukken te verankeren in de strategische bedrijfsvoering. Fortis beschikt wel over een outsourcing beleid, zoals ook opgenomen in de richtlijnen van de toezichthouder. Dit beleid waarborgt dat, indien activiteiten worden uitbesteed, de activiteit blijft voldoen aan de door de toezichthouder gestelde eisen. Ten aanzien van de strategische heroriëntatie, zoals toegelicht in hoofdstuk 4.2, wordt in dit beleid niets vermeld. Zou outsourcing beter gedefinieerd kunnen worden vanuit het antwoord op de beheersingsvraag, zoals in hoofdstuk 5 is uiteengezet? Zowel vanuit de leverancierskant als vanuit de bankenkant, wordt op deze vraag met een eenduidig ja geantwoord. Het benaderen van outsourcing door de uitbestedende partij vanuit de beheersingsvraag in plaats vanuit de definitie is zeker relevant en kan een alternatief zijn in situaties waar het hanteren van een definitie van outsourcing leidt tot onduidelijkheden of verwarring over de vraag of iets wel of niet als outsourcing kan worden betiteld. Volgens een andere bron is deze vraag in het bijzonder relevant voor de MKB 78 -ondernemingen. Uitbesteding vindt in de praktijk nog veel plaats bij de grote ondernemingen; het MKB neemt hierin (nog) een afwachtende houding in. Het zou kunnen dat MKB ondernemingen zich niet bewust zijn van het onderscheid tussen inkoop en uitbesteding en misschien inkoop in sommige gevallen onterecht niet kwalificeren als uitbesteding, waardoor bepaalde risico’s misschien niet voldoende zichtbaar (en beheersbaar) zijn. De beheersingsvraag, behandeld in hoofdstuk 5, zou voor deze doelgroep een goede handreiking kunnen zijn. Vanuit de toezichthouder is positief gereageerd op deze vraag. De beredenering vanuit de beheersingvraag voor het benaderen van outsourcing sluit aan bij de ROB. De ROB is namelijk een (normen)kader dat opgesteld is voor financiële instellingen waarbij beheersing door deze instellingen fundamenteel is. De financiële instelling wordt geacht in alle gevallen ‘in-control’ te zijn.

Pagina 75


De adviesorganisatie is van mening dat je in principe, als organisatie, altijd in-control wil zijn, ongeacht of dit een uitbesteed proces betreft of niet. De beheersingsvraag zou in deze situatie eerder gesteld kunnen worden vanuit de noodzaak (bijv. ingegeven door diverse weten regeling).

6.4.3

Compliance kader

Om het normenkader voor het geldverwerkingsproces in kaart te brengen is het, zoals al eerder beschreven in hoofdstuk 3, in dit kader relevant om een antwoord te krijgen op de vraag of de eisen, zoals gesteld door de toezichthouder(s), helder zijn en of deze in de praktijk haalbaar zijn. Om een antwoord te krijgen op deze vraag, is deze onderverdeeld in een aantal subvragen, te weten: Is helder wat onder outsourcing wordt verstaan volgens de toezichthouder? Valt het uitbesteden van het geldverwerkingsproces binnen de definitie van de toezichthouder respectievelijk de bank? Zijn de eisen die de toezichthouder stelt aan outsourcing, helder en door de bank overgenomen in haar beleid? De antwoorden op deze vragen vanuit de diverse bronnen, zijn hieronder, per vraag, toegelicht. Is het helder wat onder outsourcing wordt verstaan volgens de toezichthouder(s) en valt het geldverwerkingsproces hieronder? Fortis Bank volgt de definitie van de toezichthouder (DNB) in haar beleidsnota. Onder

outsourcing wordt verstaan volgens Fortis Audit Services: ‘het uitbesteden aan een derde partij, zowel intern (binnen de groep) als extern, op structurele basis voor het leveren van diensten, goederen die deel uitmaken van een bancair proces of hieraan gerelateerde ondersteunende processen’. In de praktijk blijkt dat deze definitie niet even eenduidig is als het gaat om de vraag wat onder een bancair proces wordt verstaan. De toezichthouder verstaat onder een bancair proces het proces dat bij de financiële instelling leidt tot opbrengsten evenals de daaraan gerelateerde ondersteunende processen die dit proces mogelijk maken. De toezichthouder ziet het geldverwerkingsproces als onderdeel (ondersteunend van aard) van het depositoproces (het storten van geld). Vanuit deze context kan het geldverwerkingsproces worden gezien als een bancair proces, alhoewel de opbrengstwaarde hiervan mogelijkerwijs niet materieel is in de context van de jaarrekening. Maar de toezichthouder stelt niet als eis dat dit een significant of materieel proces moet zijn. Binnen Fortis zijn de meningen verdeeld of geldverwerking al dan Pagina 76


niet een bancair proces is. Hieruit blijkt dat de toepasbaarheid van deze definitie in de praktijk tot verwarring kan leiden. Volgens de toezichthouder vindt regelmatig contact plaats met de bank indien de toepassing van deze definitie tot verwarring en dus onduidelijkheid leidt. Zijn de eisen die de toezichthouder stelt aan outsourcing, helder en door de bank overgenomen in haar beleid? De eisen die door de toezichthouder worden gesteld zijn helder maar niet voor ieder even begrijpelijk. De toezichthouder maakt, in geval van uitbesteding, geen onderscheid tussen interne en externe outsourcing. Voor een financiële instelling, die bestaat uit diverse entiteiten, kan dit in de praktijk wel eens op onbegrip stuiten. Beredenerend vanuit de organisatie als geheel, en dus niet vanuit de entiteit, is er bij de medewerkers niet altijd begrip als een activiteit tussen twee groepsentiteiten (twee afzonderlijke werkmaatschappijen met eigen juridische entiteit die onder één groepshoofd vallen) wordt uitbesteed en dus als uitbesteding wordt gekenmerkt. Dit onbegrip wordt met name ingegeven door het feit dat bestuur en leiding toch in één hand zijn? Uitgaande van de basisbeginselen van de ROB is het echter relevant om de elementen inherent aan interne outsourcing mee te nemen in de risicoanalyse. Deze risicoanalyse is voor de toezichthouder van wezenlijk belang voor het inzicht en monitoring van sourcingrisico’s. Interne outsourcing dient dan individueel beoordeeld te worden op de mate van ‘in-control’ zijn. Volgens de toezichthouder mogen alle processen worden uitbesteed met uitzondering van core management, de financiële functie en de interne audit. Fortis Bank volgt deze uitzondering in haar beleidsnota; dit is voor alle gebruikers helder. In paragraaf 3.3.3 is de voor de bank van toepassing zijnde weten regelgeving in kaart gebracht en is vastgesteld in hoeverre de door de toezichthouder(s) gestelde eisen zijn overgenomen door de bank in haar interne beleid. De onderdelen die niet door de bank zijn overgenomen betreffen de meldingsplicht (AFM), integratie van beleid in operationele uitvoering en het opnemen van een afzonderlijk beleidsplan (beide eisen gesteld vanuit DNB). De reden voor het niet opnemen van deze onderdelen in de interne beleidsnota is (waarschijnlijk) gelegen in het feit dat de bank, vanuit internationaal oogpunt, een intern beleid heeft willen opstellen en daarmee aan de verschillende toezichthouders (België, Nederland, Luxemburg) tegemoet heeft willen komen. Dit heeft erin geresulteerd dat (bewust) een aantal onderdelen, die specifiek waren voor de Nederlandse omstandigheden, (voorlopig) buiten beschouwing worden gelaten.

Pagina 77


6.4.4

Risicokader

Bij het onderzoek van het risicokader heeft voornamelijk de vraag centraal gestaan of zowel de uitbesteder als de leverancier zich voldoende bewust zijn van de risico’s die kleven aan het uitbesteden van processen en met name het uitbesteden van het geldverwerkingsproces en of ze hiervoor adequate maatregelen hebben getroffen. Om deze vraag te beantwoorden is het relevant antwoord te krijgen op de volgende subvragen: Welke interne controlemaatregelen heeft de uitbesteder genomen om de aanwezige risico’s te mitigeren? Welke interne controlemaatregelen heeft de leverancier genomen om de aanwezige risico’s te mitigeren? De antwoorden op deze vragen vanuit de diverse bronnen, zijn hieronder, per vraag, toegelicht. Welke interne controlemaatregelen heeft de uitbesteder genomen om de aanwezige risico’s ten aanzien van het geldverwerkingsproces te mitigeren? De procesrisico’s, inherent aan het uitbesteden van het geldverwerkingsproces zijn (zoals reeds behandeld in hoofdstuk 2): a) Transportrisico b) Beheersrisico c) Financieel risico d) Fraude risico e) Operationeel risico f) IT-risico Het transportrisico (a) heeft de uitbesteder volledig afgewenteld op de waardetransporteur; dit is vastgelegd in de outsourcingsovereenkomst (Risk Sharing). Het beheersrisico (b) dat (nog) bij de bank aanwezig is, is het risico dat een sealbag wordt afgegeven door een klant en niet wordt verwerkt door het GTC doordat bijv. de bankmedewerker de sealbag niet meegeeft aan de waardetransporteur (en dus ontvreemdt). Dit risico wordt gemitigeerd doordat in het gehele proces, voor zover het de overdrachtsmomenten betreft, wordt gewerkt met het principe van kwijting en deze schriftelijk wordt vastgelegd. Zo is er ook een audittrail beschikbaar. Op het moment dat de waardetransporteur de sealbags komt ophalen, scant hij de sealbags en scant hij de locatiecode (per bankkantoor). Op deze wijze is, achteraf, altijd te achterverhalen waar een sealbag is opgehaald.

Pagina 78


Ten aanzien van het financiële risico (c) heeft de uitbesteder een aantal beheersingsmaatregelen ingesteld zoals: Bij ontvangst van de sealbag door de bank controleert de bankmedewerker dat de sealbag is afgeleverd volgens de sealbagovereenkomst. Dit houdt o.a. dat hij vaststelt: o

dat de sealbag op de juiste wijze is verzegeld en dat het zegel niet is verbroken.

o

dat het op de sealbag genoteerde rekeningnummer juist is.

o

dat de gegevens op de specificatieformulieren juist en volledig zijn voor wat betreft de sealbagnummers, rekeningnummer, naam van degene die (namens de klant) de sealbag inlevert en datum ontvangst.

Daarna geeft de bankmedewerker (aan de hand van een door de bank gestempeld (kopie) specificatieformulier) kwijting aan de klant (of degene die het bedrag stort). Geconstateerde verschillen tussen het getelde geldbedrag (door het GTC) en het bedrag dat is aangegeven door de klant zijn voor rekening van de klant; de klant wordt van verschillen schriftelijk op de hoogte gesteld. Dit is vastgelegd in de sealbagovereenkomst. De waarborging van de betrouwbaarheid van de telling is onder beheer van de leverancier en komt bij de volgende vraag aan de orde. Voor het frauderisico (d) is o.a. relevant dat het geldbedrag niet zichtbaar is op de sealbag (het door de klant getelde bedrag wordt pas bekend bij het GTC wanneer de sealbag wordt geopend). Het telformulier van de klant is namelijk in de sealbag ingesloten. De bank ontvangt (dagelijks) alle informatie van de tellingen op sealbagniveau van het GTC en verwerkt deze informatie in de banksystemen (in casu: het verwerken van de geldtransacties). De bank controleert periodiek de afloop op de tussenrekening met DNB. Geconstateerde verschillen worden onderzocht en geanalyseerd. Welke interne beheersingsmaatregelen heeft de leverancier genomen om de aanwezige risico’s ten aanzien van het geldverwerkingsproces te mitigeren? Algemene risico’s De leveranciers beschikken over een ‘internal control framework’; dit is natuurlijk hoofdzakelijk opgesteld vanuit hun eigen beheersingsbelang. Afhankelijk van de grootte en omvang van de organisatie van de leverancier wordt eventueel een aparte assurance functie vervuld door een interne accountants afdeling. Een compliance functie, die relevant kan zijn in geval van financiële instellingen, is niet altijd aanwezig. Eén van de leveranciers beschikt over een (omvangrijke) interne afdeling Veiligheidszaken, die, naast de externe veiligheid (bijv. t.a.v. criminelen) ook Pagina 79


onderzoeken uitvoert naar de naleving van de veiligheidsprocedures en interne fraudes. Nieuwe medewerkers worden, naast de wettelijk verplichte justitiële screening, ook persoonlijk gescreend op integriteit, waarbij de afdeling Veiligheidszaken een blind vetorecht heeft. In één geval beschikt de leverancier over een aparte compliance afdeling, die ervoor waakt dat externe weten regelgeving en contractuele bepalingen worden nageleefd. Door een andere leverancier wordt aangegeven dat dit een functie is die zeker in de toekomst nog zal worden geïnstitutionaliseerd binnen de organisatie, maar tot op heden nog geen eerste prioriteit heeft. Voor het transportrisico (a) geldt dat gelden waardevervoerders opereren volgens de wet geldend voor particuliere beveiliging- en recherchebureaus. Geld- en waardevervoerders krijgen hiervoor een vergunning, waarvoor ze aan de door Justitie gestelde (stringente) eisen moeten voldoen op het gebied van gelden waardevervoer 79 . Dit leidt ertoe dat de leverancier een bepaald veiligheidsniveau kan waarborgen. Daarnaast heeft de leverancier het transportrisico afgedekt door middel van (externe) verzekeringen. Het beheersrisico (b) wordt gemitigeerd door het treffen van de volgende beheersingsmaatregelen: •

Het minimaliseren van de overdrachtsmomenten; de reden hiervoor is dat bij deze overdrachtsmomenten meestal medewerkers zijn betrokken. Inherent aan het menselijk handelen is het maken van fouten. Deze overdrachtsmomenten worden (administratief) afgezekerd door een systeem van kwijting (tekening voor afgifte en ontvangst door beider partijen). Het track- en tracing 80 systeem (van de sealbags) speelt hierbij een cruciale rol.

•

Het instellen van een afdeling Veiligheidszaken, die onderzoeken uitvoert op het gebied van interne fraudes (preventief en repressief).

•

De fysieke beveiliging van panden, opslagruimten en tellocaties.

•

Cameratoezicht.

Het financiële risico (c) wordt ondervangen door: •

Het regelmatig ijken en testen van de telmachine 81 . De telling van de telmachine is ten principale bindend voor de klant; dit is contractueel met de klant van de bank ook zo vastgelegd.

•

Het in werking treden van een ‘verschillenprotocol’ indien verschillen worden geconstateerd tussen de telling en het door de klant opgegeven bedrag. In dit protocol is o.a. geregeld dat een tweede medewerker aanwezig dient te zijn bij de hertelling.

79 80

In deze scriptie wordt geabstraheerd van de inhoud van deze gestelde eisen. Door middel van een geavanceerd track- en tracing systeem kan de sealbag te allen tijde worden gevolgd.

Pagina 80


•

De procedure dat iedere sealbag éénmaal geteld wordt. Na de telling gaat, indien het adviesbedrag (bedrag opgegeven door klant en door de medewerker ingevoerd in de telmachine) gelijk is aan het telbedrag, het geld naar de bulkmachine. Aan de gegevens van de sealbag (zegelnummer) wordt het nummer van de telplek, tijdstip en teldata toegevoegd, om data achteraf te kunnen traceren (audittrail). De biljetten afkomstig van één werkplek (biljetten uit meerdere sealbags) worden op een bulkmachine geteld, gesorteerd, georiënteerd, gecontroleerd op echtheid. Bij de bulkmachine worden de biljetten per coupure van 100 gebundeld en gereed gemaakt voor opslag en/of afstorting.

•

Het vergelijken van de Soll-Ist positie; de fysieke voorraad (IST op bundelniveau) wordt vergeleken met de getelde hoeveelheid in de bulkmachine (SOLL). Daarnaast vindt een totaalcontrole plaats: Σ Telplekken = Σ Bulkmachine = Σ fysieke voorraad.

Operationeel risico (d) Invoer data Bij de invoer van data kunnen, als gevolg van menselijk handelen, fouten ontstaan. Ter waarborging van juistheid en volledigheid van invoerdata is de beheersingsmaatregel geïmplementeerd dat door twee verschillende afdelingen dezelfde database wordt bijgehouden voor de vaste klantengegevens. Er vindt voor iedere rapportageslag (zowel intern als extern) een consistentiecontrole plaats op deze twee afzonderlijke databases. Hierbij geldt dat getelde waarden, behorend bij een specifiek rekeningnummer en een specifieke datum, niet mogen wijzigen en/ of afwijken. Juiste klant De bank geeft de vaste gegevens van klanten door aan de waardetransporteur, die deze verwerkt in zijn administratie. Dit geeft een interne waarborging dat door het GTC 82 geen sealbags kunnen worden geteld die niet tot de klanten behoren van de bank. Het fraude risico (e) wordt, naast eerder genoemde controlemaatregelen, zoals gedetailleerd cameratoezicht en voorraadcontroles, ondervangen doordat een afdeling Veiligheidszaken actief is en doordat interne gedragsregels voor fraude en integriteit zijn ingesteld.

81 82

Elke telmachine wordt door de toezichthouder (DNB) gecertificeerd en regelmatig geijkt. Het GTC telt en verwerkt voor meerdere klanten.

Pagina 81


Falsificatie De waardetransporteur heeft als taak het vaststellen van de echtheid van het geld; bij het vaststellen hiervan tijdens de eerste telling is de klant nog traceerbaar en kan het vals geldbedrag worden geïdentificeerd. Het proces is dus zo ingericht dat de controle hierop plaatsvindt op het moment dat het geld nog rechtstreeks is te herleiden naar de klant. Vals geld wordt volgens het DNB protocol afgevoerd naar DNB door de waardetransporteur. Het IT risico (f) wordt beperkt doordat wordt gewerkt met locale servers (voorzien van backup procedures en BCP’s 83 , LAN’s en geen externe verbindingen). De uitwisseling van data met de bank vindt plaats door middel van het gebruik van een externe dataroom. Dit betekent, eenvoudig gezegd, dat de leverancier de data, aan de hand van wachtwoorden e.d., plaatst in een externe dataroom die daarna door de bank, ook op basis van wachtwoorden e.d., kunnen worden opgehaald. Het voordeel van het gebruik van deze dataroom is dat de data niet worden verstuurd via een internetverbinding, maar via een on-line verbinding met de dataroom, wat het risico van toegankelijkheid tot deze data (bijv. als gevolg van hacking) fors kan verminderen.

6.4.5

Beheersingskader

Vanuit het risicokader is reeds in kaart gebracht welke beheersingsmaatregelen zowel de uitbesteder als de leverancier moeten hebben geïmplementeerd om de onderkende risico’s te kunnen mitigeren. In deze paragraaf staat de vraag centraal of de in deze scriptie (hoofdstuk 4) beschreven beheersingsmaatregelen in de praktijk worden geïmplementeerd (specifiek voor het geldverwerkingsproces) en in hoeverre deze realistisch (effectief en efficiënt) zijn (in algemene zin). Dit leidt tot de volgende subvragen: In hoeverre zijn de (in hoofdstuk 4) beschreven beheersingsmaatregelen toegepast binnen het geldverwerkingsproces in deze casus? In hoeverre zijn de (in hoofdstuk 4) beschreven organisatorische en contractuele beheersingsmaatregelen realistisch en worden deze in de praktijk toegepast? Wordt gebruik gemaakt van external assurance? Vindt de uitbesteding plaats vanuit de partnership gedachte?

83

Business Continuity Planning; zie hoofdstuk 4 Contractuele maatregelen.

Pagina 82


Uit de interviews zijn de volgende resultaten gebleken: In hoeverre zijn de( in hoofdstuk 4) beschreven beheersingsmaatregelen toegepast binnen het geldverwerkingsproces in deze casus? In onderstaand figuur (gebaseerd op figuur 20) is aangegeven in hoeverre de mogelijke beheersingsmaatregelen zijn geïmplementeerd, door wel de uitbesteder als de leverancier.

Beheersingsmaatregelen

Toegang

Automatisering


Exit

Reputatie

Strategisch

Compliance

Operationeel

Fraude

Financieel

Beheer

Transport

Geimplementeerde beheersingsmaatregelen

Risico's

Besluitvorming tot uitbesteding (4.2):

√

- strategische herorientatie

√ √

- opstellen & monitoren business case

√

- leveranciersselectie

√ √

Organisatorische maatregelen (4.3):

√

- open communicatie

☺

- inbedding monitoring functie

√

√

√

Procedurele maatregelen (4.4):

☺ ☺

- verankering in operationele bedrijfsvoering - interne controlemaatregelen

√ √

√

√

√

√

√

Contractuele maatregelen (4.5):

☺ ☺

- overeenkomst tot aanbesteding - dekking door verzekeringen

√

√

√

√

√

√

√

√

√

√

√

√

√

√

Maatregelen ter verkrijging assurance (4.6):

☺

- toegang bij leverancier in contract - externe partijen

√ √

Legenda: Beheersingsmaatregelen aanwezig:

☺

Neutraal/ geen mening: Geen beheersingsmaatregelen aanwezig:

Figuur 28: Overzicht van geïmplementeerde beheersmaatregelen bij geldverwerkingsproces

Pagina 83


Hieronder zullen de in de figuur genoemde beheersingsmaatregelen per onderdeel kort worden toegelicht: Besluitvorming tot uitbesteding (paragraaf 4.2) Het geldverwerkingsproces wordt al sinds jaar en dag uitbesteed door de bank. Een onderzoek naar de besluitvorming voor deze uitbesteding zou hiermee enigszins achterhaald zijn en is in dit onderzoek dan ook achterwege gelaten vanwege de geringe relevantie ervan. Duidelijk is wel, zoals ook gebleken is uit paragraaf 6.4.3, dat de bank beschikt over een outsourcing beleid waarin duidelijk de criteria zijn opgenomen voor het (kunnen) uitbesteden van processen of activiteiten. Het opstellen van een business case en de procedure voor leveranciersselectie zijn opgenomen in deze criteria. In de interne beleidsnota van de bank is bijv. opgenomen, zoals behandeld in paragraaf 3.3.3., dat een deugdelijke business case dient te worden opgesteld (en periodiek dient te worden bijgesteld), waarbij de diverse disciplines zoals Risk Management, Legal en Compliance, betrokken dienen te worden zodat risico’s vanuit deze invalshoeken voldoende inzichtelijk kunnen worden gemaakt. Uit deze figuur blijkt dat het strategische risico, als gevolg van het ontbreken van strategisch beleid op het gebied van outsourcing, nog steeds aanwezig is. Organisatorische maatregelen (paragraaf 4.3) De wijze van communiceren omtrent het voorgenomen besluit om het geldverwerkingsproces uit te gaan besteden, is hier evenmin aan de orde. De reden hiervoor is reeds behandeld in hoofdstuk 4 (paragraaf 4.3); de besluitvorming voor het uitbesteden van dit proces heeft reeds jaren geleden plaatsgevonden. Het monitoren van de overeenkomst vindt in de praktijk plaats door het afdelingshoofd van de afdeling Values en Cheques, de afdeling die de verdere verwerking verzorgt van de geldtransacties in de banksystemen. Het afdelingshoofd is betrokken bij de contractonderhandelingen met de leverancier en voert periodiek overleg met de leverancier. In dit geval is er dus geen separate outsourcing manager (zoals beschreven in paragraaf 4.3), maar dit kan worden gerechtvaardigd doordat de aan deze uitbesteding inherente monitoring geen volledige dagtaak is. Zowel door de bank als door de leverancier wordt de relatie als zeer positief ervaren.

Pagina 84


Procedurele maatregelen (paragraaf 4.4) De procedurele maatregelen die zijn getroffen, door zowel de uitbesteder als de leverancier, zijn reeds in de vorige paragraaf (6.4.4) behandeld. Hieruit is gebleken dat voldoende maatregelen zijn getroffen om te waarborgen dat een betrouwbare registratie, gebaseerd op onderlinge kwijting, plaatsvindt van de ontvangst en afgifte van de sealbags (door middel van ‘trace and tracking systeem’ aan de hand van barcodes). Deze informatie is op sealbagnummer (en dus per transactie) beschikbaar. Daarnaast werkt de leverancier met dubbele databases voor het de klanten telgegevens; deze maatregel dient ter waarborging van onjuiste of onvolledige invoer van data. Contractuele maatregelen (paragraaf 4.5) Het contract tussen de bank en de leverancier bevat alle relevante bepalingen zoals bijv. een exitscenario, een regeling voor aansprakelijkheid en voor externe toegang. In de bij het contract behorende SLA’s zijn de prestatie-afspraken helder en duidelijk vastgelegd. In het contract wordt echter niets vermeld over waarborging of eisen voor de betrouwbaarheid van geautomatiseerde gegevensverwerking. In casu ontvangt de bank dagelijks van de leverancier (op sealbagniveau) de telgegevens; deze data worden digitaal ontvangen. De bank is, voor de verwerking van de transactiegegevens, afhankelijk van de continuïteit en betrouwbaarheid van deze data-input. Contractueel is niets geregeld over de inrichting van de automatiseringsomgeving bij de leverancier (hierbij valt bijvoorbeeld te denken aan nood- en back-up procedures e.d.). Voor de veiligheid van het dataverkeer (het digitaal versturen van de data) zijn, zoals beschreven in paragraaf 6.4.4., wel de nodige maatregelen getroffen. Zoals we al in paragraaf 6.4.4 hebben gezien, is het transportrisico door de uitbesteder afgewenteld op de leverancier die hiervoor een (externe) verzekering heeft afgesloten. De aansprakelijkheid van het transportrisico is expliciet geregeld in de outsourcingovereenkomst. Maatregelen ter verkrijging van (external) assurance (paragraaf 4.6) De mogelijkheid tot externe toegang voor auditors, accountants en de toezichthouder bij de leverancier is geregeld in de overeenkomst. Van deze mogelijkheid wordt tot op heden enkel gebruik gemaakt voor de controle op de betrouwbaarheid van de voorraadposities die de bank heeft bij de leverancier. Hierover wordt door de externe accountant assurance afgegeven in de vorm van een voorraadverklaring. Ten aanzien van het geldverwerkingsproces vindt geen assurance plaats in de vorm van een SAS-70 of TPM of iets van dien aard. De overweging om hiervoor geen extra waarborg voor te vragen zou kunnen zijn dat de contractswaarde, vanuit de bank bezien, niet materieel is. Pagina 85


In hoeverre zijn de (in hoofdstuk 4) beschreven organisatorische en contractuele beheersingsmaatregelen realistisch en worden deze in de praktijk toegepast (niet specifiek voor het geldverwerkingsproces)? Contractuele maatregelen De haalbaarheid en de praktische toepassing van de in de contracten en SLA’s vastgelegde afspraken is echter een geheel ander verhaal. Nagenoeg alle bronnen bevestigen dat de gemaakte afspraken niet altijd haalbaar en realistisch zijn. Hiervoor worden een aantal redenen aangegeven, te weten: - Vergaande juridisering van bepalingen waardoor (contractueel) weinig ruimte is voor flexibiliteit. De contracten zijn veelal juridisch volledig afgedicht voor alle mogelijke uitzonderingen. Dit vaak op verzoek van de klant. Deze vergaande juridisering leidt in de praktijk tot vaak onwerkbare contracten. Het juridische risico is hiermee volledig afgedekt, maar bevordert de werkwijze en het inzicht in de gemaakte afspraken niet echt. -

Een te grote verwachtingskloof tussen uitbesteder en leverancier die drukverhogend werkt t.a.v. de relatie tussen uitbesteder en leverancier. Bij het aangaan (en dus vastleggen van de afspraken) van het contract gaat de uitbesteder veelal uit van de meest optimale situatie vanaf de beginfase van de uitbesteding; deze optimale situatie kan echter vaak niet meteen vanaf dag 1 worden gerealiseerd. Veel SLA’s moeten na verloop van tijd zelfs worden bijgesteld 84 .

-

Te weinig aandacht voor control vanuit de leverancierskant voor de specifieke weten regelgeving in de contractfase. In de praktijk is er vaak een scheiding tussen het offerte/contractteam en het operationele team (verantwoordelijk voor de uitvoering van de overeenkomst). Dit leidt in de praktijk wel eens tot situaties dat in contracten, op verzoek van de klant, bepalingen worden opgenomen (bijvoorbeeld ten aanzien van beveiligingsbeleid of het contracteren van subcontractors), waarbij in de contractfase niet voldoende aandacht wordt besteed aan de haalbaarheid of interne waarborging van de naleving van deze (rand)voorwaarden.

-

Onderschatting van vorm en belang relatie tussen uitbesteder en leverancier; In de praktijk wordt te weinig vanuit de partnership-relatie gestuurd en geacteerd. Hierop wordt in de volgende vraagstelling uitgebreid ingegaan.

84

Ten aanzien van ICT-outsourcing (ontwikkeling) valt bijvoorbeeld te denken aan het niet juist of niet volledig zijn van technische specificaties waardoor later het SLA moet worden bijgesteld.

Pagina 86


Organisatorische maatregelen In paragraaf 4.3 is behandeld dat, volgens IJmker, het invoeren van een monitoring functie in de organisatiestructuur en de aandacht voor de specifieke competentie van de sourcing manager van belang zijn voor een succesvolle outsourcing. Diverse bronnen bevestigen dit; zeker vanuit de leverancierskant wordt aangegeven dat de vereiste vaardigheden voor een dergelijke manager vaak worden onderschat. In de praktijk is veelal wel een persoon verantwoordelijk voor de uitvoering van het contract en het monitoren van de afspraken, maar hierbij wordt door enkele bronnen de kanttekening gemaakt dat deze persoon veelal, ten onrechte, niet wordt betrokken in de contractfase. Dat dit tot problemen kan leiden, hebben we in de vorige alinea al kunnen zien. Wordt gebruik gemaakt van external assurance? De kwaliteitsborging van een proces door middel van het (laten) opstellen van een SAS-70 verklaring komt in de praktijk (nog) weinig voor. Dit geldt echter niet voor de ICT-branche; ICTleveranciers geven aan veelvuldig gebruik te maken van deze vorm van assurance alsmede van andersoortige certificeringen. Deze branche is blijkbaar wat verder in de ontwikkelingen op dit gebied. Veelal is dit ook een eis die door de uitbesteder wordt gesteld (zeker in geval van Amerikaanse beursgenoteerde ondernemingen die moeten voldoen aan SOX regelgeving) alvorens men zelfs het offertetraject in kan gaan. Vindt uitbesteding plaats vanuit de partnership gedachte? Vrijwel alle bronnen bevestigen dat uitbesteding nog (te) vaak plaats vindt vanuit de ‘klantrelatie’ gedachte en niet vanuit een partnership-gedachte. Het belang van het centraal staan van de partnership-relatie wordt door alle bronnen onderkend. Het partnership wordt door de klant en de uitbesteder dus wel toegejuicht, maar ‘zeggen betekent nog niet altijd doen’. Leveranciers merken dat, zeker in geval van problemen, de relatie toch nog wordt benaderd vanuit de ‘klantleverancier’ relatie en het kostenaspect, wat de relatie nog verder onder druk zet. In de ICT-branche vindt momenteel een verharding plaats van het contractmanagement: er wordt steeds meer ‘value for money’ gevraagd door de uitbesteder. Als blijkt dat prestaties niet kunnen worden nagekomen, wellicht als gevolg van een te hoog verwachtingsniveau, wordt de leverancier weer gezien als leverancier en niet als contractpartner. Het lijkt erop dat ‘vertrouwen in moeilijke tijden’ hier ontbreekt.

Pagina 87


Normen en regelgeving

contracten en SLA's

relatie uitbesteder leverancier

Control

Trust

Figuur 29: Pijlers uitbesteding volgens bron X.

Een leverancier gaf aan dat, naar zijn visie, uitbesteding berust op drie pijlers die belangrijk zijn voor succes, te weten (1) het normenkader, (2) de contractuele bepalingen en afspraken en (3) de relatie tussen de uitbesteder en de leverancier. Deze pijlers berusten op beginselen (trust en control), die in de praktijk blijkbaar moeilijk uitvoerbaar zijn. Zoals al eerder is toegelicht, leidt het vastleggen van de afspraken in contracten en SLA’s tot weinig problemen. De uitvoerbaarheid van deze afspraken is echter, zoals al eerder uiteengezet, een ander verhaal.

6.5

SAMENVATTING KWALITATIEF ONDERZOEK

In paragraaf 6.2 zijn de onderzoeksvragen opgenomen vanuit de diverse kaders, die door middel van een kwalitatief onderzoek zouden moeten leiden tot antwoorden. Hieronder zullen deze vragen kort, op basis van de resultaten van het onderzoek zoals beschreven in de voorgaande paragraaf, worden beantwoord. “Is het voldoende helder wat onder outsourcing wordt verstaan en welke processen hiervoor in aanmerking komen?” Uit het onderzoek blijkt dat het niet helemaal helder is wanneer iets inkoop is en wanneer het uitbesteding betreft; er ontstaat hier een grijs gebied. Bij de bank is outsourcing gedefinieerd als het uitbesteden van een primair bancair (of daaraan ondersteunend) proces. In de praktijk kan dit leiden tot misvattingen, omdat niet volledig klip en klaar is (voor de gebruiker) wat wel of niet onder het primaire bancaire proces kan worden verstaan. Het benaderen van outsourcing vanuit de beheersingsvraag zou een oplossing kunnen zijn voor problemen die kunnen ontstaan als gevolg van deze misinterpretatie. Het overgrote deel van de bronnen is van mening dat processen in de core business niet kunnen worden uitbesteed vanwege hun grote toegevoegde waarde voor de organisatie.

Pagina 88


Het lijkt erop dat de volwassenheid van de organisatie zeker van belang is voor een succesvolle uitbesteding. Binnen de ICT-branche (die verder ontwikkeld is op het gebied van outsourcing) zijn al speciale modellen ontwikkeld om de volwassenheid te kunnen meten. “Is het voldoende helder welke eisen de toezichthouder stelt ten aanzien van het uitbesteden van processen en zijn deze haalbaar?” De eisen die de toezichthouder stelt aan uitbesteding zijn helder. De definitie die de toezichthouder hanteert kan echter soms tot verwarring leiden, zoals ook reeds bij de beantwoording van de vorige vraag is uiteengezet. Deze eisen maken echter geen onderscheid tussen interne en externe uitbesteding. Bij een organisatie als de bank, bestaande uit tal van entiteiten, komt interne outsourcing veel voor, maar wordt niet altijd het belang begrepen om dit soort activiteiten ook onder de noemer uitbesteding te scharen (en hierop dus ook de uitbestedingsnormen van toepassing te laten zijn). “Zijn, zowel de uitbesteder als de leverancier, zich voldoende bewust van de aan uitbesteding inherente risico’s en hebben ze hiervoor adequate maatregelen getroffen?” Zowel de uitbesteder als de leverancier zijn zich voldoende bewust van alle inherente risico’s en hebben hiervoor adequate maatregelen getroffen. De beheersingsmaatregelen die ze hebben geïmplementeerd binnen het geldverwerkingsproces, zijn voldoende om de risico’s af te dekken. “In hoeverre zijn de in hoofdstuk 4 beschreven beheersingsmaatregelen toegepast binnen het geldverwerkingsproces in deze casus?” Bijna alle relevante beheersingsmaatregelen (met uitzondering van de besluitvormingsfase) zijn geïmplementeerd. Er wordt echter geen gebruik gemaakt van externe rapportages die extra assurance kunnen geven (bijv. SAS-70) over de betrouwbaarheid en niveau van beheersingsmaatregelen, noch wordt gebruik gemaakt van de mogelijkheid die de bank heeft om zelf het proces bij de leverancier te beoordelen. Het (geringe) materiele belang van de uitbestede processen als onderdeel van de jaarrekening (en het afleggen van de verantwoording hierover) kan hiervoor een overweging zijn. Daarnaast is de bank erg afhankelijk van de juistheid en volledigheid van de door de leverancier aangeleverde data. De continuïteit van dataverwerking en de waarborging hiervan door de leverancier, is niet contractueel vastgelegd.

Pagina 89


“In hoeverre zijn de in hoofdstuk 4 beschreven beheersingsmaatregelen realistisch en worden deze in de praktijk toegepast?” Uit het onderzoek is gebleken dat het uitvoeren van de beheersingsmaatregelen in de praktijk nog wel wat voeten in de aarde heeft. Bij het aangaan van een uitbesteding bestaat vaak een verwachtingskloof tussen uitbesteder en leverancier die niet voldoende wordt gemanaged, hetgeen zijn impact heeft op de relatie. Afspraken worden voldoende (maar soms te eng) vastgelegd in contracten, maar zijn niet altijd realistisch gezien het feit dat in de beginfase 80% van de (prestatie) afspraken wordt nagekomen. Er wordt, met uitzondering van de ICT-branche, nog weinig gebruik gemaakt van external assurance in de vorm van TPM’s of SAS-70 rapporten. Het monitoren van de leverancier is vrijwel altijd verankerd in de operationele bedrijfsvoering. In de praktijk blijkt echter dat de (specifieke) competenties die hiervoor gewenst zijn, vaak nog worden onderschat, hetgeen zijn gevolgen kan hebben voor de kwaliteit van het relatiemanagement. “Vindt de uitbesteding plaats vanuit een partnership- gedachte?” Het antwoord hierop kan kort zijn; uitbesteding vindt nog maar zelden plaats vanuit de partnership-gedachte. De intentie kan er (zeker bij contractonderhandelingen) wel zijn, maar wanneer eenmaal het contract operationeel wordt en leidt tot mogelijke problemen, is het benaderen van deze problemen vanuit de partnership-gedachte nog steeds erg moeilijk en praktisch niet haalbaar. Het commitment is er wel vaak, maar is dat voldoende?

Pagina 90


7. CONCLUSIES EN AANBEVELINGEN 7.1

INLEIDING

In paragraaf 1.2 heb ik, afgeleid van de onderzoeksdoelstelling, een aantal onderzoeksvragen geformuleerd. Deze onderzoeksvragen zijn in de hoofdstukken 2, 3, 4, 5 en 6 beantwoord. De uitwerking van de eerste onderzoeksvraag leidt tot een inzicht in de inrichting van het geldverwerkingsproces en de daaraan gerelateerde (algemene en proces-) risico’s die het gevolg zijn van uitbesteden. De tweede onderzoeksvraag geeft antwoord op de vraag wat onder uitbesteding (of outsourcing) kan worden verstaan. De beantwoording van de derde onderzoeksvraag geeft aan wat, vanuit van toepassing zijnde weten regelgeving, het minimale normenkader is voor door de bank uitbestede activiteiten. De vierde onderzoeksvraag geeft antwoord op de vraag welke beheersingsmaatregelen een uitbesteder respectievelijk leverancier kan nemen voor het mitigeren van de bij onderzoeksvraag 1 onderkende risico’s. De laatste onderzoeksvraag tracht een antwoord te geven op de praktische toepasbaarheid van de bij onderzoeksvraag 4, voorgestelde beheersingsmaatregelen.

7.2 7.2.1

EVALUATIE Onderzoeksdoelstelling

De onderzoeksdoelstelling luidt als volgt (hoofdstuk 1): “(1)Het onderzoek is gericht op het verkrijgen van kennis en inzicht met betrekking tot de aanwezige risico’s van het geldverwerkingsproces bij een bancaire instelling. (2) Daarnaast is het onderzoek er op gericht om kennis en inzicht te verwerven van de aanwezige risico’s van geldverwerking in geval van outsourcing met inachtneming van de door toezichthouders gestelde voorwaarden ten aanzien van outsourcing. (3) Tenslotte is het onderzoek er op gericht om te komen tot inzichten met betrekking tot mogelijk te nemen beheersingsmaatregelen voor het verminderen resp. mitigeren van de gesignaleerde risico’s van outsourcing.” De eerste twee delen van de onderzoeksdoelstelling kunnen worden afgeleid van de eerste 4 onderzoeksvragen. Het laatste onderdeel (3) van de onderzoeksdoelstelling wordt beantwoord door middel van de laatste onderzoeksvraag. De onderzoeksvragen zoals weergegeven in hoofdstuk 1, zullen hierna worden beantwoord. Pagina 91


7.2.2

Eerste onderzoeksvraag

De eerste onderzoeksvraag luidt: “Hoe is het geldverwerkingsproces administratief en organisatorisch ingericht, wat zijn de mogelijke inherente risico’s van het al dan niet het outsourcen van (een deel van) het proces?” Deze vraag is beantwoord in hoofdstuk 2 en 3. Hoofdstuk 2 geeft, vanuit de procesbeschrijving, de inherente 85 risico’s weer van het geldverwerkingsproces. Deze risico’s zijn het transportrisico, het beheersrisico, het financieel risico, het frauderisico, het operationeel risico en het automatiseringsrisico (zie figuur 6, paragraaf 2.4). Naast de hierboven beschreven procesrisico’s, zijn ook de algemene risico’s van outsourcing in kaart gebracht. Deze algemene risico’s zijn inherent aan het uitbesteden van een (deel van een) proces en dus niet specifiek voor het proces van geldverwerking. Deze algemene risico’s zijn in kaart gebracht in hoofdstuk 3 en zijn het compliance-risico, het strategische risico, het reputatierisico, het exitrisico, het contractueel/ juridische risico en het toegangsrisico (zie figuur 14, paragraaf 3.5.3). In hoofdstuk 3 is het uitgevoerde onderzoek (op basis van publicaties, onderzoeksrapporten en artikelen) naar de motieven voor uitbesteding beschreven. Hieruit blijkt dat een aantal motieven (strategisch motief en het kosten/ financiële motief) ook worden erkend als risico’s bij uitbesteding en uiteindelijk ook de reden kunnen zijn voor het beëindigen van de uitbestedingsrelatie op het moment dat deze risico’s niet voldoende beheersbaar blijken te zijn. Het belang van een goede business case evenals het regelmatig monitoren en bijstellen van de business case (behandeld in hoofdstuk 4) zijn hiermee aangetoond.

7.2.3

Tweede onderzoeksvraag

De tweede onderzoeksvraag luidt: “Wat is de definitie respectievelijk wat wordt verstaan onder ‘outsourcing’?”. De definitie die de bank hanteert voor outsourcing is in overeenstemming met de definitie die door de toezichthouder wordt gehanteerd (paragraaf 3.2). Deze definitie kan in de praktijk echter verwarring scheppen, omdat niet helemaal helder is wat onder ‘primaire bankprocessen’ wordt verstaan. Hierdoor ontstaat een risico dat, als gevolg van misinterpretatie van de definitie, uitbestede processen, ten onrechte, niet als outsourcing worden herkend met als gevolg dat de

85

Zonder dat hierop enige beheersingsmaatregelen van toepassing zijn.

Pagina 92


noodzakelijke maatregelen niet worden geïmplementeerd. Outsourcing benaderen vanuit de beheersingsvraag kan naar mijn mening hiervoor een oplossing bieden.

7.2.4

Derde onderzoeksvraag

“Wat zijn de gestelde eisen ten aanzien van outsourcing uit hoofde van weten regelgeving?” is de derde onderzoeksvraag. In hoofdstuk 3 (paragraaf 3.3; figuur 10) is weergegeven welke eisen de (Nederlandse) toezichthouder stelt aan financiële instellingen op het gebied van outsourcing. Bij de beantwoording van de eerste onderzoeksvraag is reeds gebleken dat de bank de definitie volgt die door de toezichthouder wordt gehanteerd, maar dat de toepassing van deze definitie in de praktijk tot verwarring en/of onduidelijkheid kan leiden als het gaat om de vraag wat onder een bancair proces wordt verstaan. Daarnaast maakt de toezichthouder (en dus ook de bank) geen onderscheid tussen interne en externe outsourcing, hetgeen kan leiden tot onbegrip bij bankmedewerkers die redeneren vanuit een groepsgedachte van eenheid van sturing en leiding. Ook in dit geval kan het benaderen van outsourcing vanuit de beheersingsproblematiek, naar mijn idee, een meer werkbare oplossing bieden dan de benadering vanuit de definitie. Een aantal elementen van de toezichthouder zijn door de bank bewust niet opgenomen in haar intern uitbestedingsbeleid. De eisen die niet door de bank zijn overgenomen zijn de meldingsplicht, de opstelling van een beleidsplan en de integratie van beleid in de operationele bedrijfsvoering. Deze onderdelen zijn bewust achterwege gebleven in afwachting van de internationale regelgeving op dit gebied vanwege het (sterke) internationale karakter van de bank. Hier valt, vanuit het oogpunt van harmonisatie, wel iets voor te zeggen, met dien verstande dat (bewust gekozen) leemtes tussen interne en nationale weten regelgeving wel transparant en beheersbaar moeten zijn. Daarnaast bevat het interne beleid enkel criteria voor het outsourcen van processen, maar gaat niet in op strategische positionering (en dus keuze voor) het outsourcen van processen. Wat echter wel is opgenomen in het interne beleid zijn de processen die in ieder geval niet mogen worden uitbesteed (conform de eisen van de toezichthouder). Eind 2006 heeft de bank een functie op groepsniveau toegevoegd in de vorm van een CSO (Chief Strategy Officer), die verantwoordelijk is voor de ontwikkeling en implementatie van strategie en beleid op diverse vlakken; outsourcing valt onder dit verantwoordelijkheidsgebied. Dit is naar mijn mening een positief element voor het goed (strategisch) kunnen positioneren van outsourcing. Pagina 93


7.2.5

Vierde onderzoeksvraag

De vierde onderzoeksvraag: “Wat zijn de mogelijke beheersingsmaatregelen voor het mitigeren van de additionele risico’s in geval van outsourcing en welke beheersingsmaatregelen zijn geïmplementeerd in geval van het geldverwerkingsproces?”. In principe geeft het antwoord op deze vraag weer of het geldverwerkingsproces (voor zover dit is uitbesteed) voldoende wordt beheerst. De mogelijke beheersingsmaatregelen zijn in kaart gebracht in hoofdstuk 4. Deze zijn: -

Het opstellen van strategie en beleid;

-

Het opstellen en monitoren van een business case;

-

De leveranciersselectie;

-

(Open) communicatie bij geplande uitbestedingen;

-

Het integreren van een monitoring functie in de organisatiestructuur;

-

Verankering van procedurele maatregelen in de operationele bedrijfsvoering;

-

Het contractueel vastleggen van afspraken en bepalingen;

-

Het extern verzekeren van risico’s;

-

Het verkrijgen van external assurance.

Geld tellen of innen? Uit de resultaten van hoofdstuk 6 blijkt dat, in geval van het geldverwerkingsproces, zowel door de uitbesteder als de leverancier, voldoende beheersingsmaatregelen zijn geïmplementeerd om de geïnventariseerde risico’s zo veel mogelijk te verkleinen resp. te mitigeren. Contractueel zijn alle relevante zaken vastgelegd met uitzondering van de vereiste waarborgen op het gebied van gegevensverwerking en datacommunicatie. In de praktijk zijn hier echter wel voldoende maatregelen voor getroffen. Ik zou de bank derhalve willen adviseren deze waarborgen contractueel vast te leggen.

7.2.6

Vijfde onderzoeksvraag

De laatste onderzoeksvraag luidt: “In hoeverre zijn de beheersingsmaatregelen realistisch en haalbaar?”. Deze onderzoeksvraag beperkt zich niet enkel tot de praktische toepasbaarheid van de beheersingsmaatregelen van het geldverwerkingsproces, maar in algemene zin.

External assurance Uit het onderzoek blijkt dat de meeste genoemde beheersingsmaatregelen in de praktijk worden toegepast. Hierbij moeten wel enige kanttekeningen worden geplaatst. In de ICT-branche wordt al veel gewerkt met external assurance in de vorm van bijvoorbeeld SAS-70 rapporten; in de Pagina 94


financiële dienstverlening blijft deze ontwikkeling echter nog achter. Het lijkt erop dat nog weinig wordt gewerkt met vormen van external assurance die beschikbaar zijn. Naar mijn mening zou er meer aandacht in de praktijk voor deze beheersingsmaatregelen moeten zijn. Zeker vanwege de hoge mate van waarborg die hiermee te behalen is.

Inbedding van monitoring functies Daarnaast zijn monitoring functies voor outsourcing overeenkomsten wel ingevoerd, maar de specifieke competenties en vaardigheden die deze functies met zich meebrengen, worden in de praktijk wel onderschat. Hier moet duidelijk nog een slag worden gemaakt. Ondernemingen zijn zich nu meer bewust van het proces van uitbesteding en de daaraan klevende risico’s. Uit het profiel van een sourcing manager (paragraaf 4.3) blijkt wel dat de vereiste competenties zeer divers en breed zijn; ‘een soort duizendpoot’. Toch is het goed monitoren van de relatie een van de succesfactoren voor outsourcing en mag dus niet worden onderschat.

Haalbaarheid van contracten en relatie uitbesteder versus leverancier Het onderzoek toont aan dat vele maatregelen te implementeren en ook haalbaar zijn, maar dat verwachtingen en relaties goed gemanaged moeten worden. De afspraken tussen leverancier en uitbesteder worden deugdelijk vastgelegd in contracten en SLA’s. Bij het maken van deze afspraken zijn partijen zich echter niet voldoende bewust van de haalbaarheid hiervan. Deze verwachtingskloof wordt vaak niet goed gemanaged, hetgeen kan resulteren in een verslechtering van de relatie tussen uitbesteder en leverancier. De relatie wordt zelden benaderd vanuit een partnership-gedachte. En mocht de uitbesteder wel de intentie hebben vanuit deze gedachte de relatie te benaderen, op de cruciale momenten wordt deze benadering toch vaak losgelaten en zijn kostenaspecten weer leidend in de relatie. Te weinig commitment?

Strategische positionering en beleid voor (out)sourcing Grote ondernemingen zijn op dit moment bezig met het ontwikkelen en opstellen van strategie en beleid op het gebied van uitbesteding. Het lijkt erop dat uitbesteding steeds meer een (vast) onderdeel gaat worden van de bedrijfsstrategie voor het behalen van ondernemingsdoelen. Het uitbesteden van activiteiten vindt steeds meer plaats; mocht (out)sourcing een onderdeel gaan worden van een bedrijfs- en markstrategie, dan lijkt het mij erg belangrijk om uitbesteding ook strategisch te positioneren binnen de onderneming en hiervoor beleid te ontwikkelen. Vanuit deze invalshoek ben ik van mening dat dit een cruciaal punt is dat niet kan en mag achterblijven.

Pagina 95


Volwassenheid organisatie De mate van volwassenheid van een organisatie is belangrijk voor het kunnen opbouwen van een partnershiprelatie. In de ICT-branche is naar dit aspect al onderzoek gedaan en voor het meten van de volwassenheid zijn daar ook al meerdere modellen ontwikkeld. Naar mijn idee lopen de andere branches hier nog achter.

7.3

ADVIEZEN/ AANBEVELINGEN

Vanuit het uitgevoerde onderzoek en de hieruit voort vloeiende resultaten kunnen de volgende aanbevelingen/ adviezen worden gegeven:

ÍOutsourcing benaderen vanuit de beheersingsvraag Het onderscheid tussen inkoop en uitbesteding is van belang voor het inrichten van de relatie met de leverancier en het monitoren van deze relatie en de nakoming van de gemaakte afspraken. Dit onderscheid is in de praktijk echter niet altijd eenduidig. Kan het uitbesteden van een gehele afdeling Personeelszaken betiteld worden als outsourcing of is dit het inkopen van een dienst? In diverse publicaties wordt gesproken over uitbesteding als zijnde het uitbesteden van activiteiten of processen aan een derde, waarbij soms het onderscheid wordt gemaakt tussen de kernprocessen en de ondersteunende processen. Hieruit blijkt dat wel getracht wordt uitbesteding te definiëren, maar dat de definitie niet geheel eenduidig is en op meerdere manieren is te interpreteren. In de praktijk blijkt dat alle bronnen het eens zijn dat de core processen niet kunnen worden uitbesteed; maar wat wordt dan verstaan onder een core proces? Hierover zijn de meningen sterk verdeeld en een eenduidig antwoord op deze vraag blijkt lastig. Doordat er discussie blijft over de interpretatie van onderdelen van de definitie van outsourcing, blijft een risico aanwezig dat de definitie onjuist wordt toegepast met alle gevolgen van dien. Het erkennen van outsourcing betekent ook het erkennen van de gewenste beheersing. Ik zou willen adviseren, om discussies en misverstanden te voorkomen, outsourcing te benaderen vanuit de beheersingsvraag. Het beantwoorden van deze beheersingsvraag dwingt ook de onderneming na te denken over hun eigen positie in de uitbestedingsrelatie alsmede over de consequenties van uitbesteding.

ÍMeer aandacht voor relatiemanagement Uit dit onderzoek is gebleken dat goed relatiemanagement en het goed managen van wederzijdse verwachtingen onderdeel uitmaken van een succesvolle uitbesteding. In de praktijk zou hieraan meer aandacht kunnen worden gegeven in de vorm van extra trainingen of opleidingen of Pagina 96


misschien het ontwikkelen en implementeren van specifieke programma’s voor relatiemanagement.

ÍInstellen van compliance functie bij leverancier Uit het onderzoek is gebleken dat het wel eens voorkomt dat contracten worden gesloten waarbij de leverancier niet voldoende inzicht heeft, ten tijde van de contractonderhandelingen, in de mogelijke impact en haalbaarheid van in contracten opgenomen wettelijke bepalingen inzake het voldoen aan voor de uitbesteder geldende weten regelgeving. Niet alle leveranciers beschikken over een compliance functie die is geïnstitutionaliseerd in de organisatie en die kan dienen als beheersingsmechanisme voor het kunnen voldoen aan contractuele bepalingen en weten regelgeving. Zeker in geval van financiële instellingen, onderworpen aan diverse wetten en regels, zou dit een criterium moeten zijn bij de leveranciersselectie.

ÍOntwikkeling van volwassenheidsmodellen voor organisaties De ICT-branche wordt nog steeds veel meer geconfronteerd met sourcingvraagstukken dan bancaire instellingen en is dan ook verder ontwikkeld op dit gebied. Voor ICT-organisaties zijn al modellen ontwikkeld die de volwassenheid meten van (delen van) een organisatie en hiermee de koppeling leggen naar uitbesteding. Gezien de actuele ontwikkelingen van sourcing en de toenemende activiteiten door ondernemingen op dit gebied, zou ik adviseren om hiervoor volwassenheidsmodellen te ontwikkelen om zodoende te voorkomen dat ondernemingen zich storten in trajecten waar de organisatie misschien nog niet rijp voor is.

ÍNader onderzoek naar faal- en succesfactoren van opbouw en instandhouding van partnershiprelaties? De markt van outsourcing is volop in ontwikkeling. Ondernemingen zijn zich bewust van de risico’s die dit met zich mee kan brengen. Het bewustzijn voor het kiezen voor een andere benadering van de leverancier is er ook, echter in de daadwerkelijke uitvoering ontbreekt hier nog iets. Is er te weinig commitment? Heeft de uitbesteder te weinig vertrouwen (‘the dark night of outsourcing’)? Het is in ieder geval helder dat de werkelijke uitvoering van de partnershiprelatie in de praktijk moeilijk blijkt. Dit zou een aanleiding kunnen zijn om een nader onderzoek in te stellen naar de succesfactoren die essentieel zijn voor het opzetten en onderhouden van de partnershiprelatie.

Pagina 97


7.4

RECENTE ONTWIKKELINGEN

Recent is een nieuwe onderneming tot de markt van geldverwerkers toegetreden, te weten Cashferium. Zij richten zich op de detailmarkt en vestigen GTC’s in (grote) winkelcentra, alwaar de detaillist zijn geld kan storten, laten tellen en bijschrijven op zijn bankrekening. Met het in het GTC ontvangen geld worden vervolgens de lokale geldautomaten gevuld. Hierdoor wordt de logistieke keten van het waardetransport verkort, doordat het geld niet meer vervoerd hoeft te worden en enkel nog de afstorting bij het lokale GTC hoeft plaats te vinden. Voor de detaillist heeft dit als voordeel dat het (externe) waardetransport niet meer hoeft plaats te vinden, wat tot een mogelijke kostenbesparing leidt. Het transportrisico wordt hiermee behoorlijk gemitigeerd, maar het overvalrisico treedt hiervoor in de plaats; de plaats van het GTC is immers bekend. Extra aandacht voor beveiligingsmaatregelen dus. Een interessante ontwikkeling, waarvan de toekomst zal uitwijzen of de markt hiervoor rijp is.

Pagina 98


LITERATUURLIJST Basel Committee on Banking Supervision, “The Joint Forum; Outsourcing in financial services”, February 2005. Batt M.C., “European accounting harmonisation; the Commission sets out its views”, Accountancy (UK), April 1998. Behr J. en Faas A., ‘Succesvol sourcen begint met succesvol organiseren’, IT-Jaarboek. Bielski Lauren, “Outsourcing’s new global reach”, ABA Banking Journal 2003. Bragg Steven M., ‘Outsourcing, a guide to’, 1998. Brattes Prisco, ‘Dienstverlening banken lijdt onder meer outsourcing’, Financieel Dagblad, 7 augustus 2006. Brink G.M. (augustus 2006), ‘Factors that play a role in defining the sourcing strategy from an operations management view’. Cohen Linda, Young Allie en Gartner inc., ‘Multisourcing’, 2006. Delen G., ‘Zes faal- en vijf succesfactoren bij uitbesteding’, Informatie, april 2004. Deloitte, “Calling a change in the outsourcing market”, april 2005. De Nederlandse Bank, Richtlijnen Organisatie en Beheersing, www.dnb.nl. Fortis Bank , “Outsourcing Compliance Policy”, 4 februari 2005. Grommen S., ‘Outsourcing faalt bij gebrek aan strategische visie’, www.datanews.nl, 6 oktober 2006. van Hillegersberg Prof. Dr., ‘Yellowtail Offshore Readiness Survey 2007’, 2007 Ijmker A., ‘Gezocht; Outsourcing manager m/v’, Outsourcing Magazine, nummer 3 2006, pagina 27. Reedijk J. en van Berkel F., ‘Het uitbesteden van primaire bedrijfsprocessen’, Management Control and Accounting, nummer 6, 2001. KPMG International, “Future Sourcing; evaluating the risks and benefits of sourcing, Financial Services”, 2006. Langfield-Smith Kim, “Management Control Systems and trust in outsourcing relationships:, 2003. Nijenhuis W., ‘De kansen en valkuilen van outsourcing’, Media Plaza Review, februari 2006. Poel D.J. van der, “Outsourcen; onderbouwde beslissing of vergissing?”, Compact, 2004. Put P.G. van der, “Outsourcing; it takes two to tango”, maart 2004, www.platformoutsourcing.nl. Putter Rian de, ‘Business Process Outsourcing en de vertrouwensrelatie tussen sourcing partijen’, september 2005, scriptie i.o.v. Vrije Universiteit Amsterdam, pagina 8. Pagina 99


Rapport Berenschot, “Aard en omvang effecten van verplaatsen bedrijfsactiviteiten naar het buitenland”, november 2004. Rietveld G.J. en Wilkinson C., ‘Uitbesteding levert geen winst op’, Significant, Februari 2005. Redactie Outsource Magazine (2006), ‘KPMG voorspelt toename insourcing’, nummer 6, pagina 12. Rijsenbrij D., ‘Checklist voor een businesscase’, Informatie, April 2004. Schreuder Karin, “Autoriteit Financiele Markten over uitbesteding”. Starreveld, de Mare en Joels, “Bestuurlijke Informatieverzorging”, hoofdstuk XVII, Binnenlands Betalingsverkeer. VNU Business Publications, “Accent op Business Process Outsourcing”, Februari 2005.

Jaarverslagen Jaarverslag Nederlandse Vereniging van Banken, 2005, bladzijde 23.

Pagina 100


BIJLAGE 1. Samenvatting rapport KPMG 86 Financiële dienstverleners met complexe wereldwijde sourcingactiviteiten zijn driftig op zoek naar processen en structuren die de risico’s en voordelen van sourcing helder maken. In veel opzichten is er een parallel te trekken tussen sourcing in productiebedrijven en financiële dienstverleners. Het grote verschil tussen beide sectoren ligt in de starre en snel veranderende regulerende omgeving waarin de financiële dienstverleners zich bevinden. In toenemende mate krijgen financiële dienstverleners ‘toestemming’ van consumenten om klantcontacten onder te brengen bij externe organisaties, door outsourcing of offshoring. De consument keurt dit goed op voorwaarde dat het niveau van de service er niet negatief door beïnvloed wordt. In het rapport Future Sourcing geeft KPMG International een beeld van de risico’s en voordelen die gepaard gaan met sourcing in de financiële dienstverlening.

Korte termijn Veel organisaties hanteren een korte-termijnvisie wat betreft wereldwijde sourcingvraagstukken en zijn vaak niet in staat om adequaat de voordelen en risico’s te meten. Meer dan 40 procent van de financiële managers geeft aan dat de sector een tactische, korte-termijnvisie heeft met betrekking tot het sourcingbeleid. Dit gaat ten koste van de creatie van een platform dat de lange-termijnactiviteiten transformeert. Hoewel leidinggevenden in het algemeen de voordelen en risico’s van wereldwijde sourcingstrategieën denken te kennen, worden deze in veel organisaties niet adequaat gevolgd. Een reden hiervoor ligt in het feit dat veel organisaties niet een formele bepaling hebben, waarin staat vermeld hoe de risico’s en voordelen gevolgd en beheerst moeten worden.

Kostenbesparingen 10 Procent van de organisaties die aangeven dat het grootste voordeel van sourcing ligt in de bijbehorende kostenbesparingen, geeft toe dat deze besparingen niet meetbaar gemaakt kunnen worden. Het deel van de organisaties dat aangeeft wel de kostenbesparingen van sourcing te kunnen meten (15 procent) gebruikt hier kwalitatieve methoden voor. De onderzoeksresultaten tonen aan dat sommige organisaties informele of subjectieve methoden gebruiken om voordelen van sourcing meetbaar te maken. Dit terwijl het een kritieke bedrijfsactiviteit betreft dat significante operationele, regulerende en financiële consequenties heeft. Het subjectieve proces duidt wellicht op afwezigheid van onderliggende systemen en processen die een algeheel beeld van de organisatie zouden moeten scheppen.

Meten van risico’s Meer dan 25 procent van de onderzochte financiële managers geeft aan dat hun organisatie niet in staat is om de operationele en financiële risico’s te meten. Technologische en regulerende risico’s worden bij bijna 35 procent van de onderzochte bedrijven niet gemeten en 40 procent van de bedrijven kan het strategische en reputatie risico niet meetbaar maken. Opvallend is dat, terwijl bijna de helft van de bedrijven niet in staat is om reputatierisico te meten, grofweg 65 procent aangeeft dat dit specifieke risico als het op een na meest belangrijke risico wordt beschouwd. Een derde van de leidinggevenden heeft het managen van hun sourcing supply chain ingelijfd in een bestaande aankoopfunctie. Zulke beslissingen kunnen worden gezien als korte-termijngericht. Sourcingbeslissingen zijn strategische beslissingen en zouden niet moeten worden toevertrouwd aan een bedrijfsonderdeel dat de aankoop van producten en diensten behandelt.

Lange-termijnoplossing De onderzoekers van KPMG International zijn van mening dat het belangrijk is voor financiële dienstverleners om de focus te verplaatsen richting de lange termijn. Het is volgens hen zeer waarschijnlijk dat sourcing als steunpilaar binnen een organisatie zal blijven groeien. Toezicht op het proces zal een kritieke factor blijven om het succes van de gehele organisatie te kunnen bewerkstelligen.

86

www.KPMG.nl

Pagina 101


BIJLAGE 2. Organisatiestructuur financiële instelling Management structure

Gegevens gedateerd van oktober 2006.

Pagina 102


BIJLAGE 3. Fortis Bank : Financiele cijfers en feiten 87 Fortis: de feiten •

De marktkapitalisatie steeg van EUR 2,6 miljard in 1990 tot EUR 38,7 miljard per 30 april 2006. Fortis behoort tot de 20 grootste financiële instellingen in Europa.

•

Eerste bank in België, vierde bank in Nederland.

•

Eerste verzekeraar in de Benelux, tweede verzekeraar via tussenpersonen in Nederland.

•

Fortis is heel succesvol op de bancassurance-markt. Bancassurance is de verkoop van verzekeringsproducten via het bankkanaal en van bankproducten via het verzekeringskanaal.

•

Het aantal uitstaande aandelen (x 1.000) nam toe van 599.740 in 1990 tot 1.288.369 per 31 maart 2006.

•

Het totaal beheerd vermogen steeg van EUR 55.590 miljoen in 1994 tot EUR 397,1 miljoen per 31 maart 2006.

•

Bruto premies Leven (1Q2006, in miljoenen EUR): 1.977,4.

•

Bruto premies Niet-leven (1Q2006, in miljoenen EUR): 1.197,3.

•

Het aantal personeelsleden klom van ongeveer 19.000 in 1990 tot 57.574 per 31 maart 2006 (54.737 FTE's). Medewerkers per regio (31 maart 2006) België

23.824

Nederland

13.460

Luxemburg

2.777

Europa (excl. Benelux) 10.737 Turkije

87

4.937

Azië - Australië

933

Verenigde Staten

616

Rest van de wereld

290

Infonet Fortis Bank.

Pagina 103


BIJLAGE 4. Organisatiestructuur Payments/ IPPO

Pagina 104


Pagina 105


BIJLAGE 5. Resultaten onderzoek Deloitte

Pagina 106


Pagina 107


BIJLAGE 6. Inhoud business case volgens Rijsenbrij88

88

Rijsenbrij D., ‘Checklist voor een businesscase’, Informatie, April 2004.

Pagina 108


Pagina 109


BIJLAGE 7. Syndicale spanningen rond outsourcing “Op enkele dagen tijd zijn een paar grote outsourcingscontracten of –projecten bekend geraakt of aangekondigd. Het is een bittere pil voor het personeel, de vakbonden komen in actie.” 89 Coca-Cola heeft vanuit het Belgische filiaal in alle discretie de centrale ict-infrastructuur uitbesteed aan SBS. Concurrent Kraft Foods heeft een wereldwijde outsourcingsdeal getekend met EDS. Die heeft in België impact op een tiental mensen. En vandaag onthult de pers de plannen van Mobistar om het beheer, in de brede zin van het woord, van het netwerk uit te besteden. Daardoor leeft nu de hypothese van een overstap van meer dan 300 werknemers naar een externe dienstenleverancier. Zoals ook enkele maande geleden gebeurde bij brouwerij Inbev (in het kader van de outsourcing naar IBM), komen de vakbonden in actie om de ongerustheid van het personeel te ventileren. De ict-afdeling van Kraft Foods Belgium te Halle is al twee dagen in staking om te protesteren tegen het project om zes ict’ers naar EDS over te plaatsen. Volgens de vakbond BBTK-Setca, is die outsourcing synoniem voor ontslagen. Bij Mobistar hebben de vertegenwoordigers van het personeel gisteren een brief aan de aandeelhouders doen circuleren. Ze maken zich ernstig zorgen over de plannen van de directie om verschillende outsourcingsprojecten te ontvouwen, met name voor het beheer van het gsmnetwerk, wat de overstap van 300 mensen zou betekenen. Volgens Martin Willems, BBTKvakbondsafgevaardigde bij Mobistar, zou Mobistar een groot risico nemen met de outsourcing van een netwerk en applicaties die het hart vormen van het bedrijf. Hij waarschuwt voor de demotivatie van de ingenieurs die zouden overgeplaatst worden. “Het gaat voor het merendeel om mensen die sterk verbonden zijn met het bedrijf, met mintens 5 jaar anciënniteit. Tijdens onze eerste algemene vergadering heeft een groot deel onder hen duidelijk gezegd nog liever ontslagen te worden dan geoutsourcet,” verklaart Willems. Ten tweede stelt de vakbond zich vragen bij de effectieve besparingen die een massale outsourcing zou genereren, rekening houdend met de talrijke “verborgen kosten”. Voor de volgende dagen worden symbolische protestacties aangekondigd. Zowel bij Kraft Foods als bij Mobistar zijn de personeelsvertegenwoordigers verontwaardigd dat dergelijke outsourcingsmaatregelen overwogen worden terwijl hun bedrijven rijkelijk winst maken.”

89

Bron: Olivier Fabes, DataNewsJobs, 4 mei 2006.

Pagina 110


BIJLAGE 8. Overzicht geïnterviewde personen

Instelling

Functie/ naam

Computer Sciences Corporation

Director Market Solutions; Frank Grift

Logica CMG

Account Director Sales & Marketing Financial Services; Mascha I.A. Zeijlmans

Kirkman Company

Senior Consultant; Andre Faas

G4S

Executive Director Finance & IT; M.P. Erbé

G4S

Processmanager; E. Prins

Fortis Audit Services

Audit Manager; D. Debrabanter

DNB

Beleidsmedewerker; M.I. Dobbyn

Fortis Bank

hoofd Values & Cheques, Peter Reidsma

Outsource Magazine

Hoofdredacteur; E. Bouman

Aegon Bank N.V.

Proces Manager, O. Venhuis

Voor iedere geïnterviewde is de vragenlijst gebruikt opgenomen in bijlage 9, voor zover de vragen van toepassing.

Pagina 111


BIJLAGE 9. Vragenlijst interviews

A.

CASH PROCESSING 1) Welke (sub)processtappen kunnen binnen het proces van geldverwerking worden onderscheiden? 2) Welke risico’s kunnen worden onderkend binnen de diverse processtappen? 3) Welke processtappen (kunnen) worden uitgevoerd door de service provider? 4) Welke vormen van datacommunicatie vinden in die processtappen plaats en over welke data wordt gecommuniceerd tussen service provider en bank?

B.

OUTSOURCING 5) Wat wordt onder outsourcing verstaan; wat zijn hiervoor de kenmerken? 6) Wat is het (kenmerkende) verschil tussen inkoop en outsourcing? 7) Kunnen alle processen binnen een organisatie worden geoutsourced? Zo nee, welke niet en waarom? 8) Is het proces van geldverwerking een ‘bancair proces’? 9) Zou iedere organisatie een proces kunnen uitbesteden? Zo nee, waarom niet? Zo ja, zijn hierin geen beperkingen? 10) Zou het vaststellen van outsourcing vanuit de beheersingsvraag een betere / duidelijkere benadering zijn? Waarom wel of waarom niet? 11) In hoeverre is strategisch beleid belangrijk bij outsourcing (of insourcing ingeval van de service provider)?

C.

COMPLIANCE KADER OUTSOURCING 12) Welke eisen stelt de toezichthouder aan outsourcing? Zijn deze eisen helder? 13) De toezichthouder heeft in haar definitie opgenomen dat het outsourcingskader van toepassing is bij uitbesteding van (delen) van ‘het bancair of daaraan ter ondersteunende processen’. Is het proces van geldverwerking een specifiek bancair proces? 14) Is het voor de gebruiker helder wat wel of niet onder definitie valt, zoals gesteld bij de vorige vraag? 15) Waarom heeft Fortis Bank niet de door AFM gestelde eisen meldingsplicht in haar beleid en de door DNB vereiste beleidsplan opgenomen in haar outsourcingbeleid? 16) Welke eisen stelt de bank aan outsourcing? Zijn deze eisen helder? 17) Wat zijn de redenen voor DNB om geen onderscheid te maken tussen interne en externe outsourcing? Pagina 112


D.

RISICO’S OUTSOURCING 18) Welke (algemene) risico’s kunnen worden onderkend bij het uitbesteden van een proces? 19) Welke (additionele) risico’s kunnen worden onderkend bij het uitbesteden van het geldverwerkingsproces? 20) Welke interne controlemaatregelen heeft de service provider genomen ten aanzien van de geconstateerde procesrisico’s? 21) Welke interne controlemaatregelen heeft de klant genomen ten aanzien van de geconstateerde proces- en algemene risico’s uit hoofde van uitbesteding van het geldverwerkingsproces? 22) Hoe is de interne beheersing van de service provider ingericht op het gebied van insourcing? 23) Op welke wijze geeft de leverancier borging voor kwaliteit af aan de klant (SAS-70, TPM)?

E.

BEHEERSINGSMAATREGELEN 24) Welke beheersingsmaatregelen zijn te implementeren voor de geconstateerde risico’s? 25) In hoeverre zijn deze beheersingmaatregelen realistisch en haalbaar? 26) In hoeverre zijn de beheersingsmaatregelen contractueel vast te leggen? 27) In hoeverre zijn de aanwezige risico’s verzekerbaar? 28) Hoe is het contact tussen klant en leverancier ingericht en hoe wordt dit door beide partijen ervaren? 29) Op welke wijze kan een leverancier worden gemonitored? 30) Vindt bij de leverancier een externe audit plaats (door de opdrachtgever of door de toezichthouder)?

Pagina 113

Geld tellen of innen?

Recommend Documents