ICT-Outsourcing en monitoring van de ICT-beheerorganisatie, een voorbeeld uit de praktijk

Sourcing ICT-Outsourcing en monitoring van de ICT-beheerorganisatie, een voorbeeld uit de praktijk

2.4

ICT-Outsourcing en monitoring van de ICT-beheerorganisatie, een voorbeeld uit de praktijk eel organisaties hebben al onderdelen van hun ICT-omgeving uitbesteed aan derden. Anderen overwegen om onderdelen van hun ICT-omgeving uit te besteden. Elk van deze organisaties heeft of krijgt te maken met de vraag op welke wijze controle kan worden uitgeoefend op de geleverde dienstverlening door de externe ICT-dienstverlener (bijvoorbeeld over de kwaliteit en de prijs). Doel van dit artikel is te beschrijven op welke wijze de beheersingsmaatregelen kunnen worden ingericht voor de monitoring van de externe ICT-dienstverlener. Aan de hand van een praktijksituatie wordt een model beschreven waarmee controle kan worden gehouden op ICT-outsourcecontracten. Het Ministerie van Volkshuisvesting, Ruimtelijke Ordening en Milieu (VROM) wordt als voorbeeld gebruikt.

75

V

2

Auteurs: D. Smulders en drs. M.M.J.M. Welters RE RA - Ernst & Young EDP Audit

Het Ministerie van VROM is voornemens de ICT-basisvoorzieningen en de bijbehorende centrale beheerorganisatie uit te besteden. In dit artikel wordt beschreven op welke wijze het ministerie er voor zorgt om na de daadwerkelijke outsourcing in control te blijven ten aanzien van (1) een marktconforme prijs en (2) de beoogde kwaliteit van de dienstverlening van de externe ICT-dienstverlener (in dit artikel ook wel outsourcepartij genoemd). Met name wordt hierbij aandacht besteed aan de inrichting van de beheerorganisatie, het outsourcecontract en de monitoring van het contract. De inrichting van de beheerorganisatie is conform de ITIL-methodiek en zal als een rode draad door dit artikel heen lopen. Leeswijzer In dit artikel wordt eerst het Ministerie van VROM beschreven, de beheerorganisatie van het ministerie en de overwegingen van het ministerie om tot outsourcing over te gaan.

Daarna wordt stilgestaan bij de mogelijke oorzaken die monitoring van de prestaties van de externe ICT-dienstverlener bemoeilijken. Vervolgens wordt de kern van het monitoringmodel besproken dat het Ministerie van VROM heeft ingericht en wordt een aantal overige middelen inzake monitoring besproken. Tot slot volgt de conclusie.

MINISTERIE VAN VROM Inleiding Om een beeld te geven van de organisatie en de situatie ten aanzien van de outsourcing wordt in dit hoofdstuk een beschrijving gegeven van het Ministerie van VROM en de daar aanwezige ICT-omgeving. De volgende onderwerpen worden behandeld: • beschrijving van het ministerie; • beschrijving van de ICT-beheerorganisatie van het ministerie; • doelstelling van de outsourcing.

IT Service Management, best practices Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net

76

Beschrijving ministerie Het Ministerie van VROM voert veel taken uit. Deze kunnen worden samengevat onder het motto: “Nederland is een dichtbevolkt land. Daarom moeten we zorgvuldig omspringen met de ruimte die nodig is om te wonen, te werken en te ontspannen. En ook dat we op een verantwoorde manier omgaan met onze leefomgeving. Uitgangspunt is een aantrekkelijk en leefbaar Nederland voor iedereen. VROM creëert de voorwaarden voor zo’n samenleving.” Dit betekent concreet dat het ministerie tot taak heeft niet alleen voor de huidige maar ook voor toekomstige generaties onze leefomgeving zo goed mogelijk in stand te houden en daar waar mogelijk te optimaliseren. Het ministerie is opgedeeld in 6 DirectoratenGeneraal die overigens in de regel met het begrip diensten worden aangeduid. Vijf diensten (DG Wonen, DG Milieu, DG Ruimte, Rijksgebouwendienst en VROM Inspecties) bewegen zich op de beleids- en uitvoeringsgebieden binnen de taakstelling van het ministerie. Van de zesde, de Centrale Sector, kan het grootste deel van de taken als facilitair, ondersteunend en bewakend voor de andere vijf worden aangemerkt. Het departement heeft 24 vestigingen verspreid over Nederland, het grootste gedeelte van de circa 4300 medewerkers zijn werkzaam op de zogenaamde hoofdzetel van het departement in Den Haag. Binnen de Centrale Sector van het departement is een facilitaire directie (ICT Dienst) aanwezig voor het centraal aanbieden van de ICT-basisvoorzieningen. Binnen de ICT Dienst is een beheerorganisatie ingericht voor het daadwerkelijk leveren van de dienstverlening voor het beheer van de ICT-basisvoorzieningen. De doelstelling van het centrale ICT-beheer is om voor het Ministerie van VROM een betrouwbare, beheersbare, betaalbare, moderne en bewezen informatieen communicatietechnologie infrastructuur alsmede een betrouwbaar en beheersbaar opererende ICT Dienst te leveren die de continuïteit van de ICT-afhankelijke bedrijfsprocessen van de klanten, de zes diensten, ondersteunt.

ICT-BEHEERORGANISATIE Beheerdomein ICT-Beheerorganisatie De centrale beheerorganisatie van de ICT Dienst is verantwoordelijk voor het beheer van de centrale gestandaardiseerde ICTinfrastructuur en de ondersteuning van de eindgebruikers. De centrale gestandaardiseerde infrastructuur omvat: • de basisinfrastructuur (werkplekapparatuur, kantoorautomatiseringsservers, netwerken, telecom en dergelijke); • basisapplicaties (een aantal Office applicaties, e-mail en dergelijke); • beheertools. Een beeld van de omvang van de gemeenschappelijke basisinfrastructuur kan gegeven worden door onderstaande cijfers van de centrale infrastructuur: • 5000 desktops • 1500 laptops • 4500 telefoontoestellen • 6000 netwerkaansluitingen • 100 kantoorautomatiseringsservers De dienstverlening voor de ICT-basisvoorzieningen is vastgelegd in een Service Level Agreement (SLA), met daarin de door het ministerie vereiste dienstverleningniveaus (onder andere de benodigde beschikbaarheid van de voorzieningen, afspraken over het oplossen van verstoringen en het doorvoeren van wijzigingen). Ten aanzien van de ICT-basisvoorzieningen worden jaarlijks circa 60.000 meldingen verwerkt (incidenten, problemen en wijzigingen). Naast de basisvoorzieningen levert de beheerorganisatie op verzoek van de diensten van het ministerie aanvullende dienstverlening, zoals het technisch beheer van specifieke applicaties van de diensten van het ministerie. Organisatieschema ICTBeheerorganisatie Het organisatieschema op hoog niveau van de ICT-Beheerorganisatie is in figuur 1 weergegeven.

Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net


Hoofd Beheerorganisatie

77 Service Process Management

Beheer & Exploitatie Front Office

Beheer & Exploitatie

Acceptatie

Back Office

Figuur 1

De afdeling Service Process Management ondersteunt het hoofd beheerorganisatie en is verantwoordelijk voor de inrichting van de beheerorganisatie (inclusief ITIL-processen), monitoring van de prestaties van de beheerorganisatie en de periodieke rapportage. De daadwerkelijke dienstverlening wordt geleverd door de frontoffice en backoffice. In de frontoffice wordt door de afdeling Servicedesk de helpdeskfunctie, de 1e en 2e lijns ondersteuning en de ondersteuning van de werkplek geleverd. De backoffice wordt gevormd door de afdelingen Beheer & Exploitatie en Acceptatie. Beheer & Exploitatie verzorgt 3e lijnsondersteuning, het beheer van de kantoorautomatiseringsservers, het beheer van het netwerk en het beheer van de telefonievoorzieningen. Tevens zijn binnen Beheer & Exploitatie afdelingen ingericht voor de inkoop, het op voorraad houden van ICT-middelen en configuratie– en softwarebeheer. De afdeling Acceptatie is verantwoordelijk voor het adviseren, ontwikkelen, testen en accepteren van wijzigingen aan de ICT-infrastructuur van het ministerie. De werkzaamheden van de beheerorganisatie zijn op dit moment in zijn geheel uitbesteed aan diverse leveranciers. Omstreeks 1/3 deel van de werkzaamheden is op basis van resultaatsverplichte overeenkomsten uit-

2 besteed, alle overige werkzaamheden worden uitgevoerd op basis van inhuur van extern personeel (inspanningsverplichting) en vallen onder verantwoordelijkheid van de directeur ICT Dienst. Inrichting beheer De beheerorganisatie is ingericht op het kunnen leveren van de afgesproken diensten. Om de dienstverlening te kunnen realiseren zijn beheerprocessen ingericht. Voor de inrichting van de beheerprocessen is de ITILmethodiek als uitgangspunt gekozen. De inrichting van de beheerorganisatie conform ITIL en de mogelijkheden om hiermee controle te kunnen houden op de prestaties van de outsourcepartij zullen in het vervolg van dit artikel als voorbeeld worden gehanteerd. Binnen de Beheerorganisatie zijn de volgende ITIL-processen geïmplementeerd: • Incidentbeheer • Probleembeheer • Wijzigingsbeheer • Releasebeheer • Configuratie– en softwarebeheer • Inkoop– en voorraadbeheer • Continuïteitsbeheer • Beschikbaarheids- en capaciteitsbeheer • Informatiebeveiligingsbeheer


DOELSTELLINGEN OUTSOURCING

78

In deze paragraaf wordt eerst ingegaan op redenen die organisaties in het algemeen kunnen hebben om te kiezen voor outsourcing, daarna wordt stilgestaan bij de specifieke doelstellingen die het Ministerie van VROM heeft ten aanzien van de outsourcing van de beheerorganisatie. Generieke doelstellingen Er bestaan tal van overwegingen om te outsourcen. In figuur 2 zijn de belangrijkste doelstellingen in het kort weergegeven die organisaties kunnen nastreven met outsourcing. Er wordt hierbij onderscheid gemaakt tussen strategische overwegingen en ‘directe aanleidingen’ Voordat een organisatie daadwerkelijk besluit tot outsourcing over te gaan, dient de organisatie eerst een eenduidige doelstelling te formuleren. Wat is het doel dat de organisatie met outsourcing wil bereiken? Deze doelstelling moet de basis vormen voor elk af te sluiten outsourcecontract. Bij het bepalen van de doelstelling moet ook worden vastgesteld op welke wijze controle zal worden uitgeoefend over de dienstverlening van de toekomstige leverancier. Belangrijk hierbij is om het doel van outsourcing gedurende het gehele traject niet uit het

Strategische overwegingen Focus op kerncompetenties Kwaliteit Verbetering ondersteuning bestaande processen (24x7 reliability)

oog te verliezen. Immers er zijn vele valkuilen maar de belangrijkste valkuil is dat gedurende het traject het doel uit het oog wordt verloren. Wil een organisatie kunnen monitoren of de outsourcepartij het beoogde doel nastreeft, dan zullen dus alle stappen om te komen tot outsourcing aandacht moeten hebben voor de in eerste instantie geformuleerde doelstelling. Bijvoorbeeld als de doelstelling van een organisatie is om de kwaliteit van de dienstverlening te verhogen moeten er na de outsourcing voldoende mogelijkheden te zijn om vast te kunnen stellen of de kwaliteit daadwerkelijk is verhoogd door de outsourcing. In de volgende paragraaf wordt ingegaan op de specifieke redenen die het Ministerie van VROM heeft om de ICT-basisvoorzieningen en bijbehorende beheerorganisatie te outsourcen. Doelstelling Ministerie van VROM De keuze van het Ministerie van VROM om over te gaan tot outsourcing van de beheerorganisatie is in de eerste plaats een strategische overweging, namelijk terug naar haar kerntaken (het maken van beleid). Twee andere doelstellingen zijn: een hogere kwaliteit van de dienstverlening (inclusief het bijhouden van technologische ontwikkelingen) en een lagere prijs van de dienstverlening. De huidige inrichting van het beheer van de

Directe aanleidingen Bestaande problemen: Ontevredenheid bij externe klanten Niet kunnen realiseren van gewenste service niveaus

Bijzondere omstandigheden: Overname of fusie Opheffen gedwongen winkelnering Nieuwe technologie

Time to market Technologische competenties verwerven

Niet kunnen realiseren van noodzakelijke kostenbesparingen Personele problematiek

Lange termijn kostenniveau Ondersteuning nieuwe activiteiten

Figuur 2



ICT-infrastructuur, waarbij sprake is van een ongestructureerde mix van outsourcingvarianten, is voor het ministerie suboptimaal. Omdat de coördinatie over de verschillende partijen op verschillende plekken binnen VROM is belegd, wordt zowel in administratieve als bestuurlijke zin veel inspanning van de kant van het ministerie gevraagd. Daarnaast kan door de versnippering in de uitvoering slechts beperkt gebruik worden gemaakt van de kennis van de markt en de potentiële schaalvoordelen die professionele ICT-dienstverlening kan leveren. Met resultaatsverplichte outsourcing wil VROM het aantal dienstverleners terugbrengen tot één hoofdaannemer met een integrale verantwoordelijkheid voor het beheer van de generieke ICT-basisvoorzieningen, die op output kunnen worden aangestuurd door het ministerie. Daarnaast wordt een aantal aanvullende doelstellingen beoogd die in een directe relatie staat met de focus- en schaalvoordelen die dienstverleners kunnen bieden, zoals: • Hogere kwaliteit - Door het beheer van de ICT-infrastructuur bij partijen te beleggen die ICT als kerncompetentie hebben, verwacht VROM een hogere garantie te kunnen bieden aan de gebruikers ten aanzien van de kwaliteit van het beheer van de ICTinfrastructuur. • Innovatievermogen - (Technologische) veranderingen volgen elkaar steeds sneller op. Van externe partijen die het beheer van de ICT-infrastructuur als kerntaak hebben mag worden verwacht dat deze tijdig vernieuwingstrajecten zullen initiëren en realiseren. • Kostenbeheersing en -reductie - Door de schaalvoordelen die ICT-dienstverleners kunnen aanbieden, verwacht het ministerie de hiermee in relatie staande kostenvoordelen te realiseren. Door een optimalere invulling van het beheer kan deze dienstverlening tegen lagere kosten worden aangeboden. Daarnaast dwingt de outsourcing VROM tot een afgewogen afname van ICT-kosten, door een eenduidige regie en transparante kostenstructuur.

Na het ingaan van het outsourcingscontract met één hoofdaannemer zal VROM moeten kunnen vaststellen in welke mate de doelstellingen daadwerkelijk worden gerealiseerd. Hiertoe is de beheerorganisatie voorafgaand aan de outsourcing ingericht aan de hand van een monitoringmodel. Het model is erop gericht om de realisatie van de outsourcingsdoelstellingen van VROM door de externe ICT-dienstverlener te kunnen monitoren, meten en beoordelen.

79

OORZAKEN NIET KUNNEN MONITOREN Hieronder worden belangrijke oorzaken beschreven waardoor opdrachtgevers onvoldoende in staat zijn om de prestaties van een externe ICT-dienstverlener te kunnen monitoren. In het monitormodel van het Ministerie van VROM dat daarna wordt behandeld zijn beheersingsmaatregelen getroffen om te voorkomen dat deze oorzaken zich voordoen.

2

Onduidelijke afspraken in het outsourcecontract Contractafspraken dienen voor beide partijen (opdrachtgever en opdrachtnemer) eenduidig geformuleerd te worden zodat achteraf geen discussie kan ontstaan over interpretatie van de afspraken. Afspraken dienen daarom SMART (specifiek, meetbaar, acceptabel, realistisch en tijdig) te zijn vastgelegd. In menig contract wordt bijvoorbeeld een afspraak vastgelegd over de beschikbaarheid van bepaalde IT-onderdelen in een percentage. De wijze waarop het beschikbaarheidspercentage wordt berekend, dient echter eveneens specifiek te worden vastgelegd (bijvoorbeeld over welke periode wordt gemeten, 24x7 of een specifiek servicewindow). Geen contractafspraken over meerwerk De wijze waarop wordt omgegaan met meerwerk ten opzichte van de vastgelegde contractafspraken levert regelmatig problemen op. Ten eerste dient in de contracten afspraken te zijn vastgelegd wat onder meerwerk wordt verstaan en op welke wijze vanuit de


80

opdrachtgever specifiek opdracht voor meerwerk wordt gegeven (in plaats van dat een opdrachtgever ineens een factuur ontvangt voor meerwerk). Ten tweede kunnen in een contract reeds specifieke afspraken (inclusief standaard prijzen) worden vastgelegd over meerwerk. Voorbeelden hiervan zijn standaardtarieven voor bepaalde typen medewerkers (voor projectmatige activiteiten) of een standaardprijs voor grote hoeveelheden van standaard werkzaamheden (bijvoorbeeld voor een verhuizing van een werkplek een standaardprijs, ook als het om 1000 werkplekken gaan). Geen goede juridische vastlegging van contractafspraken Met de ICT-dienstverlener moeten eenduidige juridische afspraken zijn vastgelegd over de kwaliteit en prijs van de dienstverlening. Indien de afspraken niet eenduidig zijn of überhaupt niet zijn vastgelegd dient in samenwerking met de ICT-dienstverlener aanvullend te worden bepaald welke dienstverlening (met welke kwaliteit en prijs) wordt geleverd. Onvoldoende mogelijkheden tot het meten van de prestaties van de ICTdienstverlener Contractafspraken kunnen wellicht SMART vastgelegd zijn in de contracten. De ICTdienstverlener zal er echter voor moeten zorgen dat er voldoende registraties worden ingericht om de benodigde gegevens om te kunnen meten en vast te leggen. In veel gevallen blijkt dat niet voor alle aspecten uit het contract een administratie is ingericht, hiermee wordt het onmogelijk om de prestaties van de ICT-dienstverleners te meten. Een voorbeeld hiervan is dat in een contract afspraken zijn vastgelegd over het oplossen van een verstoring: afhankelijk van de prioriteit gelden er echter verschillende maximale doorlooptijden. Dit betekent dat zowel de prioriteit in een administratie vastgelegd dient te worden als de verschillende doorlooptijden die voor het oplossen van de verstoring gelden.

Geen of onbetrouwbare rapportages over de geleverde prestaties Het lijkt moeilijk voor te stellen, maar in de praktijk komt het regelmatig voor dat ICTdienstverleners geen verantwoording door middel van rapportages afleggen over de geleverde dienstverlening. Een betrouwbare rapportage is voor een opdrachtgever een belangrijk instrument om controle te houden op de prestaties van een ICT-dienstverlener.

MONITORINGMODEL Inleiding In dit deel wordt het model beschreven dat het Ministerie van VROM hanteert om vast te kunnen stellen of de externe ICT-dienstverleners zich aan de gemaakte afspraken (geld en kwaliteit) houden. De opzet van het monitormodel is om alle contractueel afgesproken diensten met de ICT-dienstverlener meetbaar te maken en hiermee controleerbaar. In het kort komt het erop neer dat de inrichting van de beheerorganisatie terug zal zijn te vinden in het outsourcecontract. Het meetbaar maken van de afgesproken dienstverlening uit het contract (zowel voor reguliere werkzaamheden als additionele activiteiten) leidt tot het registreren van de werkzaamheden door de outsourcepartij. Vervolgens dient periodiek te worden gerapporteerd door de outsourcepartij op een dusdanige wijze dat het ministerie kan vaststellen of aan het contract is voldaan. Een belangrijk uitgangspunt is dat alle onderdelen van het monitormodel op elkaar aansluiten en consistent zijn en blijven. Bijvoorbeeld: als een afspraak in het outsourcecontract is opgenomen over de doorlooptijd voor het aanmaken van een nieuwe gebruiker, dan zal deze doorlooptijd in de registratie dienen te worden gemeten en uiteindelijk op dezelfde wijze terug dienen te komen in de verantwoordingsrapportage. In figuur 3 is de samenhang van het monitormodel weergegeven. In de volgende paragrafen wordt verder ingegaan op de verschillende onderdelen van het monitormodel.



Opdrachtgever VROM

Beheerorganisatie (ICT-dienstverleners)

Opdrachtgever VROM

Outsourcecontract Kwaliteit dienstverlening Begrote kosten dienstverlening

Registratie kwaliteit Dienstverlening

81

Gerealiseerde kwaliteit dienstverlening

Periodieke rapportage Gerealiseerde kwaliteit dienstverlening Gerealiseerde kosten dienstverlening (personeel en materieel)

Registratiekosten Dienstverlening Meerwerk Kwaliteit dienstverlening Begrote kosten dienstverlening

Gerealiseerde kosten dienstverlening (personeel en materieel)

Figuur 3

2 Outsourcecontract In het outsourcecontract van de beheerorganisatie met het Ministerie van VROM zijn afspraken vastgelegd over de kwaliteit en de kosten van de dienstverlening voor de ICTbasisvoorzieningen. In het vervolg van deze paragraaf wordt ingegaan op welke wijze de kwaliteit en de kosten zijn opgenomen in het contract. Kwaliteit dienstverlening De gevraagde kwaliteit van de dienstverlening is vastgelegd door middel van service levels. Uitgangspunt voor de service levels is de ITIL-methodiek. Per ITIL-beheerproces zijn service levels SMART geformuleerd en gekoppeld aan de onderdelen van de ICTbasisvoorzieningen (werkplek, basisapplicaties, servers, netwerk en telefonie). Voorbeelden van service levels zijn het oplossen van een verstoring op een werkplek binnen 12 werkuur (incidentbeheer), het leveren van een nieuwe printer binnen 5 werkdagen (wijzigingsbeheer) en het certificeren van een nieuwe applicatie binnen 10 werkdagen (wijzigingsbeheer). Een aantal belangrijke service levels op basis van de ITIL-methodiek in de SLA zijn: • servicedesk - servicewindow; • incidentbeheer - reactie- en doorlooptijden; • wijzigingsbeheer - reactie- en doorlooptijden;

• beschikbaarheidsbeheer - beschikbaarheidspercentages; • capaciteitsbeheer - afspraken over capaciteit en performance servers; • configuratie -en softwarebeheer betrouwbaarheid configuratie- en softwaredatabase. Begrote kosten dienstverlening In de huidige situatie bij het Ministerie van VROM wordt de beheerorganisatie centraal gefinancierd. Elk jaar wordt door de beheerorganisatie een begroting (door middel van een financieel jaarplan) opgesteld waarin is opgenomen welke budget nodig is voor de te leveren diensten. In de begroting wordt een onderscheid gemaakt in personele en materiële kosten. De gevraagde dienstverlening is het uitgangspunt bij de begroting. Op basis van geleverde hoeveelheden diensten (zoals aantallen incidenten, problemen en wijzigingen) uit het voorgaande jaar wordt het benodigde budget voor het komende jaar bepaald. De budgetten worden dan ook in de begroting toegekend aan de te leveren diensten en niet aan bijvoorbeeld de afdelingen van de beheerorganisatie. De reden voor deze wijze van begroten is dat VROM wil kunnen sturen op de prijs van de dienstverlening en niet zozeer op de kosten per afdeling van de beheerorganisatie.


82

Afdelingscontracten Aangezien er binnen de beheerorganisatie meerdere leveranciers betrokken zijn bij de dienstverlening, wordt in de huidige situatie het outsourcecontract bij wijze van spreken opgeknipt in delen per afdeling. Per afdeling wordt een afdelingscontract opgesteld met de gevraagde dienstverlening en het toegekende budget. Elk hoofd van een afdeling wordt hiermee specifiek verantwoordelijk gesteld voor de door zijn afdeling te leveren diensten. Na de outsourcing kan de hoofdaannemer deze methodiek eveneens hanteren voor het aansturen van eventuele onderaannemers. Meerwerk Naast de dienstverlening zoals vastgelegd in het outsourcecontract wordt natuurlijk in de loop van het jaar of de contractperiode door de diensten van het Ministerie van VROM aanvullende dienstverlening gevraagd. Dit meerwerk betreft zowel projectmatige activiteiten (bijvoorbeeld het inrichten van een DMZomgeving) als nieuwe reguliere beheeractiviteiten (bijvoorbeeld het technisch beheren van een nieuwe server voor een dienstspecifieke applicatie). Het meerwerk wordt door middel van een getekende offerte door de betreffende dienst van VROM aangevraagd. Per nieuw aangevraagde dienst wordt binnen de beheerorganisatie beoordeeld op welke wijze dit ‘ingeregeld’ kan worden. Het risico bij meerwerk is dat de werkzaamheden wel worden uitgevoerd maar dat er onvoldoende mogelijkheden zijn om de uitgevoerde werkzaamheden te monitoren. Daarom wordt, naast de gevolgen voor de operationele werkzaamheden van de afdelingen, binnen de beheerorganisatie eveneens bepaald welke aanpassingen er nodig zijn voor de vereiste registraties en rapportages. Registratie dienstverlening Op basis van de contractafspraken dient de beheerorganisatie een registratie in te richten waarmee de kwaliteit en de prijs kan worden gemeten. Voor elke dienstverlening uit het outsourcecontract waarover verantwoording afgelegd dient te worden, is binnen de

beheerorganisatie een registratie ingericht, zodat de benodigde informatie voor de verantwoording kan worden opgeleverd. Registratie kwaliteit dienstverlening Ten behoeve van de registratie van de kwaliteit van de dienstverlening zijn de volgende systemen ingericht: • service managent systeem (ARS/Expertdesk); • system management systeem (HP Open View). In het vervolg van deze paragraaf wordt beknopt ingegaan op de vastleggingen die per systeem worden gedaan ten behoeve van de monitoring van de beheerorganisatie. Service management systeem De basis van het service management systeem vormen de afspraken over de dienstverlening zoals vastgelegd in het outsourcecontract. De afspraken over het afhandelen van meldingen zijn in het service management systeem opgenomen op basis van de ITIL-beheerprocessen (bijvoorbeeld het oplossen van een incident op een werkplek inclusief reactie- en doorlooptijden). Alle meldingen die bij de Servicedesk van de beheerorganisatie binnen komen worden vastgelegd in het service management systeem. Het betreft zowel meldingen van de gebruikersorganisatie (reactief) als proactieve meldingen door medewerkers van de beheerorganisatie. Daarnaast worden vanuit het systeemmanagement systeem geautomatiseerd meldingen aangemaakt in het service management systeem. In figuur 4 is schematisch de inrichting, op basis van de ITIL-beheerprocessen, van het service management systeem weergegeven. Uitgangspunt voor de registratie in het service management systeem zijn alle onderdelen van de ICT-basisvoorzieningen (werkplekapparatuur, applicaties, servers, netwerkcomponenten, et cetera) die zijn vastgelegd in de configuratie - en softwaredatabase. Elke melding die wordt vastgelegd wordt gekoppeld aan een configuratie-item en/of softwareitem. Daarna wordt per melding vastgesteld wat voor een type melding het is (bijvoor-



Service Level Management

83

Productie Melding

Wijziging

Telefonie

Probleem Incident

Configuratie database

Voorraad / inkoop

2 Workflow / taken

Kennis database

Figuur 4

beeld incident oplossen op een werkplek, leveren van een nieuw telefoontoestel of een nieuwe gebruiker aanmaken). Door het service management systeem wordt op basis van de combinatie van het soort item en de type melding geautomatiseerd vastgesteld welke dienstverlening het betreft en worden de bijbehorende afspraken over de kwaliteit van de dienstverlening (bijvoorbeeld de norm doorlooptijd uit het SLA) aan de melding gekoppeld. Voor de afhandeling van de meldingen wordt gebruik gemaakt van geautomatiseerde workflows in het service management systeem. Een melding (een hoofdtaak) is opgesplitst in een aantal deeltaken die door verschillende afdelingen uitgevoerd moeten worden om de melding te kunnen afhandelen. Door middel van de workflows worden deeltaken naar de betreffende afdelingen uit de beheerorganisatie gestuurd. Aan de hoofdtaak is de afgesproken reactie– en doorlooptijd gekoppeld uit het SLA. Aan de deeltaken zijn eveneens doorlooptijden gekoppeld; de som van de deeltaken binnen een workflow is echter altijd gelijk aan of klei-

ner dan de doorlooptijd van de hoofdtaak. In figuur 5 is als voorbeeld van de afhandeling van een melding in het service management systeem de workflow opgenomen van een aanvraag voor een nieuwe werkplek. Het service management systeem is de belangrijkste bron voor de verantwoording door de beheerorganisatie over de afspraken uit het outsourcecontract. Voor een aantal gegevens (zoals telefonische wachttijden en reactietijden van de helpdesk) wordt aanvullend gebruik gemaakt van de ACD (Automatic Call Dispatcher) van de telefooncentrale. System management systeem In het system management systeem zijn de gegevens vastgelegd met betrekking tot de afspraken over beschikbaarheid en capaciteit uit het outsourcecontract. De normen ten aanzien van de beschikbaarheid en de capaciteit zijn ingevoerd in het system management systeem. Bij overschrijding van de ingevoerde normen worden door het system management systeem geautomatiseerd mel-


SLM Doorlooptijd

84

Melding gebruiker

Hoofdtaak: Leren van een werkplek (wijziging)

55 uur

Deeltaak: intake (afdeling servicedesk)

0.25 uur

Deeltaak: plannen en accepteren ( afdeling ondersteuning werkplek)

4 uur

Deeltaak: aanvragen werkplek (afdeling voorraadbeheer)

11 uur

Deeltaak: uitplaatsen werkplek (afdeling ondersteuning werkplek)

36 uur

Deeltaak: activeren LAN-outlet (afdeling netwerkbeheer)

2 uur

Deeltaak: updaten CMDB (afdeling configuratiebeheer)

0.5 uur

Deeltaak: afsluiten melding (afdeling servicedesk)

1 uur

Figuur 5

dingen aangemaakt, die worden doorgestuurd naar het service management systeem voor afhandeling door de betreffende beheerders. De beschikaarheidspercentages uit het outsourcecontract voor servers en netwerkcomponenten zijn in het system management systeem vastgelegd en de realisatie van de percentages wordt hier gemeten. Registratie kosten dienstverlening Voor de monitoring van de kosten van de dienstverlening worden twee registraties bijgehouden, te weten: • een tijdschrijfsysteem voor de personele budgetten/kosten; • een systeem voor de vastlegging van de materiële budgetten/kosten. In het tijdschrijfsysteem zijn de budgetten uit de begroting opgenomen en gekoppeld aan de dienstverlening. Door de medewerkers van de beheerorganisatie worden daarna uren geschreven op tijdschrijfcodes die zijn gebaseerd op de dienstverlening uit het outsourcecontract. In het tijdschrijfsysteem is voor elke medewerker het uurtarief ingevoerd, hiermee wordt in het tijdschrijfsys-

teem zowel het aantal daadwerkelijk gemaakte uren als de bijbehorende kosten geregistreerd. De daadwerkelijk gemaakte personele kosten per dienstverlening kunnen op deze wijze worden gerapporteerd uit het tijdschrijfsysteem. De materiële budgetten/kosten (investeringen, onderhouds– en licentiecontracten) worden in een separaat systeem vastgelegd. Wederom worden zowel de budgetten uit de begroting als de daadwerkelijk gemaakte kosten (ontvangen facturen) vastgelegd. In figuur 6 is de registratie schematisch afgebeeld. Betrouwbaarheid registratie kwaliteit en kosten Aandachtspunten bij het inrichten van de administratie zijn de betrouwbaarheid van de vastgelegde informatie en het niveau van de detaillering (afhankelijk van de gewenste rapportage). De invoer van onbetrouwbare informatie door de ICT-dienstverlener dient zo veel mogelijk te worden voorkomen. Denk bijvoorbeeld aan het onjuist boeken van meldingen (bijvoorbeeld een melding boeken op dienstverlening uit het contract waar een langere doorlooptijd voor staat - 12 uur i.p.v. 2



Personeel budget

Personele kosten Medewerker 85

Uurtarief

Dienstverlening

Materiaal budget

Materiële kosten Investeringen harden software

Onderhouds- en licentiecontracten harden software

2

Figuur 6

uur - of het onjuist schrijven van uren door medewerkers). Binnen de beheerorganisatie zijn voor de betrouwbaarheid van de registraties een aantal maatregelen getroffen, zowel procedureel als in de systemen (zoals logische toegangsbeveiliging en invoercontroles). Daarnaast wordt de betrouwbaarheid van de registraties door de afdeling Service Process Management beoordeeld. Periodieke rapportage Een zeer belangrijk middel voor de monitoring van een ICT-dienstverlener is een periodieke rapportage. In overleg tussen het Ministerie van VROM en de ICT-beheerorganisatie is bepaald met welke periodiciteit een schriftelijke rapportage wordt uitgebracht. In de rapportage van de beheerorganisatie wordt over alle in het contract opgenomen service levels verantwoording afgelegd. Vanuit de ingerichte registraties kunnen de benodigde rapportages worden opgeleverd. De rapportage bestaat uit gerealiseerde prestaties en uit een toelichting over afspraken die niet gehaald zijn.

Binnen het Ministerie van VROM zijn doelgroepen (onder andere de plaatsvervangend secretaris-generaal en de diensten van het ministerie) met verschillende informatiebehoeften ten aanzien van de geleverde dienstverlening door de beheerorganisatie. Als gevolg hiervan worden een aantal verschillende rapportages opgeleverd. De rapportages worden door het Ministerie van VROM met de beheerorganisatie besproken. Als er negatieve afwijkingen van de afgesproken kwaliteit en prijs worden geconstateerd, wordt er tijdens deze bespreking bepaald welke verbeteracties door de beheerorganisatie zullen worden uitgevoerd om de dienstverlening op het afgesproken niveau te krijgen. De voortgang van verbeteracties en de verbetering van het niveau van dienstverlening worden in volgende rapportages opgenomen. Aangezien de beheerorganisatie op dit moment op basis van een inspanningsverplichting de dienstverlening levert wordt nog geen gebruik gemaakt van boeteclausules. In het contract voor de resultaatsverplichte outsourcing zal het voor het ministerie van


belang zijn dat in het geval dat de contractueel vastgelegde afspraken niet worden nagekomen door de leverancier, er sancties kunnen worden opgelegd (in de vorm van boetes). 86

Behouden consistentie monitoringmodel De verschillende onderdelen van het monitormodel hangen met elkaar samen en dienen onderling consistent te zijn en te blijven. Het gevolg is dat bijvoorbeeld bij een wijziging van de dienstverlening in de SLA, de mogelijkheden om te meten en de rapportages direct worden aangepast binnen de beheerorganisatie, zodat blijvend controle kan worden gehouden op alle dienstverlening. Hetzelfde geld als de inrichting van een administratie (bijvoorbeeld het service–of systemmanagement systeem) wijzigt. De gevolgen voor het kunnen meten van de kwaliteit en prijs van de dienstverlening moeten worden beoordeeld en consistent worden gemaakt met de overige aspecten van het monitoringmodel.

OVERIGE MIDDELEN VOOR MONITORING In dit laatste deel van het artikel worden voor de volledigheid twee instrumenten beschreven die in aanvulling op het monitormodel kunnen worden gebruikt voor de monitoring van de ICT-dienstverlener. Beide instrumenten worden bij het Ministerie van VROM toegepast en zijn in opdracht gegeven bij onafhankelijke externe IT-auditors. Audits Voor het grootste gedeelte van de outsourcecontracten is het aan te bevelen om de mogelijkheid op te nemen voor het uitvoeren van audits door een externe onafhankelijke partij. De doelstelling van de audits voor de opdrachtgever is vast te kunnen stellen of er voldoende beheersmaatregelen zijn getroffen om de afgesproken dienstverlening te kunnen leveren. Een andere toepassing van audits is om de betrouwbaarheid van de registratie en/of rapportages te beoordelen. Bij de beheerorganisatie vinden regelmatig

audits (onder andere ITIL-processen en de technische inrichting van de IT-infrastructuur) door de interne audit afdeling van de ICT dienst of de accountantsdienst van het Ministerie van VROM. Benchmarking Om te controleren of de prijs van de geleverde diensten marktconform is, kan gebruik worden gemaakt van benchmarking. Er kunnen verschillende prijsberekeningen worden gebruikt zoals Total Cost of Ownership (TCO), de prijs per gebruiker of de prijs per werkplek. Het Ministerie van VROM heeft in het verleden een TCO-berekening laten uitvoeren. Een kantekening die kan worden gemaakt is, dat organisaties in benchmarking vaak de manier zien om vast te kunnen stellen of de ICT-dienstverlener wel marktconform zijn diensten levert, terwijl er onvoldoende inzicht is in de prestaties die door de ICT-dienstverlener worden geleverd. Als er voldoende controle is op de contracten kan benchmarking een aanvulling zijn om periodiek te toetsen of de kwaliteit en prijs in het outsourcecontract nog marktconform zijn.

CONCLUSIE Het monitormodel is voor het Ministerie van VROM in de huidige situatie een belangrijk instrument om de prestaties van de beheerorganisatie te kunnen monitoren en wordt sinds 2001 gehanteerd. Ook na de outsourcing aan één hoofdaannemer is het voor het Ministerie van VROM uitermate van belang om in control te blijven. In deze nieuwe situatie zal het monitormodel nog steeds de controlemogelijkheden kunnen bieden die het Ministerie van VROM nodig heeft. Een belangrijk aandachtspunt hierbij is dat het outsourcecontract, de inrichting van de beheerprocessen (ITIL) en het monitoringmodel op elkaar moeten aansluiten en consistent zijn. Elke wijziging in de uitvoering van het werk heeft gevolgen voor de registratie (administratie) door de dienstverlener en leidt tot aanpassingen in de periodieke verant-



woordingsrapportage. Door wijzigingen in de dienstverlening (met name meerwerk) op verzoek van het ministerie bestaat het risico dat ook de monitoring uitermate moeilijk kan worden.

87

2



ICT-Outsourcing en monitoring van de ICT-beheerorganisatie, een voorbeeld uit de praktijk

Recommend Documents