Managen van IT outsourcing & 3LoD

Managen van IT outsourcing & 3LoD een empirisch onderzoek naar de relatie tussen IT-outsourcing governance en Three Lines of Defence uitgevoerd binnen de Nederlandse bankensector

Amer Ramkoeber MSc

2

Managen van IT outsourcing & 3LoD een empirisch onderzoek naar de relatie tussen IT-outsourcing governance en Three Lines of Defence uitgevoerd binnen de Nederlandse bankensector

Erasmus Universiteit Rotterdam Postinitiele opleiding IT-Auditing & Advisory of Internal Auditing & Advisory Erasmus School of Accounting & Assurance (ESAA)

C.A.K. (Amer) Ramkoeber MSc 352489 Referaat Begeleider: Prof. dr. Gert J. van der Pijl

Den Haag, 15 januari 2014

3

4

Voorwoord

Voorwoord The most exciting phrase to hear in science, the one that heralds new discoveries, is not ‘Eureka!’ (I found it!), but ‘That’s funny…’ -- Isaac Asimov

Een voorwoord is vaak het laatste A4’tje dat met veel plezier gevuld wordt na het uitvoeren van een wetenschappelijk onderzoek. Over het algemeen leert u, als lezer, in voorwoorden de mens achter het onderzoek enigszins kennen, aangezien voorwoorden vaak vol staan met filosofische beschouwingen, allerhande motivaties, woorden van dank en er gememoreerd wordt aan al het ‘psychisch’ leed dat vooraf is gegaan aan het schrijven van dit laatste A4’tje. Zie hier mijn bijdrage, die het einde van mijn studieperiode aan de Erasmus Universiteit markeert en tot doel heeft mijn referaat waardig te besluiten. Het startpunt van mijn referaat ligt bij de interne audit afdelingen (Group Audit) van ABN AMRO waar ik since oktober 2010 werkzaam ben als IT Auditor. Binnen Group Audit bestond al geruime tijd de indruk dat er meer aandacht moest komen voor de governance van IT-outsourcing in de organisatie. Ontwikkelingen binnen de eigen organisatie maar ook aan de kant van de externe dienstverleners maakten duidelijk dat de context waarbinnen IT-outsourcing gemanaged moet worden dynamisch is. Enkele voorbeelden van deze ontwikkelingen betroffen: ontstaan van nieuwe vormen van IT-outsourcing (cloudsourcing), verandering in weten regelgeving; standaardisatie van dienstverlening aan de kant van de externe dienstverlener; (mogelijk) toepassing van ISAE3402 verklaringen vanuit externe dienstverlener, virtualisatie dienstverlening; invoering van Three Lines of Defence). Dergelijke ontwikkelingen zorgen voor nieuwe vraagstukken op het gebied van IToutsourcing governance. Na een brainstorm sessie over een relevant onderwerp voor Group Audit met Hans Lameijer, het toenmalige hoofd Group Audit IT S&S, ben ik uitgekomen op het onderwerp IToutsourcing governance en 3LoD. Ik heb dit onderwerp nog even laten bezinken en ben er echt enthousiast over geworden na het lezen van een aantal artikelen over IT-outsourcing governance (o.a. Lacity et al. (2009 & 2010)). In de tussentijd kreeg ik ook vanuit de 2nd Line of Defence (LoD) vragen over de verwachtingen Group Audit ten aanzien van de rol van deze LoD voor IT-outsourcing. In dezelfde periode kreeg ik ook een artikel van Eric Wesselman (2012), voorzitter van Platform Outsourcing Nederland (PON), onder mijn ogen waarin hij aangaf dat veel bedrijven nog steeds worstelen met het inrichten van een juiste governance ten behoeve van de aansturing van leveranciers. De brede relevantie van het onderwerp maakte mijn interesse en enthousiasme alleen maar groter. Het voert te lang om het uitermate intensieve proces van vaststelling onderzoeksonderwerp tot voorwoord episode na episode te beschrijven, maar wel wil ik vanaf deze plek mijn woorden van dank richten aan diegenen die tijdens het proces hebben bijgedragen aan het eindresultaat zoals dit nu voor u ligt. Om te beginnen wil ik daarom mijn woord van dank richten aan Gert van der Pijl voor zijn waardevolle begeleiding tijdens het referaatproces. Zijn kritische en inspirerende begeleiding hebben ertoe geleid dat ik meer uit dit referaatproces heb kunnen halen dan ik tevoren had kunnen denken. Ik zou echter een groot aantal mensen tekort doen, wanneer ik het hier bij het bedanken van mijn scriptiebegeleider zou laten. Ik zou niet op dit onderwerp gekomen zijn en geen vliegende start gemaakt kunnen hebben zonder de vele brainstormsessies met Hans Lameijer over het onderwerp en een onderzoeksvoorstel. Mijn dank gaat ook uit naar Richard Kok en Huub van Hout, die tijd en energie vrij hebben gemaakt om mij de praktische invulling van bepaalde onderwerpen onderwerpen te verduidelijken en met mij te sparren over de aanpak van mijn praktijkonderzoek, een niet geheel onbelangrijk aspect van mijn referaat. Voorts gaat mijn dank uit naar Ed Ridderbeekx die met zijn kritische blik mij in de 5

Voorwoord

afrondende fase geholpen heeft voor het verder finaliseren van het onderzoeksverslag. Uiteraard ben ik ook de respondenten die hebben meegewerkt aan het onderzoek zeer erkentelijk voor de tijd en bijdrage aan dit onderzoek. Vanuit ABN AMRO zijn dit Jan den Boer, Jaap Crum, Robert Jongkind en Harry van der Wijk. Vanuit de Rabobank heb ik medewerking verkregen van Sander de Veer, Marcel van der Heide en Hein Laan. Vanuit SNS REAAL hebben Tom van de Ven en Simon Greve meegewerkt aan het onderzoek. Tot slot, de afronding van dit referaat markeert voor mij het einde van een periode aan de Erasmus Universiteit waarin ik kennis heb gemaakt met de grondbeginselen van Auditing. Ik wil mijn ouders bedanken voor hun onvoorwaardelijke steun in deze periode. Last but not least bedank ik mijn vrouw Doesita voor alles wat ze voor mij en ons gezin heeft betekend gedurende mijn afwezigheid en opsluiting als man en vader in mijn ‘hok’ (zolderkamer).

Amer Ramkoeber

Den Haag, januari 2014

6

Samenvatting

Samenvatting In dit referaat wordt verslag gedaan van een empirisch onderzoek naar de relatie tussen IT-outsourcing governance en Three Lines of Defence (3LoD) uitgevoerd binnen de Nederlandse bankensector. De doelstelling van het onderzoek luidde als volgt: Welke activiteiten zijn nodig voor het beheersen IT uitbesteding door banken en wat is de rol van ‘Three Lines of Defence’ in de beheersing van IT uitbesteding? Om antwoord te geven op de vraagstelling zijn een aantal theorie- en praktijkgerichte onderzoeksvragen geformuleerd. Om de theoretische verkenning te structuren zijn de theoriegerichte vragen opgenomen in vier onderzoeksstromen. In onderzoeksstroom I is de basis gelegd voor het door te definiëren wat er onder IT-outsourcing in dit onderzoek wordt verstaan. In onderzoeksstroom II stond de beheersing van IToutsourcing centraal. Er bleken twee groepen risico’s samen te hangen met IT-outsourcing: contracting risico’s en management risico’s. Tegen deze achtergrond is vervolgens ingegaan op het begrip IToutsourcing governance en is onderzocht hoe een raamwerk ter beheersing van IT-outsourcing eruit zou moeten zien. Op basis van publicaties in de wetenschappelijke literatuur zijn in totaal 18 IT-outsourcing governance aandachtsgebieden gevonden voor de cliëntorganisatie. Deze aandachtsgebieden zijn vervolgens verwerkt een raamwerk regieorganisatie IT-outsourcing welke uit zes onderdelen bestaat: demand management, strategic management, relationship management, functions, innovation management en vendor management. In onderzoeksstroom III is gekeken naar de invloed van weten regelgeving op governance in het kader van outsourcing. Uit deze onderzoeksstroom bleek dat (financiële) ondernemingen bij uitbesteding rekening moeten houden met diverse weten regelgeving, die variëren van meer generieke tot specifieke weten regelgeving, interne regelingen en externe regelgeving. Op basis van deze verkenning is een 19e aandachtsgebied aan het raamwerk toegevoegd. In de laatste onderzoeksstroom van het literatuuronderzoek stond het 3LoD gedachte centraal. Op basis van een aantal publicaties over 3LoD zijn in totaal 15 taken en 7 randvoorwaardelijke zaken gedefinieerd voor een effectieve inrichting van 3LoD. Deze taken en randvoorwaarden zijn verwerkt tot een tweede raamwerk 3LoD taken en randvoorwaarden voor het praktijkonderzoek. Het praktijkonderzoek is uitgevoerd bij drie banken: ABN AMRO, Rabobank en SNS REAAL. In een aantal diepte-interviews met deskundigen binnen deze banken is geprobeerd om inzicht te krijgen in de objecten van uitbesteding, organisatorische inrichting van de regieorganisatie, de invulling van 3LoD voor IT en tenslotte de invulling van 3LoD voor IT-outsourcing. Op basis van de uitkomsten van dit onderzoek is geconcludeerd dat de beheersing van IT uitbesteding bij de banken gevormd wordt door managementactiviteiten die in de literatuurstudie zijn gevonden. Uit het praktijkonderzoek blijkt nog wel dat er bij de banken verschillen bestaan in de invulling van deze managementactiviteiten en dat de banken zelf ook ruimte zien voor verbetering van deze activiteiten. Verder is uit de resultaten geconcludeerd dat er in de praktijk grote verschillen bestaan in de mate waarin invulling wordt gegeven aan 3LoD voor IT en de mate van invulling van 3LoD voor IT-outsourcing. Voor IT is in het praktijkonderzoek een duidelijke invulling van 3LoD gevonden waarbij de verschillende Lines of Defence in de praktijk (in zekere mate) de taken vervullen zoals deze vastgesteld zijn in het theoretisch onderzoek. Voor IT-outsourcing echter blijken de 3LoD taken in de praktijk (nog) onvoldoende ingevuld te worden door de 1st, 2nd en 3rd Line of Defence van de banken. De motieven van de banken voor het (organisatiebreed) invoeren van 3LoD, de omvang van de IT uitbestedingen en de hiermee samenhangende risico’s maakt het verder invullen van 3LoD als integraal onderdeel van de regieorganisatie IT-outsourcing een belangrijk aandachtspunt voor de banken.

7

Inhoudsopgave

Inhoudsopgave Voorwoord ............................................................................................................................................................. 5 Samenvatting ......................................................................................................................................................... 7 Lijst met Figuren en Tabellen ............................................................................................................................ 10 1 Inleiding tot de probleemstelling .................................................................................................................... 11 1.1 Introductie ................................................................................................................................................... 11 1.2 Aanleiding .................................................................................................................................................. 12 1.3 Doelstelling, vraagstelling en relevantie van het onderzoek ....................................................................... 12 1.4 Onderzoeksontwerp .................................................................................................................................... 13 1.5 Opbouw van het onderzoek ........................................................................................................................ 15 2 Theoretisch Kader ............................................................................................................................................ 17 2.1 Inleiding ...................................................................................................................................................... 17 2.2 IT-outsourcing ............................................................................................................................................ 17 2.2.1 Definities IT-outsourcing .................................................................................................................... 18 2.2.2 Objecten IT-outsourcing ...................................................................................................................... 19 2.2.3 IT-outsourcing levenscyclus ................................................................................................................ 20 2.2.4 Motieven IT-outsourcing ..................................................................................................................... 21 2.2.5 Resultaten onderzoeksstroom I ............................................................................................................ 22 2.3 Beheersen van IT-outsourcing .................................................................................................................... 22 2.3.1 Risico’s IT-outsourcing ....................................................................................................................... 22 2.3.2 IT Governance ..................................................................................................................................... 23 2.3.3 Vormen van IT-outsourcing Governance ............................................................................................ 24 2.4 IT-outsourcing governance modellen ......................................................................................................... 25 2.4.1 IT-outsourcing aandachtsgebieden ...................................................................................................... 26 2.4.2 IT-outsourcing organisatierollen en organisatiestructuur .................................................................... 28 2.4.3 IT-outsourcing prestatie-indicatoren ................................................................................................... 29 2.4.4 Raamwerk regieorganisatie IT-outsourcing ........................................................................................ 30 2.4.5 Resultaten onderzoeksstroom II .......................................................................................................... 32 2.5 Wet- en regelgeving bij outsourcing ........................................................................................................... 32 2.5.1 Wet- en regelgeving financiële ondernemingen bij outsourcing ......................................................... 32 2.5.2 Wet- en regelgeving financieel toezicht .............................................................................................. 34 2.5.3 Wft en IT-outsourcing ......................................................................................................................... 34 2.5.4 Resultaten onderzoeksstroom III ......................................................................................................... 36 2.6 Three Lines of Defence............................................................................................................................... 37 2.6.1 Definities 3LoD ................................................................................................................................... 37 2.6.2 Motieven 3LoD ................................................................................................................................... 38 2.6.3 Risico’s 3LoD...................................................................................................................................... 38 2.6.4 Verkenning van de Lines of Defence .................................................................................................. 39 2.6.5 Resultaten onderzoeksstroom IV ......................................................................................................... 43 3 Methode van Onderzoek.................................................................................................................................. 45 3.1 Inleiding ...................................................................................................................................................... 45 3.2 Onderzoeksmethodologie ........................................................................................................................... 45 3.3 Onderzoeksmethode ................................................................................................................................... 47 3.3.1 Onderzoeksfase één: een pilot in het veld ........................................................................................... 47 3.3.2 Onderzoeksfase twee: het veldonderzoek bij drie Nederlandse banken .............................................. 49 3.4 Onderzoekstechniek .................................................................................................................................... 50 3.4.1 Interview.............................................................................................................................................. 50 3.4.3 Documentenanalyse ............................................................................................................................. 53 3.4.4 Data analyse ........................................................................................................................................ 53 3.5 Wetenschappelijke eisen ............................................................................................................................. 54 3.5.1 Betrouwbaarheid ................................................................................................................................. 54

8

Inhoudsopgave

3.5.2 Validiteit .............................................................................................................................................. 55 3.6 Conclusie .................................................................................................................................................... 55 4 Resultaten ......................................................................................................................................................... 56 4.1 Inleiding ...................................................................................................................................................... 56 4.2 IT-outsourcing ............................................................................................................................................ 56 4.3 Regieorganisatie IT-outsourcing ................................................................................................................. 58 4.3.1 Raamwerk ‘Regieorganisatie IT-outsourcing’..................................................................................... 58 4.3.2 Strategic Management ......................................................................................................................... 58 4.3.3 Demand Management .......................................................................................................................... 59 4.3.4 Innovation Management ...................................................................................................................... 60 4.3.5 Vendor Management ........................................................................................................................... 61 4.3.6 Relationship Management ................................................................................................................... 63 4.4 Three Lines of Defence............................................................................................................................... 63 4.4.1 Implementatie & status 3LoD in de praktijk ....................................................................................... 64 4.4.2 Overeenkomsten & verschillen 3LoD in de praktijk ........................................................................... 64 4.4.3 IT & 3LoD in de praktijk..................................................................................................................... 67 4.5 IT-outsourcing & Three Lines of Defence .................................................................................................. 72 4.5.1 Eérste LoD voor IT-outsourcing in de praktijk ................................................................................... 73 4.5.2 Tweede LoD voor IT-outsourcing in de praktijk ................................................................................. 74 4.5.3 Derde LoD voor IT-outsourcing in de praktijk .................................................................................... 76 5 Discussie en Conclusie...................................................................................................................................... 78 5.1 Inleiding ...................................................................................................................................................... 78 5.2 Discussie ..................................................................................................................................................... 78 5.3 Conclusies ................................................................................................................................................... 83 5.4 Beperkingen en aanbevelingen voor vervolgonderzoek ............................................................................. 84 6 Reflectie ............................................................................................................................................................. 86 6.1 Inleiding ...................................................................................................................................................... 86 6.2 Literatuuronderzoek .................................................................................................................................... 86 6.3 Praktijkonderzoek ....................................................................................................................................... 87 Literatuurlijst ...................................................................................................................................................... 88 Appendix I: IT-outsourcing governance modellen ........................................................................................... 92 Appendix II: Analyse ITO aandachtgebieden ................................................................................................ 100 Appendix III: Analyse ITO organisatierollen................................................................................................. 110

Bijlage 1: Schematisch overzicht Wft (Rijksoverheid, 2013) ........................................................................ 114 Bijlage 2: Artikelen Wft per fase ITO (Puijenbroek, 2008) .......................................................................... 114 Bijlage 3: Raamwerk regieorganisatie IT-outsourcing .................................................................................. 116 Bijlage 4: Toelichting raamwerk regieorganisatie IT-outsourcing ............................................................... 117 Bijlage 5: Raamwerk 3LoD taken en randvoorwaarden ............................................................................... 120 Bijlage 6: Interviewvoorbereiding praktijkonderzoek .................................................................................. 121 Bijlage 7: Raamwerk regieorganisatie IT-outsourcing & 3LoD ................................................................... 127

9

Lijst met Figuren en Tabellen

Lijst met Figuren en Tabellen Figuur 1-1: Het onderzoeksmodel conform Verschuren (2011) ........................................................................... 15 Figuur 2-1: Schematische weergave opbouw literatuuronderzoek ........................................................................ 17 Figuur 2-2: Objecten IT-outsourcing (Joha, 2003)................................................................................................ 19 Figuur 2-3: De outsourcing levenscyclus (Willcocks et al., 2011) ....................................................................... 20 Figuur 2-4: Motieven voor outsourcing (Lacity et al., 2010) ................................................................................ 21 Tabel 1-1 Zoekcriteria literatuuronderzoek ........................................................................................................... 14 Tabel 2-1 Definities IT-outsourcing ...................................................................................................................... 18 Tabel 2-2 Academische publicaties over het belang van IT-outsourcing governance .......................................... 23 Tabel 2-3 Partnership management risicocategorieën (Beulen et al., 2011) ......................................................... 23 Tabel 2-4 Definities IT governance (Beulen et al., 2011) ..................................................................................... 24 Tabel 2-5 Definities & elementen van IT-outsourcing governance ...................................................................... 25 Tabel 2-6 Managementactiviteiten IT-outsourcing governance ............................................................................ 26 Tabel 2-7 Organisatierollen IT-outsourcing governance ...................................................................................... 28 Tabel 2-8 Omschrijvingen Three Lines of Defence gedachte ............................................................................... 37 Tabel 2-9 Risico’s Three Lines of Defence (Hecke, 2013) ................................................................................... 39 Tabel 2-10 Taken en randvoorwaarden 1st LoD ................................................................................................... 41 Tabel 2-11 Taken en randvoorwaarden 2nd LoD ................................................................................................. 42 Tabel 2-12 Taken en randvoorwaarden 3rd LoD .................................................................................................. 43 Tabel 3-1 Respondenten ABN AMRO, SNS REAAL en Rabobank. ................................................................... 52 Tabel 4-1 IT applicatie outsourcing ABN AMRO, Rabobank en SNS REAAL 2013 .......................................... 56 Tabel 4-2 IT infrastructuur outsourcing ABN AMRO, Rabobank en SNS REAAL 2013.................................... 57 Tabel 4-3 Strategic Management ABN AMRO, Rabobank en SNS REAAL 2013 .............................................. 59 Tabel 4-4 Demand Management ABN AMRO, Rabobank en SNS REAAL 2013 .............................................. 60 Tabel 4-5 Innovation Management ABN AMRO, Rabobank en SNS REAAL 2013 ........................................... 61 Tabel 4-6 Vendor Management ABN AMRO, Rabobank en SNS REAAL 2013 ................................................ 62 Tabel 4-7 Relationship Management ABN AMRO, Rabobank en SNS REAAL 2013 ........................................ 63 Tabel 4-8 Invulling 3LoD randvoorwaarden ABN AMRO, Rabobank en SNS REAAL 2013 ............................ 65 Tabel 4-9 1st LoD IT ABN AMRO, Rabobank en SNS REAAL 2013 ................................................................ 67 Tabel 4-10 2nd LoD IT ABN AMRO, Rabobank en SNS REAAL 2013 ............................................................. 69 Tabel 4-11 3rd LoD IT ABN AMRO, Rabobank en SNS REAAL 2013 ............................................................. 71 Tabel 4-12 Citaten over het managen van IT-outsourcing in relatie tot de rol van de 1st LoD ............................ 73 Tabel 4-13 Citaten over het managen van IT-outsourcing in relatie tot de rol van de 2nd LoD ........................... 75 Tabel 4-14 Citaten over het managen van IT-outsourcing in relatie tot de rol van de 3rd LoD ............................ 76

10

Inleiding tot de probleemstelling

1 Inleiding tot de probleemstelling New ideas are apt to be balls of wool with no fixed outline. The relationship between concepts when first perceived is likely to be equally woolly. --John M. Keynes

1.1 Introductie Het zich kunnen concentreren op kernactiviteiten is in vele industrieën al jaren een zichtbare trend. Activiteiten die niet behoren tot de kerncompetenties van het bedrijf worden uitbesteed aan gespecialiseerde externe leveranciers op de markt. Zelfs in de huidige slechte economische situatie in verschillende delen van de wereld staat IT-outsourcing nog steeds boven aan de lijst van belangrijkste trends in de IT-wereld (The Business Times, mei 2012). Uit onderzoek van Gartner komt naar voren dat gedurende de wereldwijde economische crisis de markt van IT-outsourcing in het jaar 2011 met 7,8 procent is gegroeid naar een omvang van US$246,6 biljoen (US$ 228,7 biljoen in 2010). In de wetenschappelijke literatuur wordt de uitbesteding van IT door Blue Cross in 1963 aan Perrot’s Electronic Data Systems (EDS) als een van de eerste IT uitbestedingen ter wereld beschouwd (Werth, 2011; Dibbern et al., 2004 ). Voor de eerste keer kwam het beheer van een datacenter van een groot bedrijf volledig in beheer van een externe partij. Deze uitbesteding nam een bijzondere plaats in ten opzicht van facility management aangezien EDS ook het IT personeel overnam. De eerste megadeal die wereldwijd bekendheid verkreeg was de IT uitbesteding door Eastman Kodak aan IBM, DEC en Businessland. Dit was de eerste keer dat een vooraanstaand bedrijf, waarin IT beschouwd werd als een strategische asset, haar IT uitbesteedde aan een externe partij. In de wetenschappelijke literatuur wordt deze periode ook wel gekenmerkt als het tijdperk van de moderne outsourcing (Werth, 2011). IBM werd verantwoordelijk voor het beheer van de datacenters van Eastman Kodak. DEC werd verantwoordelijk voor het beheer van het telecommunicatienetwerk. Het contract had destijds een waarde van 1 miljard dollar en een looptijd van 10 jaar (Dibbern et al, 2004). De uitbesteding door Eastman Kodak is wellicht ook het startschot geweest voor een nieuw onderzoeksgebied voor de wetenschappelijke wereld. Zo blijkt uit omvangrijke literatuurstudies van Lacity et al. (2009 & 2010) over de afgelopen 20 jaar, dat er meer dan 191 conceptuele en empirische IToutsourcing journal artikelen zijn gepubliceerd. Het fenomeen blijkt uit meer dan 20 theoretische invalshoeken te zijn bestudeerd waaronder theorieën vanuit de economie, strategie, sociologie en zelfs natuurkunde. De omvang van IT-outsourcing door financiële ondernemingen in Nederland is groot. AEGON wordt in Nederland gerekend tot de voorlopers op het gebied van IT-outsourcing (Puijenbroek, 2008). Het bedrijf begon in 1998 met het uitbesteden van applicaties aan Pink Elephant. In 2000 volgden ook de ITinfrastructuur en de ondersteuning van haar werkplekken. ABN AMRO besteedde in 2002 bijna de complete IT uit aan EDS. In 2002 was ABN AMRO hiermee één van de eerste grote banken ter wereld die het merendeel van haar IT liet beheren door externe service providers. In 2005 besteedde ABN AMRO ook haar overige IT uit. ABN AMRO sloot hiervoor contracten af met IBM (IT-infrastructuur), Verizon & KPN/Getronics (spraak en netwerkbeheer), Tata Consultancy Services en Infosys (applicatie-ontwikkeling en –beheer). Rabobank koos in 2006 voor het uitbesteden van een deel van haar systeemontwikkelingsproces aan Ordina en Cognizant Technology Solutions. In hetzelfde jaar kondigde ING haar al derde grote outsourcing project aan (binnen IT en Operations). Accenture, Atos Origin, Getronics en KPN sloten contracten af met ING voor het gezamenlijk leveren van werkplekdiensten aan ING medewerkers in heel Europa. Hiervoor had ING al haar systeemontwikkelingproces voor nieuwe applicaties en testmanagement uitbesteed aan Logica. Delta Lloyd Groep sloot in 2004 een zevenjarig uitbestedingscontract met IBM voor het beheer van haar ICT infrastructuur.

11


1.2 Aanleiding Met de hoeveelheid aandacht vanuit het bedrijfsleven en de wetenschappelijke wereld zou gedacht kunnen worden dat de uitvoering van IT outsourcing soepel moet verlopen. Echter in de praktijk blijkt dit nogal een complexe aangelegenheid te zijn en blijkt er behoefte te zijn aan meer onderzoek op dit gebied. In de literatuur worden diverse oorzaken genoemd voor falende IT-outsourcing initiatieven. Het niet of onvoldoende beheersen van de IT omgeving is één van de oorzaken die vaak wordt genoemd. Ook voor Nederlandse organisaties blijkt dit een belangrijke thema te zijn in relatie tot IT-outsourcing. Zo stelt Eric Wesselman (2012), voorzitter van Platform Outsourcing Nederland (PON), dat veel bedrijven nog steeds worstelen met het inrichten van een juiste governance ten behoeve van de aansturing van leveranciers (Boardroom IT Strategic Sourcing, 2012). Ook binnen ABN AMRO is het governance vraagstuk ten aanzien van IT outsourcing vandaag de dag nog een belangrijk onderwerp. Ontwikkelingen (zowel extern als intern) aan de kant van de eigen organisatie maar ook aan de kant van de leveranciers maken de context waarbinnen IT-outsourcing gemanaged moet worden dynamisch. Een van de ontwikkelingen aan de kant van ABN AMRO betreft de invoering van ‘Three Lines of Defence’ (ook wel 3LoD). 3LoD is een risk governance model dat door een toenemend aantal bedrijven (ook internationaal) omarmd wordt en breed geaccepteerd wordt als governance standaard door boards en toezichthouders van verschillende industrieën. PwC (2013) omschrijft 3LoD als een gedachte die een fundamenteel andere manier van werken (samenwerken) en denken betreft en zodoende bijdraagt aan een versterking van de risicocultuur, het nemen van verantwoordelijkheid voor het managen van risico’s en interne beheersing, en uiteindelijk aan het verder optimaliseren en integreren van de organisatie Governance, Risk management & Compliance (GRC) functies (inclusief het verlagen van de ‘cost of control’). Invoering van een risk governance model zorgt voor nieuwe vraagstukken op het gebied van governance van IT-outsourcing. Deze vraagstukken gelden niet specifiek voor ABN AMRO. Naast ABN AMRO zijn er meer financiële ondernemingen druk doende om 3LoD in te voeren of hebben dit al ingevoerd.

1.3 Doelstelling, vraagstelling en relevantie van het onderzoek De doelstelling van een onderzoek omvat de vermelding van een helder, reëel en haalbaar handelingsprobleem, theoretisch probleem en/of leerdoel, en van de bijdrage aan de oplossing daarvan die het onderzoek beoogt te leveren, met als doel de vraagstelling te sturen, betrokkenen te motiveren en een grondslag te bieden voor een ex ante of ex post evaluatie van het onderzoek (Verschuren, 2011). Uit de aanleiding blijkt dat er behoefte is aan meer onderzoek naar de beheersing van IT-outsourcing. In het bijzonder voor de financiële wereld blijkt dat ontwikkelingen op het gebied van risk governance vragen oproepen voor de beheersing van IT-outsourcing. Weliswaar is reeds vanuit diverse empirisch onderzoeken gekeken naar het beheersen van IT-outsourcing in algemene zin en zijn er empirische- en literatuuronderzoeken uitgevoerd naar IT-outsourcing binnen de Nederlandse financiële sector. Echter is er nog geen empirisch onderzoek uitgevoerd waarbij gekeken is naar de beheersing van IT-outsourcing in relatie tot Three Lines of Defence. Dit leidt tot de volgende doelstelling: Het verkrijgen van inzicht over de wijze waarop financiële instellingen in Nederland, in het bijzonder banken, vorm geven aan het ‘Three Lines of Defence’ gedachte voor het beheersen van haar IT uitbesteding aan externe dienstverleners.

12


De vraagstelling van een onderzoek behelst de vertaling van het doel van het onderzoek in een kennisprobleem, en wel in de vorm van onderzoeksvragen en/of hypothesen. De beantwoording van deze vragen, respectievelijk toetsing van hypothesen, is het doel in het onderzoek (Verschuren, 2011) De volgende centrale onderzoeksvraag is geformuleerd: Welke activiteiten zijn nodig voor het beheersen IT uitbesteding door banken en wat is de rol van ‘Three Lines of Defence’ in de beheersing van IT uitbesteding? Om antwoord te kunnen geven op de vraagstelling worden in dit onderzoek een aantal theorie- en praktijkgerichte onderzoeksvragen beantwoord. Theoriegerichte onderzoeksvragen Het theoriegerichte onderzoek vormt middels de beantwoording van de onderstaande deelvragen het fundament voor de beantwoording van de praktijkgerichte onderzoeksvraag. - Wat wordt er onder IT-outsourcing en governance van IT-outsourcing verstaan? - Welke beheersingsmodellen voor IT-outsourcing zijn beschikbaar en welke activiteiten, rollen en verantwoordelijkheden kunnen hieruit worden afgeleid? - Welke wetten en regels zijn in het bijzonder van belang voor financiële ondernemingen in het kader van IT-outsourcing en welke additionele governance taken kunnen hiervan worden afgeleid? - Wat wordt er onder 3LoD verstaan en welke taken kunnen per Line of Defence worden afgeleid? Praktijkgerichte onderzoeksvragen Het theoriedeel van het onderzoek heeft naast verduidelijking van kernbegrippen geleid tot een theoretisch raamwerk voor een regieorganisatie voor IT-outsourcing en een theoretisch raamwerk voor 3LoD. In het praktijkonderzoek zijn beide raamwerken gebruikt om de regiefunctie van IT-outsourcing in relatie tot 3LoD bij banken te onderzoeken. In het praktijkonderzoek staat de volgende onderzoeksvraag centraal: Op welke wijze is door de Nederlandse banken voor hun IT uitbesteding invulling gegeven aan Three Lines of Defence gedachte? Op basis van interviews met deskundigen werkzaam binnen Nederlandse banken is antwoord gegeven op onderstaande deelvragen. - Hoe ziet het beheersingsraamwerk eruit voor IT-outsourcing binnen de praktijkorganisatie? - Hoe is door de praktijkorganisatie invulling gegeven aan 3LoD voor IT? - Vormt 3LoD integraal onderdeel van het beheersingsraamwerk van IT-outsourcing bij de praktijkorganisatie?

1.4 Onderzoeksontwerp In sociaalwetenschappelijk onderzoek bestaan grofweg twee belangrijke benaderingen van wetenschappelijk kennisvergaring (Neuman, 2011; Korsten, 2011). Als uitersten op een continuüm worden deze aangeduid als: de positivistische benadering en de interpretatieve benadering. In dit onderzoek is gekozen voor de interpretatieve benadering. De keuze voor deze benadering wordt in hoofdstuk 3 toegelicht. Bij interpretatief onderzoek gaat het om het begrijpen van verschijnselen en niet om het verklaren van verbanden zoals bij de positivistische visie. Bij interpretatief onderzoek worden redenen

13


voor een verschijnsel aangedragen en dus niet oorzaken. Bij interpretatief onderzoek wordt er bij voorkeur niet gewerkt met hypothesen maar met verwachtingen (Korsten, 2011). Naast het vergaren van kennis uit de praktijk dient een wetenschappelijk onderzoek over een goede theoretische grondslag te beschikken (Neuman, 2011). Het gebruik van theorie in het onderzoek, de invloed hiervan op het onderzoek en de stappen in het praktijkdeel worden hier kort toegelicht. Literatuurstudie Literatuur kan vanuit verschillende doelstellingen worden bestudeerd (Neuman, 2011). De doelstelling van de literatuurstudie in dit onderzoek is tweeledig. Ten eerste is de literatuur bestudeerd om de bestaande kennis en theorieën over het onderzoeksthema te verzamelen, te integreren en samen te vatten over wat tot nu toe bekend is. Ten tweede is de literatuur bestudeerd met als doel aantoonbaar over een zekere mate van kennis te beschikken over het onderzoeksthema, wat bijdraagt aan het verkrijgen van geloofwaardigheid als onderzoeker. Uit de verantwoording van de methode van onderzoek (hoofdstuk 3) zal blijken waarom dit in het bijzonder voor het praktijkonderzoek van belang is geweest. Naast doelstellingen kunnen ook verschillende typen van literatuuronderzoek worden onderscheiden (Neuman, 2011). In dit onderzoek is gestart met het type context review gericht op verkennen van begrippen vervolgens is overgeschakeld naar het type integrative review waarbij gekeken is naar ‘state of the art’ kennis op het gebied van het onderzoeksthema en naar overeenkomsten en verschillen in zienswijze over de begrippen teneinde de begrippen te kunnen operationaliseren in onderzoekstermen. Bij gebruik van theorie in interpretatief onderzoek dient te worden voldaan aan de methodologische eis dat het onderzoek inductief te blijven. Hiermee wordt bedoeld dat geredeneerd dient te worden vanuit het bijzondere naar het algemene. Theorie wordt gevormd op basis van bevindingen vanuit de praktijk. De bevindingen worden vervolgens teruggekoppeld aan de voorraad theorie en kennis (Bryman, 2008). Voor het gevaar van te veel laten leiden door bestaande kennis en theorie dan door wat tijdens onderzoek wordt waargenomen is in het onderzoek rekening gehouden. Echter om aan de ander kant ook niet te ‘verdrinken’ in datamateriaal en enige houvast te hebben voor het complexe onderzoeksthema is voor het praktijkonderzoek gebruik gemaakt van resultaten uit de literatuurstudie. Het voldoen aan de methodologische vereisten is verantwoord in het hoofdstuk over methode van onderzoek. De literatuurstudie is systematisch volgens een vooropgezet plan uitgevoerd en bestaat uit drie fasen: zoeken, selecteren en oriënteren. Het onderzoek is gestart met een globale oriëntatie op de literatuur. Hiervoor zijn (hand)boeken bestudeerd waarin het vakgebied in vogelvlucht is behandeld. Vervolgens is er gekozen voor een uitgebreidere oriëntatie volgens de sneeuwbalmethode. Het principe wat hieraan ten grond slag ligt wordt ook wel serendipiteit genoemd: het door toeval en intelligentie ontdekken van iets dat een onverwacht en ander licht werpt op iets waarnaar men op zoek was. Tijdens de globale oriëntatie is ook een proefschrift bestudeerd. Van een proefschrift mag worden verwacht dat hierin de laatste stand van wetenschap met betrekking tot het onderzoek is beschreven. De literatuurlijst van het proefschrift is vervolgens gebruikt om auteurs (deskundigen) op te sporen. Na het verzamelen van basisinformatie is er systematisch verder gezocht naar relevante artikelen uit vaktijdschriften en wetenschappelijke publicaties. Tijdens het literatuuronderzoek is getracht om de bestaande literatuur zo kritisch mogelijk te bestuderen. Bronnen Type publicaties Actualiteit Kwaliteit Talen Ingangen voor bronnen Sector en geografisch gebied

Databank: ABI/Inform Complete, PiCarta, Google Scholar, sEURch Universiteitsbibliotheek Rotterdam Scholarly journals, proceedings en working papers Initieel 2009 – 2013, aangezien beperkt aantal resultaten en essentiële publicaties ouder dan 3 jaar periode verlengd Primair gebruik gemaakt van wetenschappelijke publicaties en proceedings. Bij uitzondering refereed books en whitepapers. Angelsaksische omdat essentiële publicaties vooral in deze taal zijn gepubliceerd. Nederlandse publicaties vanwege de geografische focus van het onderzoek Vooraf gedefinieerde zoektermen uitgebreid met enkele termen op basis van reeds gevonden literatuur. Geen geografisch gebied en sector opgegeven met uitzondering voor het zoekobject ‘Wet en regelgeving Banken NL’.

Tabel 1-1 Zoekcriteria literatuuronderzoek

14


Op basis van de zoekcriteria zoals samengevat in tabel 1-1, aangevuld met aansluiting op c.q. beantwoording van de deelvragen zijn relevante artikelen geselecteerd. Hierbij is ook gelet op de mate waarin er door wetenschappers naar het betreffende artikel is gerefereerd. Praktijkonderzoek In de praktijk is op systematische en controleerbare wijze empirische gegevens verzameld, geïnterpreteerd, geanalyseerd en gerapporteerd. Hiervoor zijn de grote Nederlandse banken benaderd. ABN AMRO, Rabobank en SNS REAAL bleken bereid te zijn om aan dit onderzoek mee te werken. In interviews zijn de theoretische raamwerken gebruikt als ‘kapstok’ voor de gesprekken. De onderzoeksmethodologie, onderzoeksmethode en onderzoekstechnieken die zijn toegepast inclusief de uitgevoerde pilot zijn beschreven in het hoofdstuk 3. De resultaten van de verschillende banken zijn vervolgens onderling vergeleken. Het onderzoeksmodel is weergegeven in figuur 1. Theorie IT-outsourcing governance

Theorie Wet & Regelgeving voor Banken NL

Theorie 3LoD

Onderzoeksobject I Governance ITO AAB

Onderzoeksobject II Governance ITO Rabobank Analyse resultaten Onderzoeksobject I

Analyse resultaten Onderzoeksobject II

Onderzoeksoptiek: Raamwerken: Regie organisatie IToutsourcing banken NL & 3LoD taken en randvoorwaarden Analyse resultaten Onderzoeksobject III

Analyse resultaten Onderzoeksobject IV Onderzoeksobject IV Governance ITO SNS

Onderzoeksobject III Governance ITO ING

(a)

Nieuwe theorie

(b)

(c)

(d)

Figuur 1-1: Het onderzoeksmodel conform Verschuren (2011)

1.5 Opbouw van het onderzoek Dit onderzoeksrapport is opgebouwd uit zes hoofdstukken. Om de structuur achter- en de leesbaarheid van dit rapport te vergroten wordt de inhoud van deze hoofdstukken hier kort behandeld. Hoofdstuk 2: Theoretisch Kader. Dit hoofdstuk dient als theoretisch basis van dit onderzoek en hierin wordt geprobeerd om met behulp van de relevante literatuur inzicht te verkrijgen in de concepten IToutsourcing, beheersen van IT-outsourcing, wet en regelgeving en Three Lines of Defence. Om deze zoektocht enigszins te structureren zijn vier onderzoeksstromen opgesteld waarin de hierboven geformuleerde deelvragen terugkomen. Onderzoeksstroom I is gericht op theorie over IT-outsourcing; definities, objecten van IT-outsourcing, IT-outsourcing levenscyclus en doelstellingen van IT-outsourcing. Onderzoeksstroom I vormt de basis voor de tweede onderzoeksstroom. In onderzoeksstroom II wordt als eerste stil gestaan bij de risico’s van IT-outsourcing om vervolgens hieruit het beheersen van IToutsourcing te verkennen. Een aantal geselecteerde governance modellen worden beschreven en onderling vergeleken. In onderzoeksstroom III wordt er gekeken naar weten regelgeving in dit kader. Tenslotte wordt in onderzoeksstroom IV de basis gelegd voor het onderzoek naar de relatie tussen IT-outsourcing governance en Three Lines of Defence gedachte (3LoD). Als eerste zal er stil gestaan worden bij de achtergronden van 3LoD. Achtereenvolgens wordt gekeken naar definities, doelstellingen en risico’s van 3LoD. Vervolgens zal er worden ingegaan op de taken en randvoorwaarden voor de verschillende Lines of Defence (LoD).

15


Hoofdstuk 3: Methode van Onderzoek. In hoofdstuk twee is vanuit de theorie naar de probleemstelling en naar de deelvragen gekeken. In dit hoofdstuk wordt de vertaalslag gemaakt van theorie naar empirie en wordt ingegaan op de onderzoeksmethodologie, onderzoeksmethode en onderzoekstechnieken. Als eerste zal er worden ingegaan op de onderzoeksmethodologie wat wordt omschreven als het geheel van redeneringen en veronderstellingen (aannames) dat de basis vorm voor het ontwerp van een onderzoek, de dataverzameling, de data-analyse en de rapportage over de uitkomsten van het onderzoek. Vervolgens wordt ingegaan op de onderzoeksmethode, wat de opvatting betreft hoe kennis gegenereerd zal worden. Binnen een onderzoeksmethode kunnen één of meer onderzoekstechnieken worden toegepast. De toegepaste onderzoekstechniek zal worden toegelicht. Aaneensluitend wordt er aandacht besteed aan de wetenschappelijke eisen die aan de uitvoering van het onderzoek worden gesteld, de zogenaamde betrouwbaarheid en validiteit. Hoofdstuk 4: Resultaten. In dit hoofdstuk is de vertaalslag gemaakt van theorie naar empirie en is met behulp van de verzamelde gegevens antwoord gegeven op de deelvragen van het praktijkonderzoek. Als eerste wordt een beeld gegeven van de objecten die door deze banken zijn uitbesteed en worden de visies en ontwikkelingen op dit gebied bij deze banken beschreven. Tegen deze achtergrond is de regieorganisaties van de banken verkend en is ingegaan op de overeenkomsten en verschillen tussen de regieorganisaties. Opmerkingen en aanvullingen van de banken op het raamwerk voor de regieorganisatie worden hier ook gepresenteerd. Na de verkenning gericht op IT-outsourcing wordt ingegaan op de wijze waarop banken 3LoD en in het bijzonder 3LoD voor IT in de praktijk hebben vorm gegeven. Het hoofdstuk wordt afgesloten met de presentatie van de resultaten over de wijze waarop banken in de praktijk 3LoD voor IT-outsourcing hebben vorm gegeven. Hoofdstuk 5: Discussie en Conclusies. In dit hoofdstuk worden allereerst de resultaten van het empirisch onderzoek kritisch tegen het licht gehouden. In het conclusie gedeelte van dit hoofdstuk wordt antwoord geformuleerd op de centrale onderzoeksvraag, worden de beperkingen van het onderzoek opgesomd en worden er aanbevelingen gedaan voor vervolgonderzoek. Hoofdstuk 6: Reflectie. In dit hoofdstuk wordt een beschouwing gegeven van de manier waarop de onderzoeker gedurende het onderzoek zijn rol als onderzoeker heeft ingevuld en beleefd, en de wijze waarop deze invloed heeft gehad op de uiteindelijke resultaten. Ook de ideeën die zijn ontstaan uit voortschrijdend inzicht worden hier weergegeven.

16

Theoretisch Kader

2 Theoretisch Kader Governance is a top concern of outsourcing professionals today. The lack of good governance is being recognized as the root cause that outsourcing outcomes fail to meet business expectations for buyers and providers of these services. Increasingly, companies understand the importance of the strong requirements of having good governance over outsourcing. -- Jag Dalal (2008)

2.1 Inleiding Hoofdstuk twee vormt de theoretische ruggengraat van dit onderzoek en gaat vanuit de theorie in op de probleemstelling en de deelvragen. Om dit te structuren zijn de deelvragen opgenomen in vier onderzoeksstromen. In onderzoeksstroom I (paragraaf 2.2) wordt de basis gelegd voor dit onderzoek. In deze paragraaf wordt algemeen ingegaan op het begrip IT-outsourcing. Achtereenvolgens wordt gekeken naar definities, objecten van IT-outsourcing, de IT-outsourcing levenscyclus en doelstellingen voor IToutsourcing. In paragraaf 2.3 wordt een start gemaakt met onderzoeksstroom II. In onderzoeksstroom II staat het beheersen (governance) van IT-outsourcing centraal. In paragraaf 2.3 wordt als eerste stil gestaan bij de risico’s van IT-outsourcing. Vervolgens wordt ingegaan op het concept IT-governance en de verschillende vormen van governance. Onderzoeksstroom II wordt vervolgd in paragraaf 2.4 waar een aantal governance modellen in detail worden verkend en de modellen onderling worden vergeleken. In onderzoeksstroom III wordt in het kader van outsourcing gekeken naar weten regelgeving. In paragraaf 2.5 wordt voor de financiële sector ingegaan op relevante weten regelgeving in het kader van IToutsourcing. In paragraaf 2.6 volgt tenslotte onderzoeksstroom IV, waar ingegaan wordt op de ‘Three Lines of Defence’ gedachte. Achtereenvolgens wordt gekeken naar definities, doelstelling, risico’s en worden de Lines of Defence in detail verkend.

§2.3 Beheersen ITO: risico’s, IT governance, governance vormen §2.4 ITO governance

Onderzoekstroom II Onderzoekstroom III

Onderzoekstroom IV

§2.5 Wet- en regelgeving: voor financiele onderneming, Wet financieel toezicht en ITO §2.6 Three Lines of Defence: definities, doelstellingen, risico’s, verkenning van de LoD

Hoofdstuk 3 Methode van onderzoek

§2.2 ITO: definities, objecten, levenscyclus & doelstellingen

Onderzoekstroom I

Figuur 2-1: Schematische weergave opbouw literatuuronderzoek

2.2 IT-outsourcing In paragraaf 2.2.1 worden een aantal vaak geciteerde definities van IT-outsourcing uiteengezet en vergeleken teneinde een breed geaccepteerde definitie te vormen van dit begrip. Hiernaast wordt in paragraaf 2.2.2 ook stil gestaan bij het begrip ‘IT’ aangezien IT-outsourcing betrekking kan hebben op verschillende soorten IT objecten. In de literatuur worden verschillende fasen van outsourcing onderscheiden. De beheersingsvraagstukken zijn afhankelijk van de fase waarin de uitbesteding zich bevindt. In paragraaf 2.2.3 worden dan ook de verschillende fasen van (IT-)outsourcing verkend. Tenslotte wordt in paragraaf 2.2.4 gekeken naar de motieven die organisatie kunnen hebben om hun IT (deels) uit te besteden, waarna in paragraaf 2.2.5 onderzoeksstroom I wordt afgesloten met een samenvatting.

17

Theoretisch Kader

2.2.1 Definities IT-outsourcing Uit diverse literatuuronderzoeken (o.a. Bergkvist et al., 2008; Brooks, 2006) blijkt dat er veel definities zijn voor het begrip outsourcing. Hiernaast blijken ook verschillende vormen (meer dan 20!) van outsourcing in de literatuur voor te komen waaronder: IT-outsourcing, offshore outsourcing, offshore insourcing, nearshoring, onshoring, selective outsourcing, multisourcing, business process outsourcing etc. Dit onderzoek is gericht op IT-outsourcing. Ook van deze vorm van outsourcing bestaan veel (verschillende) definities. Een drietal vaak geciteerde definities zijn opgenomen in onderstaand tabel 2-1. Definitie IT-outsourcing

Auteurs

We define IT outsourcing as the significant contribution by external vendors in the physical and/or human resources associated with the entire or specific components of the IT infrastructure in the user organization.

Loh en Venkatraman (1992)

Een lange termijn contract, inclusief facilities management, waarbij de externe leverancier de verantwoordelijkheid of delen van de verantwoordelijkheid voor het doen uitvoeren van de ITdienstverlening draagt en er sprake kan zijn dat de externe leverancier de eigendommen of delen van de eigendommen van de interne automatiseringsafdeling overneemt en het personeel van de interne automatiseringsafdeling in dienst neemt.

Beulen (2000)

IT outsourcing is defined as a process whereby an organization decides to contract-out or sell the firm’s IT assets, people and/or activities to a third party service provider, who in exchange provides and manages these assets and services for an agreed fee over an agreed period.

Lacity en Willcocks (2001)

Tabel 2-1 Definities IT-outsourcing

Uit bovenstaande definities kunnen de volgende gemeenschappelijke kenmerken van IT-outsourcing worden afgeleid: 1. uitbesteding van IT door een organisatie; 2. onder uitbesteding IT wordt verstaan middelen en mensen; 3. er is sprake van uitbesteding aan een externe dienstverlener; 4. externe dienstverlener verricht activiteiten op het gebied van IT. Er zijn echter ook een aantal verschillen. Loh & Venkatraman (1992) beschouwen IT outsourcing als significant contribution, Beulen (2000) beschrijft deze als een lange termijn contract en Lacity en Willcocks als een process. De invalshoek of benadering van IT-outsourcing in de definities van de auteurs zijn dus verschillend. Verder worden in de definities van Loh & Venkatraman (1992) en Beulen (2000) expliciet genoemd dat IT geheel of gedeeltelijk uitbesteed kan worden. Lacity & Willcocks (2001) schenken in hun definitie hier geen aandacht aan. Beulen (2000) wijst in tegenstelling tot Lacity & Willcocks (2001) en Loh & Venkatraman (1992) op de verantwoordelijkheid van de externe dienstverlener. Lacity & Willcocks (2001) gebruiken net zoals Beulen de term contract en noemen naast provides ook manage these assets. Hieruit kan afgeleid worden dat zij ook een bepaalde verantwoordelijkheid zien voor de externe dienstverlener. Lacity & Willcocks (2001) noemen het contracteren of verkopen van IT. Beulen (2000) heeft het over het mogelijk overdragen van eigendom. Beulen en Lacity & Willcocks (2001) schenken tenslotte ook aandacht aan een bepaalde periode voor de uitvoering. Uit de analyse van de definities kan worden geconcludeerd dat de definities van Lacity en Willcocks (2001) en Beulen (2000) niet veel van elkaar verschillen. Beide definities benoemen expliciet de eerder vastgestelde gemeenschappelijke kenmerken van IT-outsourcing. Beulen (2000) wijst hiernaast nog expliciet op de verantwoordelijkheid van de externe dienstverlener. Hoewel het vraagstuk over verantwoordelijkheden relevant is in de discussie over governance, wordt toch niet voor deze definitie gekozen. De definitie van Beulen kan namelijk in kader van dit onderzoek leiden tot verwarring wat zal blijken uit de verkenning van de Wft in onderzoeksstroom III. Uit deze onderzoeksstroom zal namelijk

18

Theoretisch Kader

duidelijk worden dat financiële ondernemingen ook na uitbesteding verantwoordelijk blijven voor de dienstverlening. Hoewel Beulen ook spreekt over delen van de verantwoordelijkheid wordt om verwarring te voorkomen toch aangesloten bij de definitie van Lacity & Willcocks (2001).

2.2.2 Objecten IT-outsourcing In de definities van IT-outsourcing (tabel 2-1) wordt ten aanzien van IT een aantal termen gebruikt: IT infrastructure (Loh & Venkatraman, 1992); IT-dienstverlening (Beulen, 2000); en IT assets, people and/or activities (Lacity en Willcocks, 2001). Uit deze definities kan niet een eenduidig beeld worden gevormd over wat er onder IT wordt verstaan. In de wetenschappelijke literatuur is de volgende definitie van IT gevonden: Information Technology consists of all the hardware and software that a firm needs to use in order to achieve its business objectives. This includes not only computers machines, disk drives, and handheld mobile devices but also software, such as the Windows or Linux operating systems… (Laudon & Laudon, 2010, p. 45). In de literatuur wordt samen met IT ook vaak Informatie Systems (IS) genoemd. Laudon & Laudon (2010, p. 46) definiëren IS als: ..defined technically as a set of interrelated components that collect (or retrieve), process, store, and distribute information to support decision making and control in an organization. Hoewel de geciteerde definities een aardig beeld geven wat er onder IT/IS wordt verstaan is deze in het kader van IT-outsourcing echter nog niet compleet. Uit de praktijkvoorbeelden die in hoofdstuk 1 zijn genoemd van IT-outsourcing binnen de financiële sector blijkt het beheer van infrastructuur en applicaties en de ontwikkeling van applicaties ook onderdeel kunnen zijn van IT-outsourcing. Als dit hieraan wordt toegevoegd ontstaan de volgende twee categorieën van IT-outsourcing objecten (Joha, 2003): (1) IT infrastructuur outsourcing en (2) IT applicatie outsourcing. In onderstaande figuur 2-2 wordt een schematische weergave gegeven van de IT-outsourcing objecten.

Application development Application outsourcing Application support and maintenance

IT infrastructure outsourcing

Mainframe services

Midrange services

Desktop services

Network and telecommunication Services

Figuur 2-2: Objecten IT-outsourcing (Joha, 2003)

IT-infrastructuur outsourcing bestaat uit de volgende onderdelen: mainframe services (operations, engineering, helpdesk), midrange services (operations, engineering, helpdesk), desktop services (acquisition, maintenance & ongoing management of PC hardware and software assets) en netwerk en telecommunicatie services (Wide Area Network, Local Area Network, Voice, video en data communications, Remote Access, Internet, Extranet, Security services en Network Management). IT applicatie outsourcing kan op haar beurt onderverdeeld worden in: applicatie ondersteuning & onderhoud en applicatie ontwikkeling. Applicatie ondersteuning en onderhoud bestaat uit het up-to-date houden van de applicatie en technische omgeving met de nieuwste software releases, zorgen voor de beschikbaarheid van de applicatie, het leveren van service conform service level afspraken en helpdesk support. Onder applicatie ontwikkeling wordt verstaan het definiëren van wensen, het vaststellen van de applicatie structuur, het ontwikkelen van code, het monitoren van de applicatieontwikkeling en het uitvoeren van applicatietesten.

19

Theoretisch Kader

2.2.3 IT-outsourcing levenscyclus Uit de literatuur blijkt dat er verschillende fasen van outsourcing bestaan. Zoals eerder aangegeven blijken de beheersingsvraagstukken afhankelijk te zijn van de fase waarin de uitbesteding zich bevindt. In de literatuur worden de verschillende fasen gezamenlijk beschouwd als een levenscyclus voor outsourcing. Een tweetal modellen voor de outsourcing levenscyclus worden hier verkend. Willcocks et al. (2011) ontwikkelden op basis uitvoerig praktijkonderzoek ‘The outsourcing lifecycle’. Dit model biedt volgens de onderzoekers een systematische aanpak voor het optimaal managen van de IT-outsourcing levenscyclus. Het model bestaat uit 4 fasen, 9 bouwstenen en 54 kernactiviteiten. Volgens de onderzoekers legt iedere fase en hierbinnen de bouwstenen het fundament voor de volgende fase en bouwsteen. Het succes van een bouwsteen is afhankelijk van de vorige bouwsteen. De laatste fase en bouwsteen van de levenscyclus bereidt de volgende generatie sourcing strategieën en de hierbij behorende levenscyclus voor. In onderstaande figuur 2-3 wordt een schematische weergave gegeven van de outsourcing levenscyclus model van Willcocks et al.(2011).

Figuur 2-3: De outsourcing levenscyclus (Willcocks et al., 2011)

Beulen et al. (2011b) ontwikkelden op basis van literatuuronderzoek en ervaring van de onderzoekers een soortgelijk model welke zij ‘Outsourcing relationship lifecycle’ noemen. Het model bestaat uit 3 fasen en in totaal 6 onderdelen. Het verschil in aantal fasen tussen beide modellen wordt veroorzaakt door het feit dat in het model van Beulen de fasen architect en engage van het model van Willcocks als één fase worden beschouwd. Beulen et al hebben deze fasen samengevoegd tot de preexecution fase. Een ander belangrijk verschil betreft de laatste fase van beide modellen. In het model van Beulen vindt in deze fase contract vernieuwing of beëindiging plaats. Terwijl in het model van Willcocks de laatste fase refresh bedoeld is als voorbereiding voor het opnieuw opstarten van de eerste fase (architectfase) en hiermee de gehele levenscyclus. Het besluit tot contract vernieuwing of beëindiging vindt dus niet plaats in de laatste fase van de levenscyclus van het model van Willcocks maar in de fasen hierop volgend. Hoewel de modellen op een aantal punten verschillen, lijkt de basisgedachte toch gelijk te zijn: een proces bestaande uit een aantal fasen die samen een kringloop vormen. Het model van Willcocks is echter gedetailleerder uitgewerkt en wordt daarom hier gebruikt om de levenscyclus van IT-outsourcing te beschrijven.

20

Theoretisch Kader

Het model van Willcocks start met de architectfase waarin de fundering voor de uitbesteding wordt gelegd. In deze fase vindt een eerste onderzoek plaats, worden geschikte diensten geïdentificeerd, haalbaarheidsonderzoeken uitgevoerd, strategie bepaald en tenslotte de gewenste eindsituatie in concept vastgelegd. In de engagefase wordt vervolgens op basis van een aantal criteria een selectie gemaakt van leveranciers, onderhandelingen gevoerd en uiteindelijk het contract ondertekend. In de operatefase wordt de transitie van dienstverlening naar de externe dienstverlener voorbereid en uitgevoerd. De regeneratefase dient zoals eerder aangegeven als voorbereiding op de volgende generatie levenscyclus. In deze fase worden de resultaten en ervaringen vanuit de praktijk geëvalueerd, kennis en wensen ververst en de opties geanalyseerd. Na deze fase begint de levenscyclus opnieuw met de architectfase, waarin de organisatie voorbereidingen treft voor de volgende generatie deal(s). In dit onderzoek is studie naar de regieorganisatie niet beperkt tot een bepaalde fase maar is de regieorganisatie van de gehele outsourcing levenscyclus in kaart gebracht.

2.2.4 Motieven IT-outsourcing Er zijn veel motieven te bedenken voor het uitbesteden van IT. In de literatuur zijn dan ook veel ‘rijtjes’ te vinden met voordelen maar ook nadelen (risico’s) van IT-outsourcing. Lacity et al. (2010) voerden grootschalig literatuuronderzoek uit naar wetenschappelijke empirische publicaties over IT-outsourcing. Het doel van de auteurs was om vast te stellen wat de laatste stand van kennis is met betrekking tot de relatie IT-outsourcing en succes en om de gaps te bepalen in de kennis over IT-outsourcing. De onderzoekers verzamelden voor een periode van 19 jaar, 164 empirische IT-outsourcing publicaties uit 50 verschillende journals. De onderzoekers vonden in totaal 20 verschillende motieven, zowel positief als negatief, in relatie tot IT-outsourcing. Het motief kostenreductie bleek het meest bestudeerde motief (43 keer) te zijn gevolgd door het kunnen focussen op kernactiviteiten (25 keer) en toegang tot expertise/skills (18 keer). Naast de verschillende motieven en het aantal keer dat deze genoemd werden in de studies, keken de onderzoekers ook naar de wetenschappelijke onderbouwing van de motieven. De onderzoekers vonden sterke onderbouwing voor 8 van de 20 gevonden motieven, deze motieven zijn opgenomen in onderstaande figuur 2-4. Motivations to Outsource Cost Reduction (++) Focus on Core Capabilities (++) Access to Skills/Expertise (++) Business/Process Improvements (++)

Technical Reasons (++) Political Reasons (+) Fear of Losing Control (--) Concern for Security (-)

Figuur 2-4: Motieven voor outsourcing (Lacity et al., 2010) Lees: (++) meer dan 80% van de evidence is positief en significant, (+) 60% tot 80% van de evidence is positief en significant, (--) meer dan 80% van de evidence is negatief en significant, (-) 60% tot 80% van de evidence is negatief en significant

Uit het onderzoek van Lacity et al. (2010) blijkt dat besluiten tot uitbesteding van IT sterkst gedreven worden door de wens om kosten te kunnen besparen en dan voornamelijk op activiteiten welke niet tot kernactiviteiten van de organisatie worden beschouwd. De kosten en focus op kernactiviteiten motieven wordt gevolgd door de overtuiging van organisaties dat IT activiteiten beter door IT leveranciers uitgevoerd kunnen worden met superieure vaardigheden, expertise en technische bekwaamheden. Hiernaast blijkt het kunnen verbeteren van processen en het hebben van toegang tot de nieuwste technologieën ook belangrijke motieven te zijn voor een besluit tot IT-outsourcing. Het verlies van controle over de IT en zorgen ten

21

Theoretisch Kader

aanzien van de veiligheid van IT vormen de belangrijkste negatieve motieven om niet over te gaan tot uitbesteding.

2.2.5 Resultaten onderzoeksstroom I In dit onderzoek wordt de volgende definitie van IT-outsourcing gehanteerd (Lacity & Willcocks, 2001): ‘IT outsourcing is defined as a process whereby an organization decides to contract-out or sell the firm’s IT assets, people and/or activities to a third party service provider, who in exchange provides and manages these assets and services for an agreed fee over an agreed period’. IT-outsourcing kan betrekking hebben op verschillende objecten. Er worden twee categorieën onderscheiden: applicatie outsourcing en IT infrastructuur outsourcing. Onder applicatie outsourcing wordt verstaan het uitbesteden van ontwikkeling van applicaties, ondersteuning van applicaties en onderhoud van applicaties. Onder IT infrastructuur outsourcing wordt verstaan het uitbesteden van mainframe services, midrange services, desktop services, netwerk services en telecommunicatie services. IT-outsourcing bestaat uit aantal fasen die samen een levenscyclus vormen. Op basis van het model van Willcocks et al. (2011) worden in dit onderzoek de volgende fasen onderscheiden: architectfase, engagefase, operatefase en regeneratefase. Iedere fase bestaat uit een aantal bouwstenen en kernactiviteiten die het fundament leggen voor de volgende fase en bouwsteen. Het succes van een bouwsteen is afhankelijk van de vorige bouwsteen, waarbij de laatste bouwsteen het levenscyclus proces voorbereidt op de volgende generatie sourcing strategieën en haar levenscyclus. In dit onderzoek is studie naar de regieorganisatie niet beperkt tot een bepaalde fase maar is de regieorganisatie van de gehele outsourcing levenscyclus in kaart gebracht. Organisaties kunnen verschillende positieve en negatieve motieven hebben in relatie tot IToutsourcing. Uit het onderzoek blijken de volgende motieven het meest significant te zijn: kostenreductie, focus op kernactiviteiten, toegang tot expertise/skills, business/proces verbeteringen, technische redenen, politieke redenen, angst voor het verliezen van control en zorgen over de veiligheid.

2.3 Beheersen van IT-outsourcing Het uitbesteden van IT is op zichzelf niet goed of slecht voor een organisatie. Het resultaat is afhankelijk van de wijze waarop het gemanaged wordt vóór en ná het afsluiten van de contracten (Willcocks et al., 2011). In de voorgaande paragraaf is de basis gelegd voor het literatuuronderzoek naar IT-outsourcing. Er is gekeken naar een definitie, de IT-outsourcing levenscyclus en de doelstellingen van IT-outsourcing. In deze paragraaf wordt ingezoomd op het beheersen van IT-outsourcing. Als eerste zal worden ingegaan op de risico’s die gepaard gaan met IT-outsourcing om zo de relevantie van het beheersingsvraagstuk goed te kunnen begrijpen. Vervolgens wordt gekeken wat er onder ‘governance’ wordt verstaan. Tenslotte blijken er vormen van governance te bestaan, die in de laatste subparagraaf worden verkend.

2.3.1 Risico’s IT-outsourcing Uit een groot aantal praktijkvoorbeelden blijkt dat het adequaat managen van outsourcing niet vanzelf gaat. Problemen in de contract governance leiden vaak tot forse overschrijding van kosten en lagere kwaliteit van dienstverlening (Willcocks et al., 2011). In tabel (2-2) is overzicht gemaakt van een aantal wetenschappelijke publicaties die het belang van het managen van IT-outsourcing onderschrijven. Risico’s bij IT-outsourcing kunnen in twee groepen worden verdeeld (Beulen et al., 2011): (1) risico’s die kunnen ontstaan tijdens de selectie van een externe dienstverlener en het afsluiten van het contract; (2) risico’s die kunnen ontstaan gedurende de contractfase. De eerste groep worden door Beulen et al contracting risks genoemd. Het belangrijkste risico in deze groep is het selecteren van een ongeschikte externe dienstverlener. Onder ongeschikt wordt verstaan het ontbreken van benodigde kennis en ervaring

22

Theoretisch Kader

bij de externe diensverlener maar ook bijvoorbeeld een externe diensverlener die qua omvang veel kleiner is dan de cliëntorganisatie. IT-outsourcing governance

Auteurs

Good outsourcing governance will help organizations to prevent poor management of interfirm relationships, which result in lower market value on the long term

Holcomb et al. (2007)

Good governance will improve the chance on success of (offshore) outsourcing, several authors report that the fate of offshoring strategies is decided by the governance choices.

Aron et al. (2005); Kern et al. (2001)

Firms with above-average governance have more than 20 percent higher profitability than those with poor governance following the same business strategy.

Weill, P. (2004)

Good IT governance will improve day-to-day outsourcing relations because an insourcer’s activities can be closely monitored and coordinated.

Gopal et al. (2003)

Quality of services as assessed by the client is affected to a greater degree by the nature of the client and its management techniques than by economic factors such as competition.

Domberger et al., (2002)

Failure to focus upon critical issues or adopt key processes lead inevitably to adverse affect on the client organization realizing its objectives.

Nagel et al. (1996)

Insufficient planning is disastrous for the outcome.

Martinsons (1993)

Tabel 2-2 Academische publicaties over het belang van IT-outsourcing governance

De tweede groep risico’s wordt door Beulen management risks genoemd. Beulen et al onderscheiden tien partnership management risicocategorieën. Jong et al. (2010) hebben een eerdere publicatie (in 2006) van deze risicocategorieën in hun onderzoek gevalideerd en zijn tot de conclusie gekomen dat het overzicht van Beulen alle risicocategorieën bevat (ook) voor IT-outsourcing. Volgens Jong et al. (2010) ontstaan na het afsluiten van het contract de grootste uitdagingen voor de cliëntorganisatie. In onderstaande tabel 2-3 is een overzicht gemaakt van de management risicocategorieën en die hieraan gekoppelde aspecten. Risk category

Aspects requiring attention Cost Control Management Control

Demand management Priority Confidentiality Information requirements definition Business knowledge Business dynamics Innovation Vendor lock-in

IT service delivery costs must be controlled. The service recipient must clearly define the role of the service provider and manage the details and specifics of their service delivery Service recipients need service delivery interfaces, both for their company’s divisions and the provider The service provider must assign sufficient priority to the recipient’s needs No confidential information may be divulged to outsiders or unauthorized persons Service recipients must be able to define which IT services their providers must supply Service providers must have sufficient knowledge of their clients’ business to ensure continuity in the delivery of the services needed Service providers and the contracts made with them must never hinder the recipient adapting the delivery requirements as a consequence of business management changes Service providers must regularly introduce new technologies in order to make possible and stimulate the recipient’s innovation processes Service recipients must always be able to change providers, and must not become dependent on any one supplier.

Tabel 2-3 Partnership management risicocategorieën (Beulen et al., 2011)

2.3.2 IT Governance In de literatuur over het managen of beheersen van IT-outsourcing wordt vaak gesproken over governance van IT outsourcing. Het concept IT governance is eind 20e eeuw in de aandacht gekomen als een afgeleide van het concept corporate governance. Echte sterke interesse in het IT governance concept is echter pas in het begin van de 21st eeuw ontstaan. De financiële schandalen die zich toen voordeden hebben toen geleid tot nieuwe wet- regelgeving zoals Basel en The Sarbanes-Oxley Act. Hoewel deze niet direct in relatie staan met IT governance hebben ze wel degelijk bijgedragen aan de ontwikkeling hiervan. IT governance is misschien nog wel meer in de belangstelling gekomen door een grotere behoefte aan verantwoording

23

Theoretisch Kader

rondom IT. In de literatuur bestaan veel verschillende definities van IT governance. Hier volgt een overzicht van de belangrijkste IT governance definities (tabel 2-4). IT governance definition

Researchers

IT governance describes the locus of responsibility for IT functions.

Brown and Magill (1994)

IT governance is the degree to which the authority for making IT decisions is defined and shared among management, which the process managers in both IT and business organizations apply in setting IT priorities and allocation of IT resources. IT governance refers to the patterns of authority for key IT activities.

Luftman (1996)

IT governance is the organizational capacity of the board, executive management and IT management to control the formulation and implementation of IT strategy and in this way ensure the fusion of business and IT. IT governance describes a firm’s overall process for sharing decision rights about IT and monitoring the performance of IT investments. IT governance consists of IT-related structures or architectures (and associated authority patterns), implemented to successfully accomplish (IT-imperative) activities in response to an enterprise’s environment and strategic imperatives. IT governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consistent of the leadership and organizational structures and processes that ensures that the organization’s IT sustains and extends the organization’s strategies and objectives. IT governance specifies the decision rights and accountability framework to encourage desirable behaviour in using IT.

Sambamurthy and Zmud (1999) Van Grembergen (2002) Weill and Vitale (2002) Schwarz and Hirschheim (2003) IT Governance Institute (2004) Weill and Ross (2004)

Tabel 2-4 Definities IT governance (Beulen et al., 2011)

Uit deze definities blijkt dat het IT governance concept in de jaren gegroeid is (Beulen et al. 2011). De definitie van Brown et al. (1994) is vooral gericht op locus (plaats) waarop besluiten moeten worden genomen. Weill en Vitale (2002) voegen hier return on investment aan toe. Grembergen noemt de organizational capacity voor het formuleren van een IT strategie en de afstemming met de business. In 2003 voegen Schwarz en Hirschheim het omgevingscomponent hieraan toe. Ten slotte herkende Weill (2004) het belang van accountability. Uit deze definitie kan in algemene zin worden afgeleid dat IT governance betrekking heeft op de allocatie van bevoegdheden en verantwoordelijkheden ten aanzien van IT. Verder kan uit de definities worden afgeleid dat IT governance drie fundamentele vragen omvat: 1. Welke besluiten moeten worden genomen voor het effectief managen en inzetten van IT? 2. Wie moet deze besluiten nemen? 3. Hoe moeten deze besluiten genomen en gemonitord worden? Een beheersing raamwerk voor IT-outsourcing zal dus ook antwoord moeten geven op deze vragen. Bij de verantwoording van de selectie van IT-outsourcing governance modellen in paragraaf 2.4 zal hier verder op worden ingegaan.

2.3.3 Vormen van IT-outsourcing Governance In de literatuur over IT-outsourcing wordt vaak gesproken over contractueel governance en relationeel governance. Volgens Chaudhary et al. (2010) betreffen dit governance forms. Chaudhary et al. (2010) onderscheiden naast deze twee vormen nog een derde vorm, namelijk transactioneel governance. De onderzoekers omschrijven governance forms als volgt (2010): Governance forms refer to procedures used to start, manage, maintain and conclude an outsourcing relationship. It is important to mention that the adopted governance forms gives rise to formal written management-initiated controls mechanisms designed to guide behaviour toward desired objectives and relational norms that yield desired outcomes. Transactioneel governance is een vorm welke op een korte termijn gericht is. Dit past het beste bij activiteiten met een duidelijk begin en einde. Verplichtingen worden bij aanvang van de relatie vastgesteld. Er is niet een historie waar rekening mee gehouden moet worden. In de literatuur over IT-outsourcing is deze vorm niet aangetroffen. Uitbestedingscontracten zijn vaak op de lange termijn gericht. Contractueel governance kan inter-organizational of inter-party zijn, hetgeen betekent dat er coördinatie nodig is over de organisatiegrenzen heen. Een voorbeeld hiervan is de governance van franchisor/franchise contracten of in geval van trans-organizational de governance van strategische partnerships ingeval van bijvoorbeeld

24

Theoretisch Kader

research & development. Relationeel governance is gericht op transacties die gekoppeld zijn over een lange periode waarbij interacties uit het verleden impact heeft op het voortdurende interactie proces. Bij relational governance vertrouwen uitbestedingpartners zwaar op ‘relationele contracten’ die het exchange proces in goede banen moet leiden. De onderzoekers benadrukken in hun onderzoek de positieve effecten van relationeel governance op de resultaten van outsourcingrelaties. Lacity et al. (2010) vonden in hun literatuuronderzoek naar IT-outsourcing in totaal 46 empirische onderzoeken naar governance van IT-outsourcing. Slechts 1 onderzoek bleek betrekking te hebben op relationeel governance, de rest contractueel governance. De onderzoekers vonden verder dat contractueel governance in de literatuur uit 8 variabelen bestaat: contractdetail, contracttype, contractduur, control mechanismen, contract omvang, contract flexibiliteit, tijdigheid van de betaling en contract recency. De variabele control mechanismen, van belang voor dit onderzoek, bleek slechts 5 keer! empirisch bestudeerd te zijn. De onderzoekers geven geen variabelen van relationeel governance. Wel geven de onderzoekers relatie karakteristieken met een sterk positief significant verband met IT outsourcing resultaten: effectief delen van kennis, vertrouwen, communicatie, partnership view (i.p.v. opportunistische leverancier), voorgaande klant/leverancier relatie en kwaliteit van de relatie. Culturele verschillen noemen de onderzoekers als variabele met een sterk negatief significante relatie IT-outsourcing resultaten. Een relationeel governance raamwerk zou deze variabelen dus als basis moeten hebben. De onderzoekers geven tenslotte aan dat in diverse publicaties een positieve significante interactie is gevonden tussen contractueel governance en relationeel governance. Contractueel en relationeel governance moeten dan ook volgens de onderzoekers als complementair in plaats van substituten worden beschouwd. Het beheersing raamwerk voor IT-outsourcing zal dus rekening moeten houden met beide vormen van governance.

2.4 IT-outsourcing governance modellen Het aantal IT-outsourcing governance modellen in de wetenschappelijke literatuur blijkt beperkt te zijn, dit wordt ook bevestigd door Beulen et al. (2011), Lacity et al. (2010) en Jong et al. (2008). De modellen waar vaak naar verwezen wordt zijn het model van Lacity & Willcocks en het model van Beulen, Ribbers en Roos. In de wetenschappelijke literatuur is ook een publicatie gevonden van een model ontwikkeld door Jong, Hillergersberg en van Eck (2008) aan de Universiteit van Twente waarbij empirisch onderzoek is uitgevoerd bij Shell International. Omdat dit één van de weinige empirische onderzoeken betreft, is gekozen om dit model ook in dit onderzoek mee te nemen. Een uitgebreide beschrijving van de achtergronden en uitgangspunten van deze modellen is opgenomen in Appendix I: IT-outsourcing governance modellen. In onderstaande tabel 2-5 is een overzicht gemaakt van de definitie van IT(-outsourcing) govenance zoals gehanteerd door de verschillende onderzoekers. In de tabel zijn ook de elementen beschreven van IT-outsourcing governance zoals deze in de verschillende modellen zijn uitgewerkt.

Definitie

Elementen

Willcocks et al. (2011)*

Beulen et al. (2011)

Jong et al. (2010)

Governance is about establishing a constitution, the rules of the game, if you like, in terms of establishing how decisions get made, and who is responsible for what decisions, actions, and outcomes. relatie structuren en rollen; overlegorganen; reviews; issue management; dispute management; en variation management.

IT governance specifies the decision rights and accountability framework to encourage desirable behaviour in using IT (Weill & Ross, 2004)

A governance framework of an offshore outsourcing relationship is a structure that describes the joint processes and organisational structures, whereby also control indicators and responsibilities are defined. What to do? (joint process fields) How to do it? (combination of those processes with organisational structures into roles and responsibilities Who should do it? (organisational structures) How it should be measured? (control indicators)

-

What decisions must be made to ensure effective management and use of IT? Who should make these decisions? How will these decisions be made and monitored?

Tabel 2-5 Definities & elementen van IT-outsourcing governance Lees *: Willcocks et al. benoemen niet zozeer de elementen van IT-outsourcing governance maar wel de elementen van een ‘governance charter’. Een governance charter wordt door de onderzoekers omschreven als een wederzijdse governance overeenkomst met een externe dienstverlener.

25

Theoretisch Kader

Uit tabel 2-5 wordt geconcludeerd dat een raamwerk ter beheersing van IT-outsourcing antwoord zal moeten geven op drie fundamentele vragen: 1. Welke activiteiten moeten er worden uitgevoerd in het kader van IT-outsourcing? (IT-outsourcing managementactiviteiten) 2. Wie moeten deze activiteiten uitvoeren en hoe worden deze taken uitgevoerd? (beschrijving van de organisatiestructuur (rapportage en beslissingsstructuur), rollen bestaande uit taken en verantwoordelijkheden in combinatie met de IT-outsourcing activiteiten) 3. Hoe wordt de uitvoering van de activiteiten gemonitord? (control indicatoren, rapportage) In deze paragraaf wordt ingegaan op de beantwoording van deze drie fundamentele vragen. Voor het beantwoorden van deze vragen zijn de verschillen en overeenkomsten tussen de modellen, zover betrekking op beantwoording van de fundamentele vragen, geanalyseerd. De resultaten van deze analyse zijn vervolgens gebruikt voor het ontwikkelen van het theoretisch raamwerk regieorganisatie IT-outsourcing. De ontwikkeling van dit raamwerk wordt verder toegelicht in paragraaf 2.4.4. In onderstaande subparagrafen worden de beantwoording van de drie fundamentele vragen toegelicht.

2.4.1 IT-outsourcing aandachtsgebieden In deze paragraaf wordt een korte introductie gegeven van de modellen. Hierna wordt ingegaan op de herkomst van de aandachtsgebieden. Aandachtsgebieden vormen in dit onderzoek één of meer managementactiviteiten. Voor een uitgebreide analyse van de overeenkomsten en verschillen tussen de aandachtsgebieden zoals beschreven in de modellen wordt verwezen naar Appendix II: Analyse ITO aandachtsgebieden. In tabel 2-6 is een overzicht gemaakt van IT-outsourcing managementactiviteiten die in de modellen van Willcocks, Beulen en Jong zijn beschreven.

Managementactiviteiten

Willcocks (2010) Fundamental tasks: - governance, including leadership and coordination; - electing and delivering on business requirements; - ensuring technical capabilities; - managing external supply. Core capabilities: - leadership - business systems thinking - relationship building - architecture planning and design - making technology and process work - informed buying - contract facilitation - contract monitoring - vendor development

Beulen (2011) Strategic activities: - business systems thinking - IS/IT leadership - relationship building - architecture planning - making technology work Tactical activities: - formulating information needs - informed buying - contract facilitation - contract monitoring - vendor development - setting up, maintaining and certifying IT delivery process - investigating the potential of new technologies Operational activities: - maintaining relations with the tenderer - managing IT professionals - creating a skill base

Jong* (2010) Strategic joint process fields: - Portfolio Management - IT-Architecture Management Tactical joint process fields: - Contract Management - Financial Management - Innovation Management - Escalation Management - Engagement Management - Performance Management (measure compliance to requirements & enforce compliance) - Risk Management - Programme and Project Portfolio Management Operational joint process fields: - (Not in scope)

Governance factors IT Outsourcing: - Recipient : a clear IT strategy; the embedment of IT in the business; clear demand management structure on strategic level: CIO; clear demand management structure on tactical level: Information Managers - Provider: a clear and consistent market position; a front office; a back office; the availability of IT professionals - Relationship: unambiguously defined responsibilities, contracts, trust in the partnerships; steering organizations

Tabel 2-6 Managementactiviteiten IT-outsourcing governance Lees: * het model van Jong is alleen volledig uitgewerkt op tactisch niveau. Dit betreft dan ook geen volledig overzicht van activiteiten, rollen en verantwoordelijkheden.

26

Theoretisch Kader

Willcocks en Feeny (1998) stellen dat top IT organisaties vier fundamentele taken hebben. Voor het succesvol uitvoeren van deze taken dienen IT organisaties over negen capabilities (kerncompetenties) te beschikken. Een capability wordt door de onderzoekers gedefinieerd als: a distinctive set of human-based skills, orientations, attitudes, motivations, and behaviors that, when applied, can transform resources into specific business activities (Willcocks et al. 2010, p. 102). Interessant in de context van dit onderzoek is dat initieel drie taken door de onderzoekers waren gedefinieerd en hier later een vierde taak ‘governance’ aan is toegevoegd. De onderzoekers stellen dat deze negen kerncompetenties ook de minimale vereisten zijn voor een cliëntorganisatie, de organisatie die activiteiten uitbesteedt of heeft uitbesteed, om regie te blijven voeren over de uitbesteding en de resultaten van de uitbesteding. Erik Beulen promoveerde in 2000 op het onderwerp ‘Beheersing van IT-outsourcingsrelaties’. Beulen ontwikkelde een model genaamd IT outsourcing management model’s dimensions and governance factors model. Het model bestaat uit drie dimensies: uitbestedend bedrijf, IT leverancier en de relatie. Per dimensie onderkent Beulen vier governance factoren. De governance factoren zijn per dimensie verder uitgewerkt in 48 governance aspecten, welke door Beulen ook wel managementactiviteiten worden genoemd. Het model van Beulen operationaliseert het concept IT outsourcing partnership door een overzicht te bieden van specifieke organisatorische elementen die geïmplementeerd kunnen worden door zowel de cliëntorganisatie als de externe dienstverlener ter versterking van de partnership. Beulen et al. (2011) merken op dat het overzicht niet beschouwd moet worden als een volledige lijst van te implementeren maatregelen. Naast dit model geven Beulen et al. (2011) ook een uitwerking van IS/IT verantwoordelijkheden, rollen en activiteiten. De uitwerking van deze activiteiten en rollen is voor een belangrijk deel gebaseerd op het Core Capabilities model van Willcocks en Feeny (1998) en een publicatie van Rockart et al. (1996). Het IT outsourcing management model’s dimensions and governance factors van Beulen en de uitwerking van IS/IT verantwoordelijkheden, rollen en activiteiten lijken elkaar deels te overlappen. In de literatuur zijn verder geen beschrijvingen gevonden over de relatie over overlap tussen beide uitwerkingen. In dit onderzoek is als bijdrage van Beulen als basis de uitwerking van IS/IT verantwoordelijkheden, rollen en activiteiten gebruikt. Deze uitwerking kent een soortgelijke structuur als die van de modellen van Willcocks en Jong, hetgeen de vergelijking vereenvoudigt. De ‘bijdrage’ van Beulen aan dit deel van het onderzoek is verrijkt met managementactiviteiten uit zijn andere uitwerking (IT outsourcing management model’s dimensions and governance factors). Onder ‘het model van Beulen’ wordt in dit onderzoek dan ook beide uitwerkingen van Beulen beschouwd. Jong, Hillegersberg, Eck, Kolk en Jorissen (2010) ontwikkelden een raamwerk, genaamd governance framework for managing IT outsourcing relationship, welke uit vier elementen bestaat: organisatiestructuren, jont process fields, verantwoordelijkheden en control indicatoren. Onder joint processes verstaan de onderzoekers de processen die de cliëntorganisatie en externe dienstverlener gezamenlijk uitvoeren, waar dus medewerkers (organisatierollen) van beide organisaties bij betrokken zijn. In totaal onderscheiden de onderzoekers tien joint processes, waarvan twee op strategisch organisatieniveau plaatsvinden en 8 op tactisch niveau. De processen op operationeel niveau zijn niet in scope geweest van het onderzoek. Voor het bepalen van deze processen is gebruik gemaakt van publicaties van o.a. Beulen (2006) en Gewald (2006). Hoewel de onderzoekers strategische activiteiten onderscheiden, hebben de onderzoekers ervoor gekozen om hun model alleen op tactisch organisatieniveau uit te werken. Uit de introductie kan worden opgemaakt dat de onderzoekers verschillende termen gebruiken voor het zelfde element van de governance, namelijk capability (Willcocks), activities (Beulen) en joint process fields (Jong). In dit onderzoek is ervoor gekozen om dit onderdeel, een aandachtsgebied van de regieorganisatie te noemen. Een aandachtsgebied bestaat uit één of meerdere managementactiviteiten.

27

Theoretisch Kader

2.4.2 IT-outsourcing organisatierollen en organisatiestructuur IT-outsourcing organisatierollen en organisatiestructuur worden in dit onderzoek niet op individueel niveau maar op niveau van Lines of Defence bestudeerd. Op het onderwerp 3LoD zal worden ingegaan in paragraaf 2.6. De organisatierollen beschreven in de modellen van Willcocks, Beulen en Jong vormen dan ook niet onderwerp van dit onderzoek. Echter de afhankelijkheden tussen de rollen (de organisatiestructuur) geven wel inzicht in de wijze waarop het samenspel van de aandachtsgebieden, en tot op een zekere hoogte ook de Lines of Defence, zou moeten plaatsvinden. In tabel 2-7 is een overzicht gemaakt van de IT-outsourcing rollen en verantwoordelijkheden die in de modellen zijn beschreven.

Verantwoordelijkheden***

Rollen

Willcocks (2011)

Beulen (2011)

Jong (2010)*

Contract Management ** - Management Steering Committee - Contract Manager - Internal Audit - Legal - Finance - Quality Assurance - KPI Manager - Service Level Manager - Service Level Specialists - Business Units

Demand Management Business manager Chief Information Officer Information Manager Service Delivery Supervisor Purchaser Business Analyst Service Provider IT director Account Manager Contract Manager Service Delivery Manager Process Manager Competence Manager IT Professional

Outsourcer Information manager Purchaser Finance manager Business analyst Service manager Delivery supervisor Innovation manager Insourcer Account manager Contract manager Delivery manager Process manager Competence manager

Klant - Management Steering Committee - Contract Manager - Internal Audit - Legal - Finance - Quality Assurance - KPI Manager - Service Level Manager - Service Level Specialists - Business Units

Klant - business systems thinking - leadership - relation building - architecture planning - making technology work - formulating information needs - informed buying - contract facilitation - contract monitoring - vendor development Leverancier - investigating the potential of new technologies - maintaining relations with the tenderer - managing IT professionals - creating a skill base - setting up, maintaining and certifying IT delivery process

Klant - Financial Management - Innovation Management Klant/Leverancier - Contract Management - Escalation Management - Engagement Management - Performance Management - Risk Management

Tabel 2-7 Organisatierollen IT-outsourcing governance Lees: * dit model is alleen uitgewerkt op tactisch niveau. Dit betreft dan ook geen volledig overzicht van activiteiten, rollen en verantwoordelijkheden. ** De auteurs geven geen overzicht van rollen en verantwoordelijkheden per kerncompetentie, wel wordt er een voorbeeld gegeven van rollen en verantwoordelijkheden voor contract management. *** Dit betreft een indeling naar primaire verantwoordelijkheid (R, responsible en A, accountable).

Beulen et al. (2011) geven een beschrijving van de rollen van de cliëntorganisatie en de externe dienstverlener. Per rol geven Beulen et al. aan wat de verantwoordelijkheden zijn volgens het RASCI model (Responsible, Approves, Support, Consulted en Informed). Jong et al. (2010) beschrijven ook de rollen voor beide organisaties, maar dan volgens het RASC model. Willcocks et al (2010) geven geen volledige omschrijving van de organisatierollen. Wel noemen de auteurs een aantal rollen die onderdeel uitmaken van het contract management network. Dit betreffen alleen rollen aan de kant van de cliëntorganisatie die een taak hebben in relatie tot contract managementactiviteiten. De onderzoekers spreken van een netwerk waarmee de auteurs benadrukken dat het managen van outsourcing niet het domein is van solisten, maar vaak een netwerk betreft van individuen die ingezet worden afhankelijk van de aard van de uitbesteding en de vaardigheden beschikbaar in de organisatie. De onderzoekers geven geen omschrijving van de organisatierollen, maar wel een beschrijving van vaardigheden in het kader van contractmanagement. Een korte beschrijving van de organisatierollen van de cliëntorganisatie in relatie tot de organisatierollen van de externe dienverlener is opgenomen in Appendix III: Analyse ITO organisatierollen.

28

Theoretisch Kader

2.4.3 IT-outsourcing prestatie-indicatoren Door het definiëren en implementeren van prestatie-indicatoren voor IT-outsourcing (kritische succes factoren of key performance indicatoren) kan gemeten worden (check) in hoeverre de organisatie in control is over de outsourcing en kan zo nodig door de organisatie ook bijgestuurd worden (act). De geselecteerde modellen geven geen uitwerking van control indicatoren voor de aandachtsgebieden. Volgens Jong et al. (2010) moeten deze in nauwe samenwerking met de business (specifieke afdelingen) worden ontwikkeld en een reflectie zijn van hun behoefte, m.a.w. dus ook flexibel zijn. Het is volgens de onderzoekers dan ook niet mogelijk om deze op te nemen in een generiek governance raamwerk. Om meer inzicht te verkrijgen in de definitie en implementatie van prestatie-indicatoren wordt in dit onderzoek gebruik gemaakt van aanvullend literatuur. In 2007 publiceren de Nederlandse beroepsorganisatie van IT-auditors (NOREA) en het Platform voor Informatiebeveiliging (PvIB) het studierapport ‘Normen voor de beheersing van uitbestede ICTbeheerprocessen’. De opdracht van de werkgroep luidde: Ontwikkel een normenstel voor de algemene ICTbeheersmaatregelen van (uiteindelijk) alle elementen van ICT-dienstverlening, dat toepasbaar moet zijn in situatie van uitbesteding van ICT-dienstverlening (NOREA, 2007, p. 6). In het studierapport zijn voor aantal processen naast beheersdoelstellingen en beheersmaatregelen ook de prestatie-indicatoren (control indicatoren) uitgewerkt. Bij deze uitwerking is rekening gehouden met bestaande standaarden, zoals ITIL, de Code voor Informatiebeveiliging en CobiT. Deze standaarden worden hier nader toegelicht. Het Information Technology Infrastructure Library (ITIL), is ontwikkeld als referentiekader voor het inrichten van de beheersprocessen binnen een ICT-organisatie. ITIL is geen methode of model, maar eerder een reeks van best practices en concepten. ITIL is ontwikkeld door het Engelse Central Computer and Telecommunications Agency (CCTA) en nu eigendom van het Britse Office of Government Commerce (OGC). De Code voor Informatiebeveiliging is de Nederlandse versie van de Britste Standards 7799, die later als ISO/IEC 17799 als internationale standaard voor informatiebeveiliging in organisaties is gepubliceerd. De Code voor informatiebeveiliging beschrijft in 11 hoofdstukken normen en maatregelen, die van belang zijn voor het realiseren van een afdoende niveau van informatiebeveiliging. Het Control Objectives for IT and Related Technology (COBIT) is een framework die ontwikkeld is door de Information Systems Audit and Control Association [ISACA] en het IT Governance Institute [ITGI]. COBIT is een gerenommeerd governance framework voor het managen van IT risico’s en controls. COBIT is gebaseerd op best practices voor het managen van een volledige IT omgeving. Het framework promoot proces focus en proceseigenaarschap. Het framework verschaft inzicht aan IT managers over belangrijke beheersaspecten van een IT omgeving. COBIT beschrijft de volledige IT functie in een grote hoeveelheid aan gedetailleerde control objectives verdeeld over 34 processen in vier domeinen: (1) Plannen en organiseren, (2) Acquisitie en implementatie, (3) Leveren en ondersteunen en (4) Monitoren en evalueren. Het door de werkgroep ontwikkelde normenstel voor de beheersing van uitbestede ICTbeheersprocessen blijkt uitsluitend betrekking te hebben op procesnormen voor geselecteerde ICT beheerprocessen, die onderdeel uitmaken van zogenaamde ‘general IT controls’. De keuze voor de te beschouwen beheersprocessen is bepaald op basis van een inschatting van die processen van verwerkingsorganisaties (ICT-exploitatie) waarvoor in de markt de grootste behoefte bestaat (NOREA, 2007, p. 14- 15). Het normenstel moet dan ook niet beschouwd worden als een volledig raamwerk voor de beheersing van IT-outsourcing. Immers naast ICT beheerprocessen zou een volledig governance raamwerk ook moeten bestaan uit meer business (gerelateerde) processen zoals business systems thinking, informed buying, innovation management, financial management, compliance management e.d. Hiernaast zal een generiek raamwerk naast aandacht voor contractuele governance zaken ook aandacht moeten hebben voor relationele governance zaken zoals relationship building en engagement management. Voor het beantwoorden van de laatste fundamentele vraag ten aanzien van IT-outsourcing kan voor het definiëren en implementeren van prestatie-indicatoren, voor de IT beheersprocessen en meer

29

Theoretisch Kader

contractuele zaken, gebruik worden gemaakt van het normenstelsel van NOREA en PvIB. Voor de meer business beheersprocessen en relationele governance zaken kan aanvullend bijvoorbeeld gebruik worden gemaakt van het eSourcing Capability model. Dit model is ontwikkeld door ITSqc, gebaseerd op best practices bedoeld om IT-sourcing in goede banen te leiden. De opmerking van Jong et al. (2010) dat prestatie-indicatoren niet opgenomen kunnen worden in een generiek raamwerk wordt dan ook niet volledig gedeeld. De implementatie van prestatie-indicatoren (exacte invulling) zal in nauwe samenwerking met de business moeten plaatsvinden. Het definiëren van prestatie-indicatoren echter zoals de werkgroep (NOREA en PvIB) dit heeft gedaan voor de IT beheersprocessen is echter de eerste stap. Het is wel degelijk mogelijk om een lijst van (generieke) prestatie-indicatoren te definiëren die onderdeel uitmaken van een generiek beheersingsraamwerk. Het definiëren van de ontbrekende prestatie-indicatoren is echter gelet op de centrale onderzoeksvraag niet in scope van dit onderzoek. Om de omvang van dit onderzoek te beperken wordt hier dan ook niet verder op ingegaan.

2.4.4 Raamwerk regieorganisatie IT-outsourcing In deze paragraaf wordt ingegaan op de ontwikkeling van het theoretisch raamwerk regieorganisatie IToutsourcing. Een schematische weergave van het raamwerk regieorganisatie IT-outsourcing is opgenomen in bijlage 3. Het theoretisch raamwerk is in een aantal stappen ontwikkeld. In de eerste stap zijn een aantal IToutsourcing governance modellen geselecteerd en zijn deze op een aantal punten highlevel met elkaar vergeleken. In de tweede stap zijn de modellen in detail bestuurd en is gekeken naar overeenkomsten en verschillen in de aandachtsgebieden. In de derde stap zijn de kernbegrippen (aandachtsgebieden) geoperationaliseerd door deze uit te werken in managementactiviteiten. De selectie en vergelijking van de modellen zijn beschreven en verantwoord in de voorgaande paragrafen. In deze paragrafen is voor de achtergronden van de modellen, analyse van de aandachtsgebieden en organisatierollen verwezen naar appendices I t/m III. De aandachtsgebieden en managementactiviteiten zijn vervolgens samengevat in één tabel en tevens geordend naar een logische verzameling (onderdelen van de regieorganisatie). Deze tabel is opgenomen in bijlage 4. Het raamwerk bestaat in totaal uit 6 onderdelen, 18 aandachtsgebieden en 79 managementactiviteiten. De aandachtsgebieden van de externe dienstverlener zijn hier niet in meegenomen. Deze keuze is toegelicht in hoofdstuk 3.3.2. (In onderzoeksstroom III wordt een 19e aandachtsgebied ‘compliance’ aan het raamwerk toegevoegd. Deze toevoeging aan het raamwerk wordt toegelicht in paragraaf 2.5. Hieronder wordt de clustering van de aandachtsgebieden naar onderdelen van de regieorganisatie toegelicht. Strategisch management. In dit onderdeel zijn de volgende aandachtsgebieden opgenomen: ‘IS/IT leadership’, ‘architectural planning and design’ en ‘IT portfolio management’. De items (managementactiviteiten) voor dit onderdeel zijn uit verschillende bronnen afkomstig. De items voor het aandachtsgebied ‘IS/IT leadership’ zijn afkomstig van Feeny en Willcocks (1998) en reeds meerdere malen gebruikt in IT-outsourcing literatuur (Willcocks et al, 2010; Beulen et al, 2011). Het aandachtsgebied ‘architectural planning’ zijn eveneens afkomstig van Feeny en Willcocks (1998). Willcocks et al voegden hier later ‘design’ aan toe. De items voor de aandachtsgebieden ‘architectural planning and design’ zijn afkomstig van de literatuur van Willcocks et al (2010) en Beulen et al (2011). Voor ‘architectural planning and design’ zijn tevens items gevonden in het model van Jong et al (2010). De items voor het aandachtsgebied ‘IT portfolio management’ zijn afkomstig van Gewald en Helbig (2006) (via Jong (2010).

30

Theoretisch Kader

Managen van de vraag. In dit onderdeel zijn de volgende aandachtsgebieden opgenomen: ‘business systems thinking’, ‘making technology and process work’, en ‘formulating information needs’. De items voor het strategische aandachtsgebied ‘business systems thinking’ zijn afkomstig van Feeny en Willcocks (1998) en reeds meerdere malen gebruikt in IT-outsourcing literatuur (Willcocks et al, 2010; Beulen et al, 2011). Het strategische aandachtsgebied ‘making technology and process work’ zijn eveneens afkomstig van Feeny en Willcocks (1998). Het element ‘design’ werd echter door Willcocks pas later aan het aandachtsgebied toegevoegd. Het tactische aandachtsgebied ‘formulating information needs’ is afkomstig van Beulen (2000). Beulen maakt in tegenstelling tot Willcocks duidelijk onderscheid met ‘informed buying’. Deze laatste is volgens Beulen meer op de externe markt gericht. De items voor dit aandachtsgebied zijn dan ook afgeleid van Beulen et al (2011). Managen van het aanbod. In dit onderdeel zijn de volgende aandachtsgebieden opgenomen: ‘informed buying’, ‘vendor development’, ‘contract management’ en ‘performance management’. De aandachtsgebieden ‘informed buying’ en ‘vendor development’ zijn afkomstig van Feeny en Willcocks (1998). De items voor het aandachtsgebied ‘informed buying’ zijn afkomstig van Willcocks et al (2010) en Beulen et al (2011). De aandachtsgebieden ‘contract management’ en ‘performance management’ komen voor in het model van Willcocks et al (2010), Beulen et al (2011) en Jong et al (2010). Echter in de eerste twee modellen vormen deze twee samen één aandachtsgebied ‘contract monitoring’. In dit onderzoek is er gekozen om het model van Jong (2010) te volgen en het aandachtsgebied in twee aandachtsgebieden te splitsen. Op deze wijze wordt er duidelijk onderscheid gemaakt tussen de administratieve taak ten aanzien van het contract en de taak gericht op het dagelijks monitoren van de prestaties van de externe dienstverlener. De items voor deze aandachtsgebieden zijn wel afkomstig van Willcocks et al (2010), Beulen et al (2011) en Jong et al (2010). Managen van de relatie. In dit onderdeel zijn de volgende aandachtsgebieden opgenomen: ‘relationship building’, ‘escalation management’ en ‘engagement management’. De items voor het strategische aandachtsgebied ‘relationship building’ zijn afkomstig van Feeny en Willcocks (1998) en reeds meerdere malen gebruikt in IT-outsourcing literatuur (Willcocks et al, 2010; Beulen et al, 2011). Het aandachtsgebied ‘engagement management’ is afkomstig van het model van Jong (2010). Dit aandachtsgebied is aangevuld met items uit het vergelijkbare aandachtsgebied ‘contract facilitation’ van Willcocks et al (2010) en Beulen et al (2011). De titel ‘engagement management’ lijkt echter beter de lading te dekken en duidelijker te zijn. De items voor het aandachtsgebied ‘escalation management’ zijn afgeleid van Jong (2010) en Willcocks (2010). Managen van innovaties. In dit onderdeel zijn de volgende aandachtsgebieden opgenomen: ‘innovation management’ en ‘programme and project portfolio management’. Deze aandachtsgebieden en de bijbehorende items zijn afkomstig van Jong et al (2010). Functions. In dit onderdeel zijn de volgende aandachtsgebieden opgenomen: ‘risk management’, ‘financial management’, ‘compliance management’ en ‘auditing’. De items voor het aandachtsgebied ‘financial management’ zijn afgeleid van het model van Jong. De items voor het aandachtsgebied ‘risk management’ zijn eveneens afgeleid van het model van Jong en tevens aangevuld met items vanuit publicatie van Willcocks et al. Het aandachtsgebied ‘compliance management’ is op basis van de resultaten van onderzoekstroom III (paragraaf 2.5) toegevoegd. Dit aandachtsgebied is niet gevonden in de andere 3 modellen. Wet- en regelgeving blijkt verregaande consequenties hebben voor de activiteiten die uitbesteed mogen worden, de wijze van uitbesteding en de inrichting van de regieorganisatie. Het aandachtsgebied compliance is dan ook als één van de strategische aandachtsgebieden meegenomen in het onderzoek. BIS (Bank for International Settlements) een internationale organisatie die internationale monetaire en financiële samenwerking nastreeft en optreedt als bank voor de nationale centrale banken, stelt in publicatie (2005) dat een compliance functie binnen een bank een aantal verantwoordelijkheden heeft. De items van dit aandachtsgebied zijn van deze publicatie afgeleid. Het aandachtsgebied ‘auditing’ is eveneens niet in de modellen gevonden. Echter in literatuur van Willcocks et al (2010) en Beulen et al (2011) worden de

31

Theoretisch Kader

activiteiten het uitvoeren van assessments, reviews en audits wel beschreven. De items voor dit aandachtsgebied zijn afgeleid van deze beschrijvingen.

2.4.5 Resultaten onderzoeksstroom II Voor het succesvol uitbesteden van IT is meer nodig dan een goed ondertekend contract. IT-outsourcing (contracten) moeten gemanaged worden. Risico’s bij IT-outsourcing kunnen in twee groepen verdeeld contracting risks en management risks. In algemene zin kan gesteld worden dat IT governance zorgt voor een transparant raamwerk waarin taken, verantwoordelijkheden en bevoegdheden zijn toegewezen aan personen. In de literatuur zijn twee vormen van governance gevonden die van toepassing zijn op IToutsourcing contractueel en relationeel governance. Een raamwerk voor het beheersen van IT-outsourcing moet rekening houdend met deze twee vormen van governance en antwoord geven op de volgende drie fundamentele vragen: (1) welke activiteiten moeten er worden uitgevoerd, (2) wie moeten deze activiteiten uitvoeren en hoe worden deze taken uitgevoerd en (3) hoe wordt de uitvoering van de activiteiten gemonitord? Op basis van publicaties in wetenschappelijke literatuur zijn drie modellen geselecteerd van respectievelijk Beulen et al., 2011; Lacity et al., 2010 en Jong et al. 2010. Een vergelijking van deze modellen heeft in totaal 23 IT-outsourcing governance aandachtsgebieden opgeleverd, waarvan 18 betrekking hebben op de cliëntorganisatie en 5 op de externe dienstverlener. In het onderzoek worden alleen de aandachtsgebieden van de cliëntorganisatie verder meegenomen. Uit de bestudering van de IToutsourcing rollen blijkt dat de regieorganisatie een netwerk vorm en dat het managen van outsourcing niet het domein is van solisten maar een netwerk van individuen die ingezet worden afhankelijk van de aard van de uitbesteding en de vaardigheden beschikbaar in de organisatie. De IT-outsourcing organisatierollen worden niet verder in het onderzoek meegenomen. Vervolgens is gekeken naar prestatie-indicatoren die voor een deel beschikbaar bleken te zijn. Vanwege de scope van dit onderzoek is besloten om deze niet in het theoretisch raamwerk op te nemen, maar dit onderwerp te benaderen vanuit 3LoD waar monitoring integraal onderdeel vormt van deze gedachte. Op basis van de modellen (en de resultaten van onderzoeksstroom III) is vervolgens een theoretisch raamwerk ‘regieorganisatie IT-outsourcing’ ontwikkeld. Dit raamwerk bestaat uit 19 aandachtsgebieden verdeeld over 6 onderdelen van de regieorganisatie. De aandachtsgebieden zijn uitgewerkt in 79 managementactiviteiten.

2.5 Wet- en regelgeving bij outsourcing In de voorgaande paragrafen is aandacht besteed aan het concept IT-outsourcing en de beheersing hiervan. De geselecteerde modellen bleken handvatten te bieden voor cliëntorganisaties om na uitbesteding ook in control te blijven over de dienstverlening. Voor bepaalde sectoren, zoals de financiële sector, heeft de wetgever echter bepaald niet alleen te vertrouwen op goed ondernemerschap en is er weten regelgeving opgesteld waar cliëntorganisaties aan moeten voldoen bij uitbesteding. In deze paragraaf wordt ingegaan op deze weten regelgeving. Voor de bancaire sector wordt gekeken of er nog additionele, specifiek voor deze sector, governance aspecten zijn die voortvloeien uit weten regelgeving en meegenomen moeten worden in een raamwerk voor de beheersing van IT-outsourcing.

2.5.1 Wet- en regelgeving financiële ondernemingen bij outsourcing In algemene zin dient een organisatie bij uitbesteding van activiteiten rekening te houden met de volgende typen regelgeving (Puijenbroek, 2008): 1. externe regelgeving – de meer generieke wetten betreffende uitbesteding (intellectueel eigendomsrecht, arbeidsrecht, fiscaal recht en mededingingsrecht); 2. externe regelgeving – specifieke weten regelgeving (op grond van sector, aard uitbesteden dienst, aard van onderneming, uitbesteding binnen/buiten EU etc.); 3. interne regels/richtlijnen/beleidslijnen (interne regelingen) betreffende uitbesteding; 4. specifieke regelgeving die van toepassing is op de uit te besteden dienst.

32

Theoretisch Kader

De onder één genoemde generieke wetten en onder drie genoemde interne regels/richtlijnen zijn case afhankelijk en gelden niet specifiek voor de bancaire sector. Deze onderdelen blijven dan ook buiten beschouwing van dit onderzoek. De specifieke regelgeving genoemd onder vier is afhankelijk van de dienst die wordt uitbesteed. In geval van uitbesteding van een deel van de hypotheekverstrekking bijvoorbeeld dient de cliëntorganisatie rekening te houden met regels onder meer zoals vastgelegd in Voorwaarden en Normen Nationale Hypotheekgarantie. In dit onderzoek wordt niet specifiek gekeken naar uitbesteding van bepaalde diensten of producten, maar naar IT in het algemeen. Regelgeving ten aanzien van hypotheken en andere specifieke regelgeving blijven in dit onderzoek dan ook buiten beschouwing. Op punt twee specifieke weten regelgeving bij outsourcing wordt hieronder verder ingegaan. Puijenbroek (2008) stelt dat voor financiële ondernemingen bij uitbesteding de volgende weten regelgeving relevant is: 1. Wet financieel toezicht (Wft); 2. Markets in Financial Instruments Directive (MiFID); 3. Wet bescherming persoonsgegevens (Wbp). In de Wet bescherming persoonsgegeven (hierna Wbp) zijn de belangrijkste regels voor de omgang met persoonsgegevens vastgelegd. De Wbp is de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens en is sinds 1 september 2001 van kracht (Sauerwein & Linnemann, 2002). Outsourcing van IT of bedrijfsprocessen betreft doorgaans (ook) verwerking van persoonsgegevens, bijvoorbeeld van (potentiële) klanten, personeelsleden, zodat moeten worden voldaan aan de eisen van de Wbp. De Wbp legt verplichtingen op aan de bij de outsourcing betrokken partijen. De aard van de gegevens die door de bancaire sector wordt verwerkt (uitbesteed) maakt deze wet zeker een belangrijke wet waar aandacht aan moeten worden besteed. Echter geldt dit niet alleen voor de bancaire sector. De regels voor omgang met persoonsgegevens (ook bij uitbesteding) gelden voor alle gegevensverwerkende ondernemingen. Op deze wet wordt niet verder specifiek in dit onderzoek ingegaan De Markets in Financial Instruments Directive (MiFID) is een EU richtlijn die in november 2007 van kracht is gegaan. De MiFID heeft als doelstellingen de bescherming van de beleggers en de marktintegriteit door de vaststelling van geharmoniseerde voorschriften die van toepassing zijn op de werkzaamheden van vergunninghoudende tussenpersonen; en het bevorderen van eerlijke, transparante, efficiënte en geïntegreerde financiële markten. MiFID introduceert nieuwe en uitgebreidere verplichtingen waar ondernemingen aan moeten voldoen, in het bijzonder gedragsregels en de inrichting van de bedrijfsvoering (Autoriteit Financiële Markten, 2012a). Bolderhey en IJspeij (2007) stellen dat uitbesteding geen afbreuk mag doen aan de kwaliteit van de interne controle en geen belemmering mag vormen voor de werkzaamheden van toezichthouders (zowel AFM als DNB) en dat de beleggingsonderneming verantwoordelijk is voor alle uitbesteden diensten aan derden. Deze zaken zijn vastgelegd in de Wet op het financieel toezicht (hierna Wft). In de volgende paragraaf wordt hier verder op ingegaan. Specifiek ten aanzien van MiFID en outsourcing stellen de auteurs dat de MiFID eisen overgenomen moeten worden in het uitbestedingscontract (service level agreement), bijvoorbeeld tijdige rapportage aan toezichthouders en dat beleggingsondernemingen de uitvoering van werkzaamheden moeten monitoren en controleren. Hoewel de strekking van MiFID wetgeving breed is, ondernemingen die financiële diensten uitvoeren voor derden of op professionele basis beleggingsactiviteiten ondernemen, wordt deze niet verder specifiek in dit onderzoek meegenomen. De zaken die Bolderhey en IJspeij (2007) noemen in het kader van uitbesteding zijn voor een belangrijk deel geregeld in de Wft. Het uitbestedingscontract, van belang voor o.a. MiFID eisen, is zelf niet direct onderwerp van dit onderzoek. De Wet op het financieel toezicht (hierna Wft) is op 1 januari 2007 als resultaat van de hervorming van de financiële toezichtwetgeving ontstaan. De Wft betekende het eind van het oude sectorale model waarin per categorie financiële onderneming (beleggingsinstelling, kredietinstelling, bewaarder, financiële

33

Theoretisch Kader

instelling, verzekeraard e.d.) een aparte toezichtwet bestond. Deze oude toezichtwetten voldeden niet meer vanwege binnen de financiële sector toenemende internationalisering van financiële markten, vervlechting van financiële producten en diensten en het ontstaan van sector overstijgende actieve ondernemingen (Puijenbroek, 2008). In de Wft zijn nagenoeg alle regels en voorschriften voor de financiële markten en het toezicht daarop samengebracht. Het doel van de Wft is de wetgeving voor de financiële markten doelgericht, marktgericht en inzichtelijk te maken (Autoriteit Financiële Markten, 2012b). In dit onderzoek zal hier verder op worden ingegaan.

2.5.2 Wet- en regelgeving financieel toezicht De Wft bestaat uit zeven delen en drie bijlagen. Daarnaast zijn er diverse algemene maatregelen van bestuur (AMvB’s) opgesteld, alsmede een aantal ministeriele regelingen en besluiten. Ten slotte hebben ook DNB en AFM een aantal toezichthouderregelingen en beleidsregels opgesteld. Een schematisch overzicht van de structuur van de Wft is opgenomen in de bijlage 1. Het financieel toezicht in de Wft is ingedeeld op basis van twee pijlers, te weten: prudentieel toezicht en gedragstoezicht. De Nederlandsche Bank (DNB) is de prudentieel toezichthouder. Als prudentieel toezichthouder ziet de DNB erop toe dat financiële ondernemingen voldoende vermogen hebben om aan hun verplichtingen te voldoen en een solide en integere bedrijfsvoering hebben. De nadere voorschriften voor prudentieel toezicht zijn opgenomen in het Besluit prudentiele regels Wft (Bpr), deel 3 Wft. De Autoriteit Financiële Markten (AFM) is de gedragstoezichthouder. Gedragstoezicht is gericht op ordelijke en transparante financiële marktprocessen, zuivere verhoudingen tussen marktpartijen en zorgvuldige behandeling van cliënten. De nadere voorschriften voor gedragtoezicht is opgenomen in Besluit gedragstoezicht financiële ondernemingen Wft (BGfo), deel 4 Wft. In de Wft zijn zogenaamde open normen opgenomen. Dit komt omdat er gekozen is om de Wft ‘principle based’ op te stellen in plaats van ‘rule based’. In geval van ‘rule based’ normen wordt er zo nauwkeurig mogelijk de regels waaraan moet worden voldaan omschreven. Bij principle based is het aan de onderneming om te bepalen op welke wijze zij invulling geven aan de norm. De open norm geeft alleen het doel weer; hoe de dienstverlener het doel wil bereiken is aan hem. De ondernemer zal dus zelf de normen moeten gaan interpreteren.

2.5.3 Wft en IT-outsourcing Het toezicht van de AFM en DNB op uitbesteding van financiële ondernemingen kent een juridische structuur die opgebouwd is uit 3 lagen (Rooijen, 2009). Laag 1: Wet op het financieel toezicht. In het algemene deel van de Wft is door de wetgever gedefinieerd wat zij onder outsourcing verstaat (art. 1:1 Wft): het door een financiële onderneming verlenen van een opdracht aan een derde tot het ten behoeve van die financiële onderneming verrichten van werkzaamheden: (a) die deel uitmaken van of voortvloeien uit het uitoefenen van haar bedrijf of het verlenen van financiële diensten; of (b) die deel uitmaken van de wezenlijke bedrijfsprocessen ter ondersteuning daarvan. Laag 2: Nadere regels (Bpr en Bgfo). In laag 2 zijn in Besluit prudentiele regels Wft (deel 3, hoofdstuk 5) (DNB) en Besluit gedragstoezicht financiële ondernemingen Wft (AFM) specifieke normen opgenomen over uitbesteding. Hier zijn o.a. normen te vinden over wanneer werkzaamheden niet uitbesteed morgen worden, eisen ten aanzien van het uitbestedingproces en de uitvoering van toezicht van uitbesteed werk. Puijenbroek (2008) heeft de belangrijkste (open) normen van de Wft (laag 2) voor de verschillende fasen van het uitbestedingproces (outsourcing levenscyclus) geconcretiseerd. Puijenbroek (2008) heeft hiervoor gebruik gemaakt van de oude toezichthouderregels zoals de Regeling Organisatie en beheer (ROB), de Regeling uitbesteding verzekeraars (RUV) en de Nadere regeling gedragstoezicht effectenverkeer 2002 (NRge2002). Deze oude toezichtregels waren rule based opgesteld.

34

Theoretisch Kader

Laag 3: Regelingen van de toezichthouders. Laag 3 betreffen regelingen van de toezichthouders DNB en AFM over specifieke onderwerpen (technisch of organisatorisch van aard). In de literatuur worden geen voorbeelden gevonden van deze specifieke regelingen. Wel noemt Rooijen (2009) de volgende onderwerpen die DNB onder meer beoordeelt bij uitbesteding door een financiële onderneming: uitbesteding strategie en beleid, uitbestedingtraject, uitbestedingovereenkomst, governance regie organisatie, beheersing risico’s tijdens contractfase en managementinformatie (third party, SAS70, werkzaamheden IAD, service level management). Tevens noemt Rooijen (2009) ook gereedschappen die ingezet kunnen worden om naleving van de regels kracht bij te zetten: verstrekking van vergunning; periodieke controles; onderzoek; goed gesprek met de directie; opleggen van boetes; aanstellen stille curator en intrekken van vergunning. In de Wft worden diverse aspecten genoemd die van belang zijn voor de governance van IT outsourcing voor financiële ondernemingen. Achtereenvolgens wordt er ingegaan op de onderwerpen verbod op uitbesteding, risicoanalyse, uitbestedingscontract en contractmanagement. Een schematisch overzicht van de belangrijkste normen van de Wft voor de verschillende fasen van het uitbestedingproces is opgenomen in bijlage 2. Verbod op uitbesteding. In het algemene deel van de Wft is door de wetgever gedefinieerd wat zij onder outsourcing verstaat. Tevens blijkt uit dit deel dat de wetgever ook grenzen heeft gesteld aan het uitbesteden van activiteiten door financiële ondernemingen. Een aspect wat vooral in de architectfase van de outsourcing levenscyclus van belang is. Volgens de Wft (art 3:18 Wft, lid 1) mag er bij outsourcing geen afbreuk worden gedaan op toezicht. Met toezicht wordt zowel primair als secundair toezicht bedoeld (Rooijen, 2009). Primair toezicht betreft toezicht van de financiële onderneming op de uitbestede werkzaamheden. Secundair toezicht betreft het toezicht van de DNB op de financiële onderneming, inclusief het uitbestede werk. In wet is dus vastgelegd dat financiële ondernemingen ervoor moeten zorgen (in het contract) dat zij en de toezichthouder toezicht kunnen blijven uitvoeren op het uitbestede werk. Naast deze algemene verbodsbepaling of voorwaarde voor uitbesteding heeft de wetgever ook nauwer omschreven welke soorten activiteiten niet uitbesteed mogen worden. Zo is in de Wft (art 3:28 Wft) onder meer vastgelegd dat werkzaamheden niet uitbesteed mogen worden indien afbreuk wordt gedaan aan de kwaliteit van haar onafhankelijke interne toetsing als bedoeld in artikel 17, vierde lid: De effectiviteit van de organisatie-inrichting en van de procedures en maatregelen wordt ten minste jaarlijks op onafhankelijke wijze getoetst. Daartoe beschikt de financiële onderneming of het bijkantoor over een organisatieonderdeel dat deze interne controlefunctie uitoefent. De financiële onderneming of bijkantoor voorziet erin dat gesignaleerde tekortkomingen worden opgeheven. Uit deze wetten kan worden afgeleid dat de wetgever heeft bepaald dat voor financiële ondernemingen de controle op de uitbestede werkzaamheden nooit volledig uitbesteed kunnen worden. De financiële onderneming moet in staat blijven om de kwaliteit intern onafhankelijk te kunnen toetsen. Met uitvoeren van een kwaliteitstoets door de leverancier of door onafhankelijk derden in opdracht van de leverancier of cliënt wordt dus (nog) niet voldaan aan de eisen Wft. De toetsing zal ook intern beoordeeld moeten worden of door de cliënt zelf uitgevoerd moeten worden. Uit het wetsartikel kan geconcludeerd worden dat de verantwoordelijkheden van financiële ondernemingen ten aanzien van de dienstverlening bij uitbesteding onveranderd blijven. Risicoanalyse. In de Wft (art. 3:29) zijn bepalingen opgenomen ten aanzien van het uitvoeren van risicoanalyses. Dit betreft een tweede belangrijke aspect in het kader van dit onderzoek. Zo heeft de wetgever bepaald dat financiële ondernemingen over helder geformuleerde beleidsuitgangspunten moeten beschikken ter beheersing van de risico’s die samenhangen met het uitbesteden van werkzaamheden. Voorts heeft zij ook bepaald dat deze beleidsuitgangspunten uitwerkt moeten worden in administratief en organisatorische procedures en maatregelen en dat deze procedures en maatregelen geïntegreerd worden in de systemen en de dagelijkse werkzaamheden van alle relevante geledingen. Tenslotte heeft de wetgever ook bepaald dat de financiële onderneming op systematische basis risico analyses moet uitvoeren. Alleen in

35

Theoretisch Kader

het governance model van Jong werd het aandachtsgebied risicomanagement beschreven. De bepalingen in de Wft ten aanzien van risicoanalyse onderschrijft het belang van dit aandachtsgebied voor financiële ondernemingen. Uitbestedingscontract. In de Wft (art3:31) is uitgebreide lijst opgenomen van verplichte onderwerpen voor het uitbestedingscontract. Zo moeten in het uitbestedingscontract afspraken worden vastgelegd over de onderlinge uitwisseling van informatie, hetgeen er ook voor moet zorgen dat de toezichthouders over de benodigde informatie kunnen beschikken voor de uitvoering van hun wettelijke taak. In het contract zal ook een bepaalde mate van flexibiliteit moeten worden ingebouwd. Volgens de wet moet namelijk te alle tijde mogelijk zijn om de wijze van uitvoering van werkzaamheden door de derde te kunnen wijzigen. Ook is er de verplichting voor de derde om de financiële onderneming in staat te stellen blijvend te voldoen aan het bij of krachtens de wet bepaalde. Tenslotte zal ook de wijze waarop het contract kan worden beëindigd en de wijze waarop wordt gewaarborgd dat de financiële onderneming de werkzaamheden na beëindiging van de overeenkomst weer zelf kan uitvoeren of door een ander derde kan laten uitvoeren in het uitbestedingscontract vastgelegd moeten worden. In het kader van governance van IT-outsourcing zullen deze aspecten al in vroeg stadium van de outsourcing levenscyclus aandacht moeten krijgen. Het contractmanagement proces zal ervoor moeten zorgen dat het uitbestedingscontract voorziet in deze wettelijke bepalingen. Contractmanagement. In de Wft (art. 3:30) zijn een aantal bepalingen ten aanzien van de contractmanagementfase van de outsourcing levenscyclus vastgelegd. Bijzonder hierbij is de inhoudelijke wijzing in de nieuwe wetgeving ten opzichte van de oude wetgeving. In de oude toezichtwetgeving, Regeling Organisatie en beheer (ROB) artikel 64 van DNB, werd van de financiële ondernemer vereist om over procedures en maatregelen te beschikken voor het uitvoeren van toezicht: De instelling beschikt over procedures en maatregelen om toezicht te houden op de wijze waarop de externe dienstverlener/leverancier invulling geeft aan de uitbestede werkzaamheden (art. 64 ROB). In de nieuwe toezichtwetgeving artikel 30 Bpr gaat de wetgever nog een stap verder door ook informatie en deskundigheid hieraan toe te voegen: Een clearinginstelling, kredietinstelling, verzekeraar of bijkantoor als bedoeld in artikel 27, tweede lid, beschikt over toereikende procedures, maatregelen, deskundigheid en informatie om de uitvoering van de op structurele basis uitbestede werkzaamheden te kunnen beoordelen (art.3:30 Wft (Bpr)). In de wet is vastgelegd dat een financiële onderneming over toereikende procedures, maatregelen, deskundigheid en informatie moet beschikken om de uitvoering van uitbesteed werk te kunnen beoordelen. Het moeten beschikken over deskundigheid om uitbestede werkzaamheden te kunnen beoordelen maakt dat financiële ondernemingen moeten zorgen voor behoud van een zekere mate van kennis.

2.5.4 Resultaten onderzoeksstroom III Organisaties dienen bij uitbesteding rekening te houden met weten regelgeving, die variëren van meer generieke tot specifieke weten regelgeving en interne regelingen en externe regelgeving. Ook financiële ondernemingen hebben te maken met diverse generieke en specifiek regelgeving. In dit onderzoek is ingegaan op de Wft. De belangrijkste conclusie die uit de verkenning van de Wft getrokken kan worden is dat de verantwoordelijkheid (accountability) van een financiële onderneming na uitbesteding van dienstverlening onveranderd blijft. Uit de Wft komen niet zozeer additionele governance aspecten (management activiteiten) naar voren. De Wft dwingt echter wel een aantal zaken af die voor een belangrijk deel ook bij goed ondernemerschap van een (financiële) onderneming zouden mogen verwacht. Het moeten beschikken over deskundigheid om de uitvoering van werkzaamheden door de externe leverancier te kunnen beoordelen kan nog wel eens een uitdaging zijn voor financiële ondernemingen. Immers het (niet) kunnen beschikken over bepaalde skills/expertise en het kunnen focussen op kerncompetenties zijn de belangrijkste redenen samen met kostenreductie (top 3) voor ondernemingen om over te gaan tot uitbesteding (zie paragraaf 2.2.4).

36

Theoretisch Kader

Uit de verkenning van de Wft wordt duidelijk wat de impact wetgeving is voor de gehele outsourcing levenscyclus. Het niet voldoen aan deze wetgeving kan verregaande consequenties hebben voor de financiële onderneming. Naast de Wft zijn er nog een groot aantal wetten waar (financiële) ondernemingen rekening mee moeten houden bij uitbesteding zoals MiFID, Wbp, andere specifieke regelgeving maar ook de meer generieke wetten. Hoewel uit deze onderzoeksstroom vanuit de weten regelgeving geen specifieke additionele governance aspecten zijn gevonden, blijkt uit deze verkenning wel dat het inzicht hebben in weten regelgeving die van toepassing is, het vertalen van deze naar interne richtlijnen en het monitoren en rapporteren hierover aan de toezichthoudende instanties wel een zaak is wat actief gemanaged moet worden gedurende de outsourcing levenscyclus. In de governance modellen is geen aandachtsgebied gevonden waarbinnen dit belegd is. Het aandachtsgebied compliance is dan ook aan het raamwerk toegevoegd.

2.6 Three Lines of Defence In deze laatste onderzoeksstroom wordt de basis gelegd voor het onderzoek naar de relatie tussen IToutsourcing governance en Three Lines of Defence gedachte (3LoD). Als eerste zal er stil gestaan worden bij de achtergronden van 3LoD. Achtereenvolgens wordt gekeken naar definities, doelstellingen en risico’s van 3LoD. Vervolgens zal er worden ingegaan op de taken en randvoorwaarden voor de verschillende Lines of defence (LoD). De paragraaf wordt afgesloten met een samenvatting van de resultaten uit het literatuuronderzoek.

2.6.1 Definities 3LoD 3LoD gedachte blijkt door een toenemend aantal bedrijven omarmd te worden (van Hout, 2012; Oyemade, 2012; Micallef, 2008). Steeds vaker wordt ook door risk managementexperts geadviseerd om 3LoD in te voeren. Binnen de financiële wereld zijn banken zoals ABN AMRO, Citibank, ING, RBS en UBS doende om dit concept in te voeren of hebben dit al ingevoerd (Hout, 2012). Ondanks de hoge belangstelling in de praktijk blijkt uit literatuuronderzoek nauwelijks sprake te zijn van belangstelling vanuit de academische wereld. Hout (2012) en Hecke (2013) stellen dat er nauwelijks een theoretische onderbouwing bestaat voor 3LoD. Zoekopdrachten voor 3LoD in wetenschappelijke databronnen zoals ABI/Inform Complete, PiCarta, Google Scholar, sEURch leverden nauwelijks resultaten op. De herkomst van 3LoD, wanneer en wie 3LoD in het vakgebied heeft geïntroduceerd is onbekend. Dit wordt ook bevestigd door Hecke (2013). In een beperkt aantal (wetenschappelijke) publicaties is een omschrijving gevonden van deze gedachte. De omschrijvingen zijn opgenomen in onderstaand tabel 2-8. Auteurs

Omschrijving Three Lines-of-Defence

IIA Position Paper (2013)

The Three lines of Defense model provides a simple and effective way to enhance communications on risk management and control by clarifying essential roles and duties. It provides a fresh look at operations, helping to assure the ongoing success of risk management initiatives, and it is appropriate for any organization – regardless of size of complexity. Three Lines of Defense (3LoD) is een concept dat ertoe dient om risk management (risk ownership, risk control and risk assurance) effectief en efficiënt in te richten. Daarnaast kan de benadering helpen om taken en verantwoordelijkheden beter af te bakenen. The three lines-of-defense model can be used as the primary means to demonstrate and structure roles, responsibilities and accountabilities for decision making, risk and control to achieve effective governance risk management and assurance. This model is based on the resilient yet flexible compliance risk management framework that is comprised of three key elements: risk identification and assessment, risk management, and risk monitoring. De kern van het van het principe is dat er verschillende elkaar versterkende beheersingsfuncties (verdedigingslinies) bestaan die onafhankelijk van elkaar functioneren, waarbij elke functie een eigen bijdrage levert aan de kwaliteit van het interne beheersingssysteem (Claassen, 2009). ..adopting a ‘three Lines of defence’ approach to ERM, embedding risk management capability across the organisation. The three lines of defence model distinguishes among functions owning and managing risks, functions overseeing risks, and functions providing independent assurance – each playing an important function within the integrated ERM.

van Hout (2012) Oyemade (2012)

Claassen (2009) Micallef (2008)

Tabel 2-8 Omschrijvingen Three Lines of Defence gedachte

Uit deze omschrijvingen wordt afgeleid dat 3LoD betrekking heeft op taken van de diverse functies op het gebied van risicobeheer. Tevens blijkt 3LoD te helpen bij het verhelderen, afbakenen en inrichten van deze

37

Theoretisch Kader

taken. Er wordt onderscheid gemaakt tussen functies met eigenaarschap en verantwoordelijkheid voor het managen van risico’s, functies die risico’s overzien en functies die hierover onafhankelijk zekerheid geven. Hoewel 3LoD drie Lines of defence onderscheidt worden er in de literatuur uitwerkingen gevonden met zelfs zes LoD waarbij de externe accountant, (financiële) toezichthouders en de aandeelhouder, respectievelijk de vierde, vijfde en zesde LoD vormen. In de literatuur wordt betwijfeld of het zinvol is om deze LoD toe te voegen aan deze gedachte. Volgens Claassen (2009) is het niet zinvol om deze LoD toe te voegen aangezien de onderneming geen of weinig invloed heeft op deze LoD. Naast het aantal LoD blijkt in de praktijk ook verschillende vormen van 3LoD voor te komen (PwC, 2012). De verschillen tussen deze vormen zitten in de taakverdeling en scheiding van functies en afdelingen en zijn vaak het gevolg van de achtergrond en daarmee de oorspronkelijke taakverdeling tussen de ‘business’ en de stafafdelingen

2.6.2 Motieven 3LoD In de omschrijvingen van 3LoD (tabel 2-8) worden door de auteurs ook motieven genoemd voor het invoeren van 3LoD. Deze motieven zijn in tabel 2-8 onderstreept. De beschrijvingen van de motieven blijken dicht bij elkaar te liggen en worden samengevat als het effectief inrichten van risk management. Omdat dit een nogal abstracte beschrijving is van motief voor 3LoD wordt ook een beschrijving gegeven vanuit de advieswereld (PwC). PwC (2013) geeft aan dat 3LoD meer is dan alleen een organisatiestructuur en het benoemen van rollen. De gedachte is volgens PwC een fundamenteel andere manier van werken (samenwerken) en denken en draagt zodoende bij aan een versterking van de risicocultuur, het nemen van verantwoordelijkheid voor het managen van risico’s en interne beheersing, en uiteindelijk aan het verder optimaliseren en integreren van de organisatie Governance, Risk management & Compliance (GRC) functies (inclusief het verlagen van de ‘cost of control’). Met GRC functies wordt verwezen naar het GRC raamwerk. De term ‘GRC-raamwerk’ duidt op het totale beheersingskader van een organisatie. De verwijzing naar het GRC raamwerk legt een link naar een volgende (sub)motief voor financiële ondernemingen voor de implementatie van 3LoD, namelijk een lagere verplichte kapitaalbeslag. De toezichthouder stelt volgens de wetgeving van Basel III / Solvency II eisen aan de hoeveelheid kapitaal die financiële ondernemingen dienen aan te houden. Dit ‘regulatory capital’ hoort een afspiegeling te zijn van de mate waarin de financiële ondernemingen omgaan met de beheersing van risico’s. Hoe beter de onderneming in staat is om de risico’s te beheersen, hoe lager het kapitaalbeslag zal zijn. Dit kan dan ook een extra motivatie zijn voor financiële ondernemingen om 3LoD in te voeren en aan te kunnen tonen aan toezichthouders. Basel III en Solvency II zijn voorbeelden van branche specifieke standaarden van GRC raamwerken voor het bankwezen respectievelijk het verzekeringswezen. 3LoD wordt als onderdeel beschouwd van het GRC-raamwerk of het (COSO) Enterprise Risk Management (ERM) model. Het COSO ERM model, gepubliceerd in 2004 door The Committee of Sponsoring Organizations of the Treadway Commission (COSO), betreft één van de recentste en bekendste (algemene) standaard voor het vormgeven van (integraal) risicomanagement. Het voordeel van dergelijke GRC raamwerken is dat het ondernemingen stimuleert op een gestructureerde wijze met risk management om te gaan. 3LoD voegt daaraan toe dat specifiek wordt gemaakt wat met risicomanagement wordt bedoeld en hoe het kan worden toegepast (Hout, 2012).

2.6.3 Risico’s 3LoD Het invoeren van 3LoD blijkt niet zonder risico’s te zijn. Uit het literatuuronderzoek blijkt nauwelijks sprake te zijn van een uniforme gedachte. Ervaringen uit de praktijk (PwC, 2013) wijzen op het bestaan van verschillende vormen van 3LoD. In de literatuur zijn geen empirische onderzoeken (bijvoorbeeld case studies) gevonden over de invoering (kritische succesfactoren) of werking van 3LoD. In de literatuur wordt

38

Theoretisch Kader

wel bevestigd dat de effectiviteit van 3LoD nog niet onomstotelijk bewezen is. Hout (2012) geeft aan dat het concept geen beproefde aanpak is en geeft als voorbeeld een aantal banken die ondanks het omarmen van 3LoD niet ongehavend uit de kredietcrisis zijn gekomen. Oyemade (2012) claimt wel over een onderzoek te beschikken waaruit is gebleken dat financiële ondernemingen met een sterke risicocultuur en sterke focus op 3LoD succesvoller zijn gebleken dan financiële ondernemingen zonder de combinatie van deze onderwerpen. Over de achtergronden van dit onderzoek wordt door de auteur echter niet verder op ingegaan. Hecke (2013) wijst naar aanleiding van een publicatie van IIA position paper ‘Three Lines of Defence in effective risk management and control’ uitgebreid op de risico’s van 3LoD. Hecke (2013) bekritiseert de aanbevelingen van IIA om hun blauwdruk van 3LoD voor alle organisaties, ongeacht de aard en omvang in te voeren. Volgens Hecke (2013) moet dit worden bezien in samenhang met andere factoren. Daarnaast waarschuwt Hecke voor een aantal inherente risico’s die bij de invoering moeten worden afgedekt. In onderstaand tabel 2-9 is overzicht gemaakt van deze risico’s. Risico’s

Omschrijving risico’s 3LoD -

Onduidelijke risk ownership

-

Onduidelijke taakafbakening

-

Monitoringrol niet altijd helder Misverstanden over restrisico

-

Inefficienties

-

risicobeheer wordt als taak gezien van specialisten in de 2nd LoD, waarbij de 1st LoD lijn gaat vertrouwen op de 2nd LoD, en de 2nd LoD voor onderdelen op de 3rd LoD, de 3rd op de 4th LoD, et cetera. de 2nd LoD gaat voor monitoring paratiseren op de 1st LoD bevindingen, dit geldt ook voor de 3rd LoD, die gebruik maakt van de bevindingen uit de 2nd LoD, et cetera. 3LoD wordt dan een rapportagefabriek van eerstelijnsbevindingen. 3LoD leidt niet altijd tot een heldere afbakening van de 1st- en 2nd LoD functies. Er is een grijs gebied, vooral bij de afdelingen die 1st- en 2nd LoD taken verrichten. Dit bemoeilijkt de analyse en praktische invulling van het model. 2nd LoD functies zijn in de praktijk vaak hybride functies: de 2nd LoD moet in haar adviserende rol samenwerken met de 1st LoD, tegelijkertijd moet zij de 1st LoD monitoren en daarover rapporteren. de aanpak en invulling van de monitoringrol van de 2nd LoD functies is niet altijd helder. De risicobeheerspecialisten zien vooral een adviserende rol. Auditors en toezichthouders zien daarbij graag een actieve monitoringrol met periodieke rapportage, waarvan de aanpak en bevindingen achteraf kunnen worden aangetoond. 3LoD kan ten onrechte leiden tot te hoge verwachtingen dat het restrisico vrijwel tot nul is gereduceerd (gevaar voor schijnzekerheid). omvang en aard van de organisatie zouden de bepalende factoren moeten zijn voor het inrichten van 3LoD volgens een blauwdruk. Voor kleinere, overzichtelijke organisaties is verbijzondering van risk management-afdelingen vaak te duur. Daar kan risk management naar verwachting effectief en efficiënt in de eerste lijn worden georganiseerd.

Tabel 2-9 Risico’s Three Lines of Defence (Hecke, 2013)

2.6.4 Verkenning van de Lines of Defence Het ontbreken van publicaties over de invoering en werking van 3Lod en het bestaan van verschillende vormen van 3LoD maken een verkenning naar (uniforme) taken van de LoD niet eenvoudig. Op basis van een aantal theoretische onderbouwingen is een beeld gevormd van de taken van de LoD. Hiernaast blijken er ook zaken te zijn die randvoorwaardelijk zijn voor het effectief inrichten van 3LoD. Per LoD zal hieronder worden ingegaan op de taken en randvoorwaarden voor een effectieve inrichting.

Senior management en besturende & toezichthoudende organen In het IIA Position artikel (2013) vormen het senior management, de besturende en toezichthoudende organen geen onderdeel van de (1st) LoD. Zij worden gezien als primaire stakeholders die bediend worden door 3LoD, en vanuit hun positie het beste in staat zijn om te waken voor de effectiviteit van de Lines of Defence. Deze primaire stakeholders hebben volgens IIA een collectieve verantwoordelijkheid voor het bepalen van de organisatiedoelstellingen, het definiëren van een strategie en het zorgen van een governance structuur en processen om risico’s die gepaard gaan met de risico’s het beste te kunnen managen. In het model van Claassen (2009) daarentegen maakt het topmanagement of strategisch management, het middelmanagement of tactisch management net zoals de operationele medewerkers wel onderdeel uit van LoD (1st LoD). Claassen merkt verder op dat het topmanagement onder meer betrokken is bij risicomanagement aangelegenheden, zoals het bepalen van de risk appetite (bepaald door de board), het goedkeuren van de risicostrategie, het risicobeleid, het vaststellen van risicotoleranties, het beoordelen van de effectiviteit van het stelstel van risicomanagement en interne beheersing. De individuele rollen

39

Theoretisch Kader

(operationele medewerkers, middel-management en topmanagement) verschillen in het model van Claassen, vooral in relatie tot het beheersen van procesrisico’s en strategische risico. In een artikel van Basel (2011b) is door het Committee aangegeven wat zij op het gebied van 3LoD in de praktijk tegenkomt bij een toenemend aantal banken. 3LoD implementatie blijkt volgens Basel afhankelijk te zijn van de aard van de activiteiten van de bank, omvang, complexiteit en risicoprofiel van de activiteiten van de bank. In het model van Basel wordt niets expliciet vermeld over de positie van senior management in 3LoD. Wel kan uit het feit dat 1st LoD volgens Basel gevormd wordt door business line management afgeleid kunnen worden dat het seniormanagement geen onderdeel uitmaken van 1st LoD. In dit onderzoek worden het senior management en de besturende & toezichthoudende organen ook beschouwd als primaire stakeholders die bediend worden door 3LoD en dus geen onderdeel uitmaken van 1st LoD.

1st LoD: Risk Ownership IIA (2013) geeft aan dat de 1st LoD gevormd wordt door operational managers. Deze manager zijn volgens het IIA eigenaar van de risico’s en ook verantwoordelijk om deze risico’s te managen. De operational managers zijn volgens IIA verder verantwoordelijk voor het aanpakken van proces- en controlafwijkingen door het implementeren van correctieve maatregelen. Hiernaast zijn zij ook verantwoordelijk voor het monitoren van de effectiviteit van interne controlemaatregelen en voor het uitvoeren van risico- en controlprocedures. Mid-level managers zijn volgens IIA verantwoordelijk voor het ontwikkelen en implementeren van procedures waardoor zij effectief toezicht kunnen houden. IIA noemt ook een bijzondere verantwoordelijkheid van de 1st LoD op het gebied van management control. 1st LoD is namelijk volgens IIA ook verantwoordelijkheid voor het zorgen dat activiteiten conform organisatiedoelstellingen worden uitgevoerd. In dit onderzoek wordt deze management control verantwoordelijkheid gedefinieerd als: het geheel van maatregelen dat redelijke zekerheid moet bieden dat de door het management gestelde doelen worden bereikt (Hartog, Korte en Otten, 2010). Basel (2011b) geeft aan dat de 1st LoD gevormd wordt door business line management. Business line management is volgens Basel verantwoordelijk voor het identificeren en managen van risico’s die inherent onderdeel deel zijn van de producten, activiteiten, processen en systemen waarvoor zij verantwoordelijk zijn. In het model van Claassen (2009) wordt de 1st LoD gevormd door de business of front office, zowel op strategisch, tactisch en operationeel niveau. Het uitgangspunt van het 3LoD is volgens Claassen (2009) dat het lijnmanagement (de business) eindverantwoordelijk is voor haar eigen processen en dus ook het gehele risicomanagementproces en het systeem van interne beheersing. In het model van Claassen wordt ook management control benoemd als taak van de 1st LoD. Claassen beschrijft deze taak als onderdeel van het beheersen van strategische risico’s, risico’s die het realiseren van strategische doelstellingen bedreigen. Voor het beheersen van operationele risico’s noemt Claassen de taak van operationele medewerkers voor uitvoeren van operationele beheersingsmaatregelen en de verantwoordelijkheid van het hogere management te monitoren op de effectiviteit van de operatie. Om de consistentie van de beschrijving van risicomanagementtaken en herkenbaarheid in de praktijk te borgen is in dit onderzoek gebruik gemaakt van het ERMplus methodiek (Claassen, 2009) bij de uitwerking van de LoD. Deze methodiek betreft een praktische uitwerking van COSO ERM waarbij een integrale benadering is uitgewerkt voor het beheersen van risico’s en kansen. Een bijkomstig voordeel van het model is het hebben van gemeenschappelijke taal voor risicomanagement. ERMplus methodiek onderscheidt in zes fasen het risicomanagementproces: (1) inventariseren risico’s (identificatie, toekennen oorzaken, meten van het risico); (2) beoordelen risicoprofiel (consolideren, prioriteren); (3) toepassen risicomanagementstrategie (risicohouding, risicostrategie, toewijzen risico-eigenaren); (4) inrichting beheersingsprocessen (ontwerpen maatregelen, toewijzen controle-eigenaren, implementeren maatregelen);

40

Theoretisch Kader

(5) monitoren (rapportage interne beheersingsraamwerk (lijn), uitvoeren audit / interne controles (ICfunctie) en (6) continue verbeteren (opvolgen van verbetervoorstellen, optimaliseren managementrapportage). In 2-10 is een overzicht gemaakt van taken en randvoorwaarden voor een effectieve 1st LoD met een verwijzing naar de betreffende bronnen.

Operational management / business or front office / business line management

Randvoorwaarden

IIA (2013)

Basel (2011b)

Claasse (2009)

Door het topmanagement vastgestelde organisatiedoelstellingen, strategie voor het behalen van deze doelstellingen en governance structuur. Door het topmanagement bepaalde risicofilosofie en risk appetite als basis voor de wijze waarop risico en controle worden bezien en geadresseerd door de in de onderneming werkzame personen. Zorg dragen voor het geheel van maatregelen dat redelijke zekerheid moet bieden dat de door het management gestelde doelen worden bereikt.

Taken

Inventariseren risico’s, beoordelen risicoprofiel en toepassen risicomanagementstrategie. Leiden van de ontwikkeling en implementatie van interne richtlijnen en procedures. Toezicht op naleving richtlijnen en procedures. Monitoren falende controls, ineffectieve processen en onverwachte gebeurtenissen.

Tabel 2-10 Taken en randvoorwaarden 1st LoD

2nd LoD: Risk Oversight In het IIA artikel wordt de 2nd LoD gevormd door risicomanagementfuncties, compliance functies en controllership functies. Deze laatste functie is gericht op het monitoren van financiële risico’s en risico’s op het gebied van de financiële rapportage. Compliance functies monitoren op risico’s voortvloeiend uit het niet naleven van weten regelgeving. Hierbij moet niet alleen gedacht worden aan de afdeling Compliance maar ook functies die bijvoorbeeld gericht zijn op gezondheid en veiligheid, milieu en kwaliteitsbewaking. De functies in de 2nd LoD zijn volgens het IIA door het senior management in het leven geroepen om te waken dat de 1st LoD goed is opgezet, ingevoerd en functioneert zoals het ook bedoeld is. IIA geeft verder aan dat hiervoor wel een zekere mate van onafhankelijk vereist is van de 1st LoD. In het Basel artikel wordt de 2nd LoD gevormd door een functioneel onafhankelijke corporate operational risk (management) functie (CORF). De mate van onafhankelijk van deze CORF varieert in de praktijk per bank. Voor kleinere banken kan de rol beperkt blijven tot een onafhankelijke review (d.m.v. functiescheiding) van processen en functies. Bij grotere banken heeft de CORF een rapportagestructuur onafhankelijk van de risicogenerende business. De taken van dergelijke afdelingen gaan ook verder dan alleen reviewen. In het artikel wordt gesproken over het opzetten en onderhouden van een operational risk framework door de CORF. Deze CORF kan verder ook als taak hebben het meten van de operationele risico’s en de rapportage processen, opzetten van en voorzitten van risico commissies en de verantwoordelijkheid van rapportage aan het bestuur. Een belangrijke taak die tenslotte in het Basel artikel wordt genoemd is ook het challengen van de 1st LoD . De 2nd LoD heeft volgens Claassen (2009) betrekking op de ondersteunende staffuncties. Bij de 2nd LoD ligt de nadruk veel meer op risk oversight en monitoring. Deze LoD ondersteunt, adviseert, coördineert en bewaakt of het management (eerste lijn) ook daadwerkelijk zijn verantwoordelijkheden neemt. Zij heeft ook een rol in beleidsvoorbereidende taken en het organiseren van integrale risk assessments. De taken kunnen toebedeeld zijn aan een risk committee of risk managementafdeling. In het

41

Theoretisch Kader

bijzonder heeft de 2nd LoD ook een belangrijke ondersteunende verantwoordelijkheid voor het beheersen van strategische risico’s (Claassen, 2009). De kerntaken van de stafafdeling kunnen ook als ‘beheersingsmaatregelen’ worden beschouwd waarbij een specifieke materiedeskundigheid vereist is (Claassen, 2009). Dit is ook de reden waarom deze taken niet te beleggen zijn binnen de operationele bedrijfsvoering. In het kader van het effectief beheersen van strategische risico’s is volgens Claassen een koppeling gewenst tussen drie functionele gebieden: compliance- en risicomanagement; planning & control; en personeel & organisatie.

Risk Management, Compliance en Controllership functies / Staffuncties

Randvoorwaarden

IIA (2013)

Basel (2011b)

Claassen (2009)

Functies bestaande uit toereikend aantal medewerkers met risk management expertise (en business kennis) om effectief de verantwoordelijkheden uit te kunnen voeren Een zekere mate van functionele onafhankelijkheid: -

Controlerende functies gescheiden van de uitvoerende (risico genererende) functies, functiescheiding (kleinere organisatie) Een controletechnische gescheiden functie van de uitvoerende (risico genererende) functies met onafhankelijke rapportagestructuur (grotere organisaties)

Ondersteunen van het management bij de ontwikkeling en implementatie richtlijnen, procedures en controls voor het managen van risico’s en issues (advies en training)

Taken

Monitoren van de implementatie van effectieve risk management maatregelen, naleving van weten regelgeving en het tijdig oppakken van tekortkomingen door de eerste lijn. (challengen). Continue beoordelen van de deugdelijkheid en effectiviteit van interne controls, kwaliteit van de input van de interne controls, nauwkeurigheid en volledigheid van rapportages (testing). Ontwerpen, onderhouden en verder ontwikkelen van een operational risk framework (inclusief het meten van operational risk, rapportage en verantwoording in risk committees)

Tabel 2-11 Taken en randvoorwaarden 2nd LoD

3rd LoD: Risk Assurance In het IIA artikel wordt de 3rd LoD gevormd door de interne auditfunctie (IA). In dit artikel wordt IA beschreven als de meest onafhankelijke en objectieve functie binnen een organisatie. De mate van onafhankelijkheid van de IA is volgens het IIA niet beschikbaar binnen de 2nd LoD. IA heeft als taak zekerheid te geven over de effectiviteit van governance, risk management en internal controls, inclusief de mate waarin de 1st LoD en 2nd LoD voldoen aan risicomanagement en control doelstellingen. Deze laatste bijzondere taak van de 3rd LoD wordt ook PwC (2013) genoemd. Volgens PwC (2013) controleert IA of het samenspel tussen de 1st en 2nd LoD soepel functioneert en velt daarover objectief, onafhankelijk een oordeel met mogelijkheden tot verbetering. Oyemande (2012) omschrijft de rol van de IA ook als een onafhankelijk assurance provider. Volgens Oyemade (2012) toetst IA ook de mate van zekerheid zoals geleverd door de 1st en 2nd LoD. De controles worden uitgevoerd door het doen van specifieke (assurance) onderzoeken gericht op key controls waarover ook formeel wordt gerapporteerd (Oyemade, 2012). In het model van Claassen (2009) bestaat de 3rd LoD ook uit de internal auditfunctie. Claassen voegt hier aan toe dat IA toezicht houdt op de opvolging van opmerkingen en de naleving van aanbevelingen. Om de onafhankelijkheid en objectiviteit van deze afdeling te borgen is volgens Claassen van belang de afdeling te positioneren onder en rapporterend aan het topmanagement. Hiernaast dient er volgens Claassen ook een directe lijn te zijn met de raad van commissarissen.

42

Theoretisch Kader

In het Basel artikel wordt de 3rd LoD niet per se gevormd door IA. Het Basel artikel een minder specifieke beschrijving van de taken. De 3rd LoD heeft volgens Basel de taak om onafhankelijke review uit te voeren en de bank te challengen op het gebied van operational risk management controls, processen en systemen. Deze LoD kan gevormd worden door IA maar kan ook volgens Basel bestaan uit staf die onafhankelijk is van de processen en systemen die gereviewed worden. Deze LoD kan volgens Basel ook bestaan uit geschikte en gekwalificeerde externe partijen. Vereiste is wel volgens Basel dat de reviewers over de juiste competenties en kennis beschikken en niet betrokken zijn bij de ontwikkeling, implementatie en uitvoering van het raamwerk.

Internal Audit Randvoorwaarden

IIA (2013)

Basel (2011b)*

Claassen (2009)

Code Banken (2009)

Binnen de organisatie werkzame functie die onafhankelijk is gepositioneerd. (Niet betrokken bij de ontwikkeling, implementatie en onderhoud van risico management maatregelen / risk management framework) Het hoofd interne audit rapporteert aan de voorzitter van het bestuur en heeft een rapportagelijn naar de voorzitter van de auditcommissie. Handelend conform internationale standaarden voor internal auditing Beoordelen of de interne beheersmaatregelen in opzet, bestaan en in werking effectief zijn. Daarbij ziet zij onder meer op de kwaliteit en effectiviteit van het functioneren van de governance, het risicobeheer en de beheersprocessen binnen de bank.

Taken

Rapporteren over de bevindingen aan het bestuur en de auditcommissie. Periodiek uitwisselen van informatie met de externe accountant en auditcommissie. In het kader van deze informatie-uitwisseling is ook de risicoanalyse en het auditplan van de interne auditfunctie en van de externe accountant onderwerp van overleg. Ten minste jaarlijks het initiatief nemen om met de DNB en de externe accountant in een vroegtijdige fase elkaars risicoanalyse en bevindingen en auditplan te bespreken. Toezicht houden op opvolging van opmerkingen en de naleving van aanbevelingen. Zowel vanuit eigen interne onderzoeken als uit rapportages van de externe accountant.

Tabel 2-12 Taken en randvoorwaarden 3rd LoD Lees *: Volgens Basel (2011) kan de interne audit functie ook uitbesteed worden. Toezicht op opvolging van opmerkingen en naleving van aanbevelingen door IA is volgens Basel (2011) beperkt tot het onderzoeken en evalueren van de processen voor het opvolgen audit bevindingen en aanbevelingen.

Voor Nederlandse banken bestaan wettelijke verplichtingen ten aanzien van de interne auditfunctie. In de Wft (artikel 17 Bpr) is ten eerste vastgelegd dat een financiële onderneming dient te beschikken over een ‘interne controlefunctie’. Dit laat nog ruimte over voor een functie binnen de 1st en/of 2nd LoD. Echter uit de wetsgeschiedenis en de toelichting op het Bpr blijkt dat een interne auditfunctie wordt bedoeld (NBA, 2013). Verder is ook in de Code Banken (artikel 5.2) vastgelegd dat een bank dient te beschikken over een interne auditfunctie die onafhankelijk is gepositioneerd (NVB, 2009). Verder is in de Code Banken specifiek de taken voor de interne auditfunctie vastgelegd. Hoewel de Code Banken niet ingaat op 3LoD, is deze gebruikt voor het uitwerken van de 3rd LoD IA taken.

2.6.5 Resultaten onderzoeksstroom IV 3LoD gedachte helpt bij het verhelderen, afbakenen en inrichten van taken op het gebied van risicobeheer. De gedachte maakt onderscheid tussen functies met eigenaarschap en verantwoordelijkheid voor het managen van risico’s, functies die risico’s overzien en functies die hierover onafhankelijk zekerheid geven. 3LoD is echter meer dan een inrichtingsmodel voor risicomanagement. Het is ook een andere manier van werken en denken en draagt zodoende bij aan de versterking van de risicocultuur en het nemen van verantwoordelijkheid voor het managen van risico’s en interne beheersing. Een extra motivatie voor

43

Theoretisch Kader

banken om 3LoD in te voeren en aan te tonen aan toezichthouders is een lagere verplichte kapitaalbeslag. Het invoeren van 3LoD is echter niet zonder risico’s. De gedachte blijkt niet uniform te zijn. In de literatuur zijn geen empirische onderzoeken (bijvoorbeeld case studies) gevonden over de invoering (kritische succesfactoren) of werking van 3LoD. Het onzorgvuldig invoeren van 3LoD kan leiden tot onduidelijkheid over het eigenaarschap van risico’s en invulling en afbakening van taken. Hiernaast kan het invoeren van 3LoD leiden tot misverstanden over het restrisico en inefficiënties. Op basis van een beperkt aantal publicaties over 3LoD is een theoretisch raamwerk ontwikkeld met taken en randvoorwaarden voor 3LoD. Uit een vergelijking van publicaties van IIA (2013), Basel (2011), Claassen (2009) en Code Banken (2009) zijn in totaal 14 taken en 7 randvoorwaardelijke zaken gedefinieerd voor een effectieve inrichting van 3LoD. Het senior management, de besturende en toezichthoudende organen zijn primaire stakeholders die bediend worden door 3LoD en zijn vanuit hun positie het beste in staat om te waken voor de effectiviteit van de Lines of Defence. Deze primaire stakeholders hebben een collectieve verantwoordelijkheid voor het bepalen van de organisatiedoelstellingen, het definiëren van een strategie en het zorgen van een governance structuur en processen om risico’s die gepaard gaan met de risico’s het beste te kunnen managen. De 1st LoD wordt gevormd door het lijnmanagement of operational managers. Deze managers zijn eigenaar van de risico’s en ook verantwoordelijk om deze risico’s te managen. De operational managers zijn verantwoordelijk voor het inventariseren van risico’s, het beoordelen van het risicoprofiel en het toepassen van risicomanagementstrategieën. Zij hebben hiernaast een leidende rol in de ontwikkeling en invoering van interne richtlijnen en procedures. Hiernaast zijn zij ook zelf verantwoordelijk voor het continue monitoren en verbeteren van naleving van deze richtlijnen en procedures en de effectiviteit van interne controlemaatregelen. 1st LoD is ook verantwoordelijk voor het geheel van maatregelen dat redelijke zekerheid moet bieden dat de door het management gestelde doelen worden bereikt. De 2nd LoD wordt gevormd door risicomanagementfuncties, compliance functies en controllership functies. Bij de 2nd LoD ligt de nadruk veel meer op risk oversight. De 2nd LoD is door het senior management primair in het leven geroepen om te waken (challengen) dat de 1st LoD goed is opgezet, ingevoerd en functioneert zoals het ook bedoeld is. 2nd LoD heeft hiervoor wel een zekere mate van onafhankelijk nodig van de 1st LoD. Naast haar bewakende taak heeft zij ook ondersteunende, adviserende en coördinerende taken. 2nd LoD kan bijvoorbeeld ook verantwoordelijk zijn voor het opzetten en onderhouden van een operational risk framework, het meten van de operationele risico’s, de rapportage processen, opzetten van en voorzitten van risico committees en de verantwoordelijkheid van rapportage aan het bestuur. De 3rd LoD wordt gevormd door de interne auditfunctie (IA). IA heeft als taak zekerheid te geven over de effectiviteit van governance, risk management en internal controls, inclusief de mate waarin de 1st LoD en 2nd LoD voldoen aan risicomanagement en control doelstellingen. 3rd LoD heeft een bijzondere taak binnen 3LoD namelijk om te controleren of het samenspel tussen de 1st en 2nd LoD soepel functioneert en velt daarover objectief, onafhankelijk een oordeel met mogelijkheden tot verbetering. Voor Nederlandse banken bestaan wettelijke verplichtingen ten aanzien van de interne auditfunctie en is onder meer vastgelegd dat een bank dient te beschikken over een interne auditfunctie die onafhankelijk is gepositioneerd. Verder zijn er ook specifieke taken gedefinieerd voor de interne auditfunctie.

44

Methode van Onderzoek

3 Methode van Onderzoek Much of the best work in sociology has been carried out using qualitative methods without statistical tests. This has been true of research areas ranging from organizations and community studies to micro studies of face to face interaction and macro studies of the world system. Nor should such work be regarded as weak or initial ‘exploratory’ approaches to those topics. -- Randall Collins (1984)

3.1 Inleiding In hoofdstuk twee is vanuit de theorie naar de probleemstelling en naar de deelvragen gekeken. In dit hoofdstuk wordt de vertaalslag gemaakt van theorie naar empirie en wordt ingegaan op de onderzoeksmethodologie, onderzoeksmethode en onderzoekstechnieken. Als eerste zal de onderzoeksmethodologie worden verantwoord in paragraaf 3.2. Methodologie wordt door Den Hartog en Van Sluijs (1995) omschreven als het geheel van redeneringen en veronderstellingen (aannames) dat de basis vorm voor het ontwerp van een onderzoek, de dataverzameling, de data-analyse en de rapportage over de uitkomsten van het onderzoek. Vervolgens wordt in paragraaf 3.3 ingegaan op de onderzoeksmethode. De onderzoeksmethode betreft de opvatting hoe kennis gegenereerd zal worden. In dit onderzoek is gekozen voor de methode field research (veldonderzoek). In deze paragraaf zal worden ingegaan op de onderzoekspopulatie en de stappen in het gegevensverzamelingsproces. Binnen een onderzoeksmethode kunnen één of meer onderzoekstechnieken worden toegepast. In paragraaf 3.4 zal de toegepaste onderzoekstechniek worden toegelicht. Er zal worden stil gestaan bij de achtergronden en de ontwikkeling van de vragenlijst, die gebruikt is voor het verzamelen van de gegevens. Aaneensluitend wordt in paragraaf 3.5 aandacht besteed aan de wetenschappelijke eisen die aan de uitvoering van het onderzoek worden gesteld, de zogenaamde betrouwbaarheid en validiteit. Het hoofdstuk wordt in paragraaf 3.6 afgesloten door een conclusie.

3.2 Onderzoeksmethodologie In sociaalwetenschappelijk onderzoek bestaan grofweg twee belangrijke benaderingen van wetenschappelijk kennisvergaring (Neuman, 2011; Korsten, 2011). Als uitersten op een continuüm worden deze aangeduid als: de positivistische benadering en de interpretatieve benadering. De positivistische benadering is volgens Neuman (2011) de oudste en de meest toegepaste benadering. Positivistisch benadering wordt gedefinieerd als een georganiseerde methode om deductieve logica te combineren met nauwkeurige empirische waarnemingen van individueel gedrag, met als doel causale verbanden te ontdekken en te bevestigen die gebruikt kunnen worden om algemene gedragspatronen te voorspellen (Neuman, 2011, p.95). Kenmerkend voor de positivistische benadering is het toepassen van methoden en technieken vanuit de natuurwetenschappen voor het onderzoeken van sociale realiteit en verder (Bryman, 2008). Deze benadering veronderstelt dat de realiteit onafhankelijk van de observeerder kan worden waargenomen en dat die objectief te kennen valt. Daardoor kan en moet een onderzoeker overtuigend aantonen dat de ene factor (onafhankelijke variabele) een andere veroorzaakt (afhankelijke variabele). De meeste mensen beschouwen de positivistische benadering als wetenschap (Neuman, 2011). Er is echter ook veel kritiek op deze benadering (Neuman, 2011; Korsten, 2011). Tegenover de positivistische benadering staat de interpretatieve benadering. De interpretatieve benadering wordt gedefinieerd als de systematische analyse van sociale betekenisvolle gebeurtenissen door direct gedetailleerd observeren van mensen in hun natuurlijke omgeving met als doel het begrijpen en interpreteren van hoe mensen hun sociale werelden creëren en onderhouden (Neuman, 2011, p102). Bij interpretatief onderzoek gaat het niet om het verklaren van verbanden maar om het begrijpen van

45


verschijnselen. Bij interpretatief onderzoek worden redenen voor een verschijnsel aangedragen en dus niet oorzaken. In deze benadering wordt verondersteld dat de sociale werkelijkheid, niet een objectief maar eerder een subjectief gegeven is. De onderzoeker kan zich er niet helemaal buiten stellen omdat die misschien wel afstand houdt maar toch onder invloed staat van alles wat zich voltrekt of niet voltrekt. In plaats van ‘waardoor’ vraagt de onderzoeker naar het ‘waarom’. Interpretatief onderzoek begint niet met hypothesen, noch met variabelen, en test ook geen hypothesen. Een verschijnsel is verklaard als de onderzoeker heeft aangetoond dat dit verschijnsel in relatie met andere verschijnselen een samenhangend systeem vormt, het zogenaamde ‘pattern model of explanation’ (Kaplan, 1964). In dit onderzoek is gekozen voor de interpretatieve onderzoeksvisie. De keuze voor deze benadering wordt hier nader toegelicht. Ten eerste is er gekozen voor deze benadering omdat het onderzoek tot doel heeft om inzicht te krijgen in de wijze waarop 3LoD in relatie tot IT-outsourcing vorm wordt gegeven in de praktijk. Het onderzoek is niet gericht op het verklaren (volgens een aantal algemeen geldende verklarende variabelen) maar op het begrijpen en interpreteren. Ten tweede, wordt het onderzoeksthema beschouwd als complex verschijnsel met een bepaalde specifieke context. Uit het literatuuronderzoek is gebleken dat er geen breed geaccepteerde beheersingsmodel bestaat voor IT-outsourcing. Tevens is gebleken dat het beheersen van IT-outsourcing in de praktijk veel vragen oproept. Uit het literatuuronderzoek is verder gebleken dat hoewel 3LoD door meerdere organisaties omarmd worden, er niet gesproken kan worden over een universele gedachte. In de praktijk bestaan verschillende vormen van 3LoD als gevolg van de achtergrond van organisaties. De verwachting is dan ook dat het onderzoeksthema binnen de banken zijn specifieke kenmerken zal hebben: een unieke context, unieke spelers die uniek reageren, met unieke wisselwerkingen. Daardoor ontstaan vragen of per situatie, niet andere van de onderzochte theorie variabelen (managementactiviteiten) zich voordoen, of bestaande variabelen aan invloed hebben verloren en of de causaliteit tussen de variabelen is veranderd. De interpretatieve onderzoeksvisie houdt sterk rekening met deze contextuele betekenisverlening en situationele omstandigheden. Tenslotte maakt de omvang en complexiteit van het onderzoeksthema dat er sterk rekening gehouden moet worden met het kennisniveau van de respondenten. Hebben de respondenten voldoende overzicht over de IT-outsourcing governance van de organisatie en zijn zij in staat om aan te geven (vrij van specifieke verlangens en weerstanden) binnen welke LoD de activiteiten worden uitgevoerd. Om dat in beeld te krijgen vereist het stellen van diepgaande vragen over het ‘waarom’ en daarover door te vragen. De interpretatieve onderzoeksvisie houdt rekening met deze aspecten en sluit goed aan bij de doelstelling van dit onderzoek zoals beschreven in hoofdstuk 1. Hierbij wordt nog opgemerkt dat het onderzoek niet als zuiver interpretatief kan worden bestempeld. Zoals eerder aangeven betreft dit een uiterste benadering en zijn er op het continuüm allerlei tussenvormen mogelijk (Korsten, 2011). Het onderzoek is van start gegaan met een uitgebreid theoretisch raamwerk waarbij verwachtingen zijn ontstaan over de wijze waarop 3LoD voor IT-outsourcing in de praktijk vorm gegeven wordt. De vragen die in het onderzoek zijn gesteld zijn beïnvloedt door wetenschappelijke literatuur en kennis van de onderzoeker over de ‘setting’ waarin het onderzoek wordt uitgevoerd. Aangezien de interpretatieve onderzoeker ook sterk rekening houdt met contextuele betekenisverlening en situationele omstandigheden en acties zal deze moeten reflecteren op zijn positie in het veld van onderzoek. Hij heeft immers te maken met een geconstrueerde werkelijkheid (‘zo zien wij dat hier’) en ‘interpretaties van interpretaties’. Aan deze methodologische eis wordt gevolg gegeven in paragraaf in hoofdstuk 6. Op de wetenschappelijk eisen die aan de uitvoering van het onderzoek gesteld kunnen worden wordt ingegaan in paragraaf 3.5.

46


3.3 Onderzoeksmethode De meest geschikte methode, rekening houdend met de aspecten zoals genoemd in vorige paragraaf, is field research (veldonderzoek). De veldonderzoeksmethode bestaat uit vele specifieke onderzoekstechnieken (observatie, enquête, documentanalyse, interview) waarbij de onderzoeker vaak direct een sociale-setting observeert en daarin participeert (Neuman, 2011, p. 421). Volgens Schatzman en Strauss (1973 via Neuman, 2011) zijn binnen deze onderzoeksmethode voor een wetenschapper alle mogelijke onderzoekstechnieken toegestaan om data te verzamelen waarmee hij zijn onderzoeksvragen kan beantwoorden. De beschrijving van de onderzoeksmethode zou de indruk kunnen wekken dat deze onderzoeksmethode niet voor alle disciplines, of slechts voor antropologische onderzoeken, geschikt is. Weliswaar is in wetenschappelijke context de onderzoeksmethode sinds de 19e voor het eerst toegepast binnen de antropologie, maar zijn er sinds de 20e eeuw toepassingen van deze methode te vinden in veel verschillende disciplines (Neuman, 2011). Henry Mintzberg heeft bijvoorbeeld als leider van de ‘descriptive school’ stroming (als tegenhanger van de normatieve of ‘prescriptive ‘school’), een belangrijke rol gespeeld bij ‘het op de kaart zetten’ van deze onderzoeksmethode binnen de management discipline. Een belangrijk kenmerk voor deze onderzoeksmethode betreft het principe van naturalism, waarbij er vanuit wordt gegaan dat sociale verschijnselen het beste te bestuderen zijn in hun natuurlijke omgeving ‘het veld’ (Neuman, 2011). Een andere belangrijke principe van deze onderzoeksmethode is het kunnen bekijken van sociale verschijnselen vanuit verschillende perspectieven. Veldonderzoek vereist (‘insider’) het kunnen inleven in de gedachte van de respondenten of de betekenis van de systemen van de verschillende organisaties maar ook het kunnen switchen naar een (‘outsider’) onderzoeksperspectief (Neuman, 2011). In dit onderzoek is de informatie in het veld verzameld. Hiervoor zijn een aantal organisaties bezocht. De informatie nodig voor het onderzoek zijn ter plaatse van betrokkenen verkregen. De onderzoeker heeft op deze wijze direct te maken gehad met de personen die een rol spelen bij het onderwerp van het onderzoek, alsook de specifieke contextfactoren die een rol kunnen spelen. Voor het verzamelen van informatie is een openvragen vragenlijst ontwikkeld. Tevens is ook gebruik gemaakt van de raamwerken ontwikkeld gedurende de literatuurstudie. In de interviews is vooraf aangegeven dat de raamwerken, in overeenstemming met de onderzoeksmethodologie, in dit onderzoek geen normatief doel dienen. In de toelichting is aangegeven dat het raamwerk regieorganisatie IT-outsourcing uitsluitend bedoeld is om de respondenten te kunnen ondersteunen bij het overzien van de regiefunctie (met meer dan 70 managementactiviteiten!) en de mogelijk betrokken afdelingen. Vooraf aan het veldonderzoek is ook een pilot test uitgevoerd. In de volgende subparagraaf zal worden ingegaan op het veldonderzoek en de uitgevoerde pilot test.

3.3.1 Onderzoeksfase één: een pilot in het veld Aangezien in dit onderzoek de informatie is verzameld met behulp van elite- of expert interview is ervoor gekozen om een pilot test uit te voeren van het interview aanpak. De definitieve vragenlijst (als resultaat van de pilot) samen met de uitnodiging (e-mail) en toelichting op het onderzoek is opgenomen in bijlage 6. In de methodologische literatuur worden verschillende methoden voor pilot testen onderscheiden (Neuman, 2011). In dit onderzoek is gekozen voor de methode expert evaluation (Bryman, 2008), waarbij deelnemers is gevraagd om verbaal aan te geven wat zij denken wanneer zij de vragen beantwoorden. Het uitvoeren van een pilot wordt door Bryman (2008) en Neuman (2011) sterk aangeraden. Een pilot draagt bij aan een beter begrip van het interviewproces. In het bijzonder kan voor het gehanteerde onderzoekstechniek – expert interview – gesteld worden dat het uitvoeren van een pilot een must is. Het toepassen van een dergelijke onderzoekstechniek (bij het type respondenten) vraagt immers om een zeer goede organisatie van het onderzoek. De keuze van de onderzoekstechniek en de achtergronden van deze techniek worden

47


toegelicht in paragraaf 3.4. Hiernaast maakt de complexiteit van het onderzoeksthema (zoals toegelicht in paragraaf 3.2) het vooraf testen van het interview aanpak van groot belang. De selectie van de deelnemers aan de pilot is gebaseerd op dezelfde criteria als voor de deelnemers aan het praktijkonderzoek. In de pilot zijn twee experts op het gebied van het onderzoeksthema benaderd: Huub van Hout (HvH) en Richard Kok (RK). Met deze experts hebben één respectievelijk twee interviews plaatsgevonden. In de methodologische literatuur wordt deze vorm van interviews (pilot testen) ook wel cognitieve interviewing genoemd (Neuman, 2011).

Pilot met Richard Kok (Senior IT Auditor) RK is werkzaam bij Group Audit van ABN AMRO Bank N.V. als Senior IT Auditor. In de praktijk heeft hij vanuit zijn functie veel te maken met de onderwerpen IT-outsourcing en 3LoD. RK kent ook de respondenten binnen ABN AMRO Bank N.V. en is dan ook goed in staat om te beoordelen in hoeverre het interview aanpak goed is opgezet. Met RK hebben in totaal twee interviews plaatsgevonden. In het eerste interview stond het gebruik van het theoretisch raamwerk ‘regieorganisatie IToutsourcing’ centraal. In het interview met RK is de face validiteit (ook wel validiteit op zicht) van het theoretisch raamwerk onderzocht. In het interview is m.a.w. onderzocht in hoeverre hij – zonder diepgaand onderzoek – de indruk heeft dat het raamwerk een valide schematische weergave is van een regieorganisatie voor IT-outsourcing. In de eerste plaats is daarom gekeken naar de samenhang tussen de verschillende elementen (onderdelen – aandachtsgebieden – managementactiviteiten) van het raamwerk. In de tweede plaats is gekeken of de managementactiviteiten duidelijk zijn geformuleerd (geoperationaliseerd). Na de samenhang van de elementen toegelicht te hebben kwam RK tot de conclusie dat het raamwerk een plausibele weergave is van een regieorganisatie voor IT-outsourcing. De toelichting op de managementactiviteiten hebben geleid tot een aantal aanpassingen in de formulering van deze activiteiten. Het resultaat van de aanpassingen is opgenomen in bijlage 4. In het tweede interview is de totale onderzoeksaanpak inclusief het theoretisch raamwerk besproken. RK is gevraagd om verbaal aan te geven wat hij denkt van de volgende aspecten: duidelijkheid uitnodiging en omschrijving onderzoek, duidelijkheid van de toelichting op de aanpak van het interview, formulering van vragen, of er lastige vragen zijn (zo ja waarom) en naar de volgorde van de vragen (voldoende afwisselend). De open aanmerkingen van RK, op het gebied van de zinsconstructie en lay-out, zijn vrijwel allemaal overgenomen.

Pilot met Huub van Hout (Audit Director) HvH is werkzaam bij Group Audit van ABN AMRO Bank N.V. als Audit Director. HvH heeft in de praktijk te maken met (IT-)outsourcing en 3LoD. HvH publiceerde een aantal artikelen over 3LoD in de Audit Magazine uitgegeven door het Instituut van Internal Auditors. In het interview is HvH gevraagd om verbaal aan te geven wat hij denkt van de volgende aspecten: duidelijkheid uitnodiging en omschrijving onderzoek, duidelijkheid van de toelichting op de aanpak van het interview; formulering van vragen; of er lastige vragen zijn (zo ja waarom) en naar de volgorde van de vragen (voldoende afwisselend). Uit het interview met HvH bleek op de eerste plaats dat de onderbouwing van het 3LoD gedachte nog niet voldoende was. De theoretische onderbouwing bleek niet duidelijk genoeg de kerntaken en verantwoordelijkheden te onderscheiden van de verschillende LoD. De geformuleerde vragen bleken het begrip te algemeen te benaderen, hetgeen een goede verwerking van de resultaten in gevaar zou brengen. De opmerkingen van HvH hebben dan ook geleid tot het aanpassen van de theoretische onderbouwing van 3LoD waarvoor artikelen zijn gebruikt die aan het begin van het praktijkonderzoek zijn verkregen. Op basis van de aangepaste theoretische onderbouwing is vervolgens het raamwerk ‘3LoD taken en randvoorwaarden’ ontwikkeld. Dit raamwerk is opgenomen in bijlage 5. Op de

48


tweede plaats bleek uit het interview met HvH dat de formulering van een aantal vragen aangepast diende te worden. De open aanmerkingen van de experts in de pilot zijn gebruikt om de definitieve aanpak van de interviews verder te verfijnen.

3.3.2 Onderzoeksfase twee: het veldonderzoek bij drie Nederlandse banken In deze onderzoeksfase staat centraal het verkrijgen van inzicht in de wijze waarop de 3LoD gedachte is/wordt geïntegreerd in het beheersingsraamwerk voor IT-outsourcing door banken in Nederland.

Keuze praktijkorganisaties Voor dit veldonderzoek is gekozen om dit bij de vier grote Nederlandse banken uit te voeren, te weten ABN AMRO, ING, Rabobank en SNS REAAL. Hier lagen een drietal redenen aan ten grond slag. Ten eerste is voor deze banken gekozen aangezien van deze banken algemeen bekend is dat zij (een substantieel deel van) de IT hebben uitbesteed (zie ook paragraaf 1.1). Een tweede reden voor deze keuze is dat van deze banken bekend is dat zij 3LoD aan het implementeren zijn dan wel hebben geïmplementeerd. Deze banken kunnen dus waardevolle informatie verschaffen over het onderzoeksthema. Tenslotte een laatste reden voor de keuze van deze banken is de methodologische wens om cases te verkrijgen die onderling vergeleken konden worden. ABN AMRO, Rabobank en SNS REAAL bleken uiteindelijk bereid te zijn om mee te werken aan dit onderzoek.

Scope IT-outsourcing vorm en managementactiviteiten Uit het literatuuronderzoek (paragraaf 2.2) is gebleken dat in de praktijk veel verschillende vormen van outsourcing voorkomen. Tevens bleek uit het literatuuronderzoek dat voor de vorm IT-outsourcing meerdere outsourcingsobjecten (meer dan 20) kunnen worden onderscheiden. In dit onderzoek is niet gekeken naar de verschillende vormen en objecten van outsourcing en wat dit mogelijk betekent voor de regieorganisatie. Verwacht wordt dat in vergelijkbare IT-outsourcing situaties van applicatie of infrastructuur bij banken ook een vergelijkbare regieorganisatie zouden moeten bestaan. Er moet immers worden voldaan worden aan dezelfde wetgeving voor outsourcing. De managementactiviteiten die door de externe dienstverlener worden uitgevoerd (operationeel en enkele tactische activiteiten) zijn niet in de interviews meegenomen. Hier liggen een aantal redenen aan ten grondslag. Ten eerste, een onderzoekstechnische reden is dat het vraagstuk van beheersing van IToutsourcing niet vanuit de externe dienstverlener maar vanuit de cliëntorganisatie is bestudeerd. Echter de activiteiten uitgevoerd door de externe dienstverlener worden door de cliëntorganisatie bewaakt via managementactiviteiten op strategisch en tactisch niveau. Er kan dus ook geconcludeerd worden dat de activiteiten van de externe dienstverlener indirect zijn meegenomen in het onderzoek. Ten tweede, een conceptuele reden om de externe dienstverlener niet mee te nemen hangt samen met de focus op 3LoD in dit onderzoek. In de literatuur (paragraaf 2.6) zijn geen aanwijzingen gevonden voor het bestaan van 3LoD tussen organisaties, wel voor het bestaan van 3LoD binnen organisaties. Het is echter wel denkbaar dat de LoD van een cliëntorganisatie via een regieorganisatie een koppeling legt met de LoD van de externe dienstverlener en op deze wijze een netwerk ontstaat van samenwerkende Lines of Defence van verschillende organisaties met een aantal gemeenschappelijke doelen. Dit gaat echter te ver voor dit onderzoek. Dit onderzoek is dan ook beperkt tot de rol van de Lines of Defence van de cliëntorganisatie. De voorbereiding en uitvoering van het veldonderzoek worden beschreven in de volgende paragraaf.

49


3.4 Onderzoekstechniek In de vorige paragraaf is reeds aangegeven dat binnen de field research benadering veel (alle) verschillende onderzoekstechnieken zijn toegestaan om data te verzamelen. Op basis van de onderzoeksmethode is er dan ook niet mogelijk om tot één logische keuze voor een onderzoekstechniek te komen. Bij de keuze van een onderzoekstechniek moet dan ook gekeken worden naar de onderzoeksmethodologie, het onderzoeksthema en de aard van de benodigde informatie. De informatie die in dit onderzoek nodig is voor beantwoorden van de onderzoeksvragen zit in de hoofden van mensen. Of nog specifieker geformuleerd gaat het om kennis en opvattingen over een bepaald complex thema waarvoor in de organisaties deskundigen benaderd moeten worden. De meest geëigende techniek om deze informatie te verzamelen is met behulp van interviews. Het gebruik van interviews kent, net zoals alle onderzoekstechnieken, een aantal methodologische uitdagingen. Op deze uitdagingen zal in deze paragraaf worden ingegaan. Op de hiermee samenhangende (generieke) uitdagingen voor kwalitatief wordt ingegaan in paragraaf 3.5. Vooruitlopend op deze beschouwing wordt alvast opgemerkt dat vanuit het oogpunt van validiteit het zeer wenselijk is om triangulatie toe te passen. Hiermee wordt bedoeld dat meerdere bronnen worden geraadpleegd over een bepaald onderwerp en niet wordt volstaan met één bron (Neuman, 2011). Er bestaan verschillende vormen van triangulatie, waaronder methoden- en bronnentriangulatie. In dit onderzoek is ervoor gekozen om dezelfde onderzoekstechniek op meerdere personen binnen de organisatie toe te passen. De respondenten is in het onderzoek gevraagd om niet alleen de vragen te beantwoorden voor hun eigen LoD maar ook hun mening te geven over de rol van de overige twee Lines of Defence binnen het onderzoeksthema. Naast deze vorm van triangulatie is er ook gekozen voor een tweede vorm waarbij geprobeerd is om met behulp van documentatie een beeld te vorm over het onderzoeksthema. Deze vorm van triangulatie wordt toegelicht in paragraaf 3.4.3.

3.4.1 Interview Bryman (2008) onderscheidt op basis van literatuuronderzoek twaalf verschillende typen interviewtechnieken, die vooral verschillen in de mate van gestructureerdheid. Op basis van de gekozen onderzoeksmethode field research is ook gekeken naar het interviewtype field research interview. Neuman (2011) geeft een beschrijving van dit type welke verschillende namen kent: ongestructureerd interview, diepte interview, etnografisch interview, open eind interview en informeel interview. Naast de mate van structuur kunnen interviews ook verbijzonderd worden naar de type respondenten. Het bijzondere aan de interviews in dit onderzoek is dat experts benaderd worden. In methodologische sociaal wetenschappelijke kringen is het interviewtype, expert interview (ook wel elite interview genoemd) gevonden. Opmerkelijk is dat in de ‘Social Research Methods’ handboeken van zowel Neuman als Bryman geen aandacht wordt besteed aan dit interviewtype. Volgens Littig (2008) is dit interviewtype in de Anglo-Amerikaanse literatuur over sociale wetenschappelijke methodologisch onderzoek vrij onbekend. Bygnes (2008) stelt echter dat substantieel hoeveelheid literatuur is ontwikkeld over dit interviewtype en de methodologische uitdagingen (Hertz & Imber, 1995; Walford 1994; Moyser en Wagstaffe 1987; Zuckerman 1972, Dexter 1970). Lewis Anthony Dexter (1970, 2006) wordt binnen de sociaal wetenschappelijke methodologische kringen beschouwd als één van de pioneers voor het gebruik van dit gespecialiseerde interviewtype in sociaal wetenschappelijk onderzoek (Harvey, 2009; Littig, 2008).

Expert interview Voor de term expert (ook wel elite of deskundige genoemd) bestaan verschillende definities. De verschillen tussen de definities kunnen voornamelijk verklaard worden door de verschillende disciplines waarvoor deze techniek is uitgewerkt. Een definitie die goed past binnen de management discipline (en dus dit onderzoek) luidt als volgt (via Littig, 2008): an informant (usually male) who occupies a senior or middle

50


management position; has functional responsibility in an area which enjoys high status in accordance with corporate values; has considerable industry experience and frequently also long tenure with the company; possesses a broad network of personal relationships; and has considerable international exposure (Welch et al. 2002, p. 613). Deze definitie geeft ook een goede omschrijving van de type respondenten voor dit onderzoek. De respondenten in dit onderzoek zullen zowel overzicht als inzicht moeten hebben in de governance van IT-outsourcing en risk management. Een dergelijk overzicht en informatie bleken alleen beschikbaar te zijn bij medewerkers met een bepaalde positie binnen de praktijkorganisaties. De definitie van Welch (2002) geeft ook een indruk van de uitdagingen van de techniek. In de methodelogische literatuur (Harvey, 2009, Lutig, 2008; Tansey, 2007) worden drie belangrijke uitdagingen gevonden voor het gebruik van deze techniek: sampling, toegang tot experts en communicatieve vaardigheden. Deze laatste uitdaging wordt vertaald naar voorbereiding en uitvoering van het interview. Op deze uitdagingen en aanpak in het praktijkonderzoek wordt hier verder ingegaan.

Sampling In het kader van expert-interview bestaat er geen duidelijke afgegrensde expert populatie waaruit volgens een bepaalde specificatie een sample getrokken kan worden. Het is de onderzoeker die expert status toekent, afhankelijk van het specifieke gebied van het onderzoek en interesse (Lutig, 2008). In dit onderzoek is van twee verschillende (non-probability) sampletechnieken gebruik gemaakt: purposive en snowball/chain-referral sampling. Op basis van het literatuuronderzoek en praktijk kennis van de onderzoeker zijn de belangrijkste actoren, van wie verwacht mag worden veel informatie te kunnen geven over het onderzoeksthema, geïdentificeerd. Deze actoren betroffen de IT Director, Chief Information Officer (CIO) en Head Group Audit (IT). Echter ook op lagere niveaus (middle-management) in de organisatie of binnen andere onderdelen van de organisatie (zoals Risk Management of Vendor Management) bleken experts te bestaan met een totaal of een gefragmenteerd overzicht. Deze populatie was echter minder zichtbaar voor de onderzoeker en het was dan ook niet mogelijk voor de onderzoeker om voor deze populatie vooraf een lijst te maken. Per organisatie is geprobeerd om minimaal drie experts verdeeld over de Lines of Defence te interviewen. Om de experts te benaderen is contact gezocht met het eerder genoemde senior management en gevraagd of zij dan wel personen binnen hun organisatie bereid waren om aan dit onderzoek mee te werken (snowball/chain-referral sampling).

Toegang tot experts De volgende uitdaging betrof toegang tot deze experts. Dit is vaak een uitdaging aangezien dergelijke goed geïnformeerde personen een vooraanstaande ook wel invloedrijke functie binnen organisaties hebben. Deze personen zijn daarom druk bezet, moeilijk te bereiken en worden tevens ook afgeschermd. Om deze personen te kunnen interviewen is vaak een aanbeveling of introductie nodig van een persoon in een vergelijkbare positie. Instrumentele belangen aan de kant van de geadresseerde groep, zoals een winst van nuttige en bruikbare informatie, kan hierbij helpen om toegang te krijgen. Bij de uitnodiging is daarom ook het doel en relevantie van het onderzoek goed omschreven. Binnen ABN AMRO is dit onderzoek geïntroduceerd door een Senior IT Auditor en een Audit Manager bij het senior management. Deze Senior IT Auditor en Audit Manager bleken regelmatig accountmanagement gesprekken te hebben met de geselecteerde respondenten. Bij de Rabobank en SNS REAAL is dit onderzoek geïntroduceerd door de Head Group Audit van ABN AMRO. De respondenten hebben vooraf informatiepakket ontvangen met een omschrijving van de doelstelling van het onderzoek en resultaten uit het theorieonderzoek. Hiernaast hebben de respondenten ook vooraf de vragenlijst ontvangen voor het interview. Het informatiepakket is opgenomen in bijlage 6.

51


In onderstaande tabel een overzicht van de personen die hun medewerking hebben verleend aan dit onderzoek. Nr

Naam

Organisatie

Functie

LoD

01 02 03 04 05 06 07 08 09 10

Huub van Hout Jan den Boer Jaap Crum Robert Jongkind Harry van der Wijk Tom van de Ven Simon Greve Sander de Veer Marcel van der Heide Hein Laan

ABN AMRO ABN AMRO ABN AMRO ABN AMRO ABN AMRO SNS REAAL SNS REAAL Rabobank Rabobank Rabobank

Audit Director Head Sourcing & Vendor Management Head Commercial Management (IT Services) Director Operational Risk Management & Control Head BRO TOPS Bedrijfshoofd IT Audit Bedrijfshoofd Informatiebeveiliging Senior IT Audit Manager Manager Vendor Management Adviseur Informatiebeveiliging & Risicomanagement

3rd 1st 1st 2nd 2nd 3rd / 2nd 2nd 3rd 1st 2nd

Tabel 3-1 Respondenten ABN AMRO, SNS REAAL en Rabobank.

Voorbereiding en uitvoering interviews De laatste uitdaging heeft betrekking op de voorbereiding van de interviews. Deze doelgroep vereist een zeer goede voorbereiding (organisatie), actieve interactie en niet te veel structuur in het gesprek (flexibiliteit). Hiernaast is ook het winnen van vertrouwen van deze experts van groot belang, i.v.m. de vertrouwelijkheid van de informatie (transparantie) (Harvey, 2009). Voor de interviewgesprekken zijn twee theoretische raamwerken ontwikkeld en een vragenlijst (open vragen). De vragenlijst en het raamwerk ‘regieorganisatie IT-outsourcing’ zijn opgenomen in het informatiepakket, die de respondenten vooraf hebben ontvangen. Het informatiepakket is opgenomen in bijlage 6. In de e-mail is aangegeven dat de vragenlijst indicatief is voor de soort vragen die gesteld zullen worden in het interview. In de interviews is gebruik gemaakt van een gedetailleerde weergave van het raamwerk regieorganisatie IT-outsourcing, opgenomen in bijlage 3. Het raamwerk 3LoD ‘taken en randvoorwaarden’ (bijlage 5) is niet naar de respondenten verstuurd maar door de onderzoeker in de interviews gebruikt om de rol van Lines of Defence te onderzoeken. De vragenlijst voor het veldonderzoek is ontwikkeld in drie stappen: (1) formuleren van de vragen; (2) voorleggen vragenlijst aan experts voor open aanmerkingen; (3) het pre-testen van de vragenlijst (pilot). In stap 1 is op basis van het literatuuronderzoek, rekeninghoudend met de deelvragen, een vragenlijst opgesteld. Op deze stap wordt hier verder in gegaan. De overige twee stappen zijn uitgewerkt in paragraaf 3.3.1. De vragenlijst is opgedeeld in vier delen: (1) IT-outsourcing; (2) 3LoD voor IT; (3) regieorganisatie IT-outsourcing; (4) 3LoD voor IT-outsourcing; en (5) afronding, opmerkingen en andere zaken. Het eerste deel van het interview stond in het teken van kennismaken met de respondent en de organisatie van de respondent. In dit deel is met name ingezoomd op de rol van de respondent, de objecten van IT-outsourcing, omvang en ontwikkelingen in IT-outsourcing binnen de praktijkorganisatie. In het tweede deel van het interview is ingegaan op de status en de organisatorische inrichting van 3LoD voor IT. In dit deel zijn de respondenten gevraagd een beschrijving te geven van de betrokken afdelingen, taken en verantwoordelijkheden van de deze afdelingen en het gebruik van tooling. De respondenten zijn hiernaast ook gevraagd om een beschrijving te geven van de informatiestromen gericht op de verantwoording van de Lines of Defence zowel binnen de eigen als de centrale Risk Management organisatie. In het derde deel van het interview is de respondent gevraagd om een beschrijving te geven van de regieorganisatie. Om alle mogelijke betrokken afdelingen in kaart te brengen is gebruik gemaakt van het raamwerk regieorganisatie IT-outsourcing. De respondenten is als eerste gevraagd of er nog zaken ontbreken in het raamwerk of dat zij algemeen nog opmerkingen hierover hebben. Vervolgens is per aandachtsgebied bekeken welke afdelingen hierbij betrokken zijn en wat de status van de inrichting. In het vierde deel van het interview zijn de onderwerpen 3LoD en IT-outsourcing samengevoegd. De respondenten is gevraagd om een beschrijving

52


te geven van de status en de organisatorische inrichting van 3LoD en IT-outsourcing. Tenslotte, in het laatste deel van het interview zijn de respondenten gevraagd of zij nog opmerkingen, observaties of kanttekeningen hebben over het onderzoek. De herkomst en het gebruik van het raamwerk ‘regieorganisatie IT-outsourcing’ is vooraf aan de interviews toegelicht. In de gesprekken is benadrukt dat het raamwerk geen normatief doel dient en slechts gebruikt wordt als ‘kapstok’ om gedetailleerder de IT-outsourcing governance taken te kunnen bespreken en tevens te kunnen plaatsen binnen 3LoD. Ter voorbereiding op de interviews heeft de onderzoeker zich ook zo veel mogelijk verdiept in de organisaties door het bestuderen van de website van de organisatie, het laatste jaarverslag en eventuele nieuwsberichten. Gelet op de specifieke onderzoeksituatie is ervoor gekozen om de gesprekken niet op te nemen, maar aantekeningen te maken gedurende de gesprekken. Als onderdeel van een goede voorbereiding is de vragenlijst en de aanpak van het gesprek in een pilot getest. De interviews met de respondenten duurden gemiddeld 60 minuten. Aan het eind van het gesprek zijn ook visitekaartjes uitgewisseld met het oog op andere elite leden die gevraagd kunnen worden voor een interview (snowball). De respondenten zijn maximaal twee dagen na het interview nogmaals bedankt voor hun tijd en input voor het onderzoek.

3.4.3 Documentenanalyse Naast interviews is documentanalyse ook een waardevolle onderzoekstechniek. Documenten zijn informatiedragers die veel informatie kunnen geven over de achtergronden van de regieorganisatie en invoering van 3LoD. De respondenten zijn vooraf aan de interviews gevraagd om eventuele relevante documentatie te delen. De onderzoeker heeft gedurende het onderzoek zelf toegang gehad tot intranet van ABN AMRO om informatie te verzamelen. Van de Rabobank en SNS REAAL heeft de onderzoekers geen documentatie ontvangen. Wel heeft de onderzoeker toegang gehad tot de jaarverslagen van de organisaties. Hiernaast zijn ook de websites van de banken bestudeerd en is het internet gebruikt voor het verzamelen van informatie. De jaarverslagen en de websites zijn ook bestudeerd ter voorbereiding van de interviews. Vervolgens is deze informatie ook gebruikt voor een deel van de analyse, namelijk de algemene (organisatiebrede) invoering van 3LoD.

3.4.4 Data analyse Er bestaan verschillende analytische benaderingen voor het analyseren van kwalitatief materiaal en dus het systematisch interpreteren van teksten in het licht van de onderzoeksvraag (bijvoorbeeld analytische inductie, framework approach of grounded theory (Bryman, 2008)). Hoewel er accent verschillen zijn in de benaderingen wordt er een vergelijkbaar analyseproces gevolgd. De analyse van de data in dit onderzoek wordt in aantal stappen toegelicht. In stap 1 is het verkregen onderzoeksmateriaal geordend en voorbereid voor de analyse. De interviewverslagen zijn in deze stap uitgewerkt en voorgelegd aan de respondent voor controle op de feitelijke juistheid. Feiten en meningen uit de interviews zijn daarbij vrij rechtstreeks overgenomen, zonder diepgaande kwalitatieve analyse. Op basis van de reactie van de respondent is het verslag vervolgens definitief gemaakt. In stap 2 zijn de data, in overeenstemming met de onderzoeksvraag, globaal verkend. Op een globale manier zijn de verschillende interviewverslagen bekeken. In deze fase is geprobeerd een globaal beeld te vormen van de mate waarin de data informatief is gelet op het onderzoeksthema. De definitieve gespreksverslagen van respondenten van dezelfde organisatie zijn vervolgens door de onderzoeker met elkaar vergeleken waarbij gekeken is naar verschillen en overeenkomsten. Eventuele significante verschillen, relevant in het licht van de onderzoeksvraag, zijn vervolgens via de mail voorgelegd aan de respondenten voor een toelichting.

53


In stap 3 is de data gedetailleerder geanalyseerd. In deze stap zijn de stukken tekst in de interviewverslagen gecodeerd naar de aandachtsgebieden, uitvoerende afdelingen en de Lines of Defence binnen de praktijkorganisaties. Tevens zijn ook de stukken tekst over algemene zaken (type outsourcing, status 3LoD, 3LoD en Managing IT outsourcing) gecodeerd. In stap 4 is de data diepgaand geanalyseerd. In deze fase zijn de eerste antwoorden verkregen op de centrale onderzoeksvraag en de deelvragen van het praktijkonderzoek. In deze fase zijn de resultaten van de praktijkorganisaties in het licht van de raamwerken op detail niveau met elkaar vergeleken en zijn overeenkomsten en verschillen verkend. In stap 5 is onderzocht in welke vorm de resultaten het beste weergegeven kunnen worden. Een belangrijk ontwerpprincipe hierbij was de vergelijkbaarheid van de resultaten van de praktijkorganisaties. In deze stap is er voor gekozen om als eerste de informatie over objecten van IT-outsourcing door de organisaties in twee tabellen te presenteren. Vervolgens is ervoor gekozen om per onderdeel van regieorganisatie uitgesplitst naar de verschillende aandachtsgebieden aan te geven welke afdelingen verantwoordelijk zijn voor de uitvoering van de betreffende aandachtsgebieden. Vervolgens is voor 3LoD als eerste op hoofdlijnen de resultaten aangegeven. Hierna zijn de resultaten gepresenteerd voor de specifieke invulling voor IT en tenslotte ook voor IT-outsourcing. In stap 6 is tenslotte gekeken naar de interpretatie als geheel. De resultaten van het onderzoek zijn bekeken vanuit het licht van de centrale probleemstelling, de deelvragen en de relevante literatuur. In deze stap is ook de conclusie gevormd over wat er geleerd is in het onderzoek en wat de kennis betekent.

3.5 Wetenschappelijke eisen Nu de methodologische keuzes zijn verantwoord, wordt in deze paragraaf nader ingegaan op de wetenschappelijke eisen die aan de uitvoering van dit onderzoek kunnen worden gesteld. Verantwoord wetenschappelijk onderzoek wordt volgens Maso en Smaling (1998) gekenmerkt door het streven, in relatie tot het kader van de vraagstelling van het onderzoek, recht te doen aan het object van het onderzoek, het object van studie te laten spreken en niet te vertekenen. De begrippen betrouwbaarheid en validiteit die in dit verband gebruikt worden dienen bij kwalitatief onderzoek echter op een ander manier te worden gehanteerd dan bij kwantitatief onderzoek (Neuman, 2011). Lincoln en Guba (1985) gaan zelfs een stap verder door het introduceren van alternatieve termen, ‘trustworthiness’ en ‘authenticity’, voor het beoordelen van de kwaliteit van kwalitatief onderzoek. De reden die aan dit onderscheid met kwantitatief onderzoek ten grondslag ligt is dat er niet één objectieve waarheid wordt verondersteld (kwantitatief onderzoek), maar de waarheid bij de interpretatieve benadering bestaat uit meerdere subjectieve interpretaties van gebeurtenissen in een sociale context. Hoge kwaliteit data heeft dan ook een andere betekenis in de interpretatieve benadering en de procedures om deze te verzamelen zijn ook anders. In deze paragraaf wordt nader ingegaan op de invulling van de wetenschappelijke eisen die gesteld zijn aan dit onderzoek, aan de hand van de begrippen betrouwbaarheid en validiteit.

3.5.1 Betrouwbaarheid Het begrip betrouwbaarheid zegt iets over de deugdelijkheid van de uitvoering van het onderzoek. Het begrip kan worden ingevuld als afwezigheid of het minimaliseren van toevallige vertekeningen. Er moet met andere woorden onafhankelijkheid bestaan tussen de onderzoeker en de data. Dit is bij interpretatief onderzoek niet eenvoudig aangezien de onderzoeker zelf het onderzoeksinstrument is doordat zijn persoonlijke inbeng, in de vorm van waarneming, communicatie en interpretatie, wezenlijk bijdraagt aan de te produceren kennis. De betrouwbaarheid (transparantie) van een onderzoek kan worden onderscheiden in interne en externe consistentie (Neuman, 2011). Bij interne consistentie gaat het om de kwaliteit van de logica waarmee tot een bepaald oordeel is gekomen en de mate waarin de onderzoeker er naar heeft gestreefd zo compleet mogelijk te zijn. Er bestaan verschillende procedures om de interne consistentie te waarborgen. In dit onderzoek zijn de analyses per

54


organisatie teruggekoppeld met de vraag of zij zich in de toegekende betekenissen en gemaakte interpretaties herkennen (‘member validation’ of ‘respondent validation’). Hiernaast is er ook een systematische administratie bijgehouden van de verschillende praktische stappen in het onderzoeksproces (audit trail). Tenslotte is voor de interne consistentie ook inzicht gegeven in de ontwikkeling van de manier waarop de onderzoeker gedurende het gehele onderzoek zijn rol als onderzoeker heeft ingevuld en beleefd, en de wijze waarop deze mogelijke invloed heeft gehad op de uiteindelijke resultaten (reflection). Externe consistentie zegt iets over de mogelijke vertekening door de uitvoering als geheel. Als procedure voor het waarborgen van de externe consistentie is gebruik gemaakt van verschillende bronnen om specifieke bevindingen te verifiëren of te versterken (‘triangulation’). Hiernaast is ook geprobeerd om andere methoden toe te passen door het opvragen en bestuderen van documentatie voor het verifiëren van de resultaten.

3.5.2 Validiteit Validiteit zegt iets over een deugdelijke opzet van het onderzoek en kan worden opgevat als afwezigheid of het minimaliseren van systematische vertekeningen. Repliceerbaarheid is volgens Neuman (2011) geen vereiste bij veldwerkonderzoek, aangezien het onderzoek onmogelijk herhaald kan worden. Essentiële aspecten in het veld veranderen zoals de context, de betrokkenen, de individuele onderzoekers etc. De gebruikte onderzoekstechniek (open interview vragen) heeft bijvoorbeeld de respondent aangemoedigd om in diepte en detail vrij te spreken, hetgeen onmogelijk exact over gedaan kan worden. Ook validiteit kan worden ingedeeld in interne en externe validiteit. De interne validiteit geeft antwoord op de vraag of inderdaad datgene door de onderzoekers is onderzocht wat men zegt te onderzoeken. Aangezien de onderzoeker zelf als onderzoeksinstrument wordt ingezet dient bij kwalitatief onderzoek met het oog op de interne validiteit veel aandacht besteed te worden aan het monitoren van de eigen onderzoeksrol. Naast de eerder genoemde ‘member validation’ en ‘reflection’ in de zin van monitoren van de onderzoeksrol is in dit onderzoek ook een pilot uitgevoerd. In dit pilot is gekeken of de aanpak van het veldonderzoek aansluit bij de vraagstelling van het praktijkonderzoek. Externe validiteit heeft betrekking op de mate waarin de onderzoeker in staat is de generaliseerbaarheid van zijn onderzoeksresultaten aan te tonen, m.a.w. verplaatsbaarheid van de conclusies van het onderzoek. Bij kwantitatief onderzoek is het streven de conclusies te kunnen verplaatsen naar andere vergelijkbare settings (populaties). In dit verband wordt vaak gesproken over de sampling strategie. Om te kunnen generaliseren naar een populatie is het belangrijk om helder te hebben op welke manier, en om welke reden, de selectie van onderzoekseenheden heeft plaatsgevonden. Bij kwalitatief onderzoek wordt echter niet gegeneraliseerd naar een populatie maar naar een theorie. Het is ‘the cogency of the theoretical reasoning (Mitchell, 1983), in plaats van statistische criteria, welke beoordeeld dienen te worden voor de mate van generaliseerbaarheid van de bevindingen van kwalitatief onderzoek (Bryman, 2008, p. 392). Het gaat bij kwalitatief onderzoek m.a.w. om de kwaliteit van de theoretische gevolgtrekkingen die gemaakt worden op basis van de kwalitatieve data welke cruciaal is voor het beoordelen van de generaliseerbaarheid. Dit onderzoek is gericht op het verkrijgen van inzicht in de wijze waarop 3LoD in relatie tot IT-outsourcing vorm wordt gegeven in de praktijk. Dit onderzoek heeft niet als doel om te kunnen generaliseren naar een populatie maar om te leren en de wetenschap op dit gebied uit te breiden voor verder onderzoek.

3.6 Conclusie In dit hoofdstuk is uitgebreid stilgestaan bij de ‘hoe vraag’ van dit onderzoek. Achtereenvolgens is daarom de keuze voor de onderzoeksmethodologie gemotiveerd, de onderzoeksmethode en de onderzoekstechnieken toegelicht en zijn de stappen in het gegevensverzamelingsproces behandeld. Tevens is de selectie van de onderzoekspopulatie toegelicht en is stil gestaan bij de wetenschappelijke eisen en de wijze waarop hier invulling aan is gegeven.

55

Resultaten

4 Resultaten In theory there is no difference between theory and practice. In practice there is. -- Yogi Berra (1984)

4.1 Inleiding In dit hoofdstuk is de vertaalslag gemaakt van theorie naar empirie en is met behulp van de verzamelde gegevens antwoord gegeven op de deelvragen van het praktijkonderzoek. In het praktijkonderzoek stond de volgende onderzoeksvraag centraal: op welke wijze is door de Nederlandse banken voor hun IT uitbesteding invulling gegeven aan Three Lines of Defence gedachte? In paragraaf 4.2 is als eerste een beeld gegeven van IT-outsourcing (objecten) bij de banken en zijn de visies en ontwikkelingen bij deze banken op dit gebied beschreven. Tegen deze achtergrond zijn in paragraaf 4.3 de regieorganisaties van de banken verkend en is ingegaan op de overeenkomsten en verschillen tussen de regieorganisaties. Opmerkingen en aanvullingen van de banken op het raamwerk voor de regieorganisatie zijn hier ook gepresenteerd. In paragraaf 4.4 is ingegaan op de wijze waarop banken 3LoD en in het bijzonder 3LoD voor IT in de praktijk hebben vorm gegeven. Tenslotte zijn in paragraaf 4.5 de resultaten gepresenteerd over de wijze waarop banken in de praktijk 3LoD voor IT-outsourcing hebben vorm gegeven.

4.2 IT-outsourcing In deze paragraaf wordt inzicht gegeven in de IT objecten die de banken hebben uitbesteed. Ook worden de ontwikkelingen in de uitbesteding behandeld. Dit inzicht is gebruikt voor de analyse van overeenkomsten en verschillen in regieorganisaties (paragraaf 4.3). In het onderzoek zijn twee groepen van IT-outsourcing objecten onderscheiden: IT infrastructuur en applicaties. Per groep is in onderstaande tabellen (4-1 respectievelijk 4-2) een overzicht gegeven van de objecten van uitbesteding door de betrokken banken.

IT APPLICATIE

Categorieën

Application development

Application support and maintenance

Objecten* Defining application requirements Planning the application structure Developing the code Monitoring development progress Testing Results Deployment Keeping application and technical environment up-todate Ensure on-line availability and delivery to an agreed service level Application helpdesk support (second and third line)

in-house

in-house

in-house

mixed

in-house

in-house

outsourced outsourced

outsourced outsourced

mixed mixed

mixed outsourced outsourced

mixed outsourced outsourced

mixed mixed in-house

outsourced

outsourced

in-house

mixed

outsourced

in-house

Tabel 4-1 IT applicatie outsourcing ABN AMRO, Rabobank en SNS REAAL 2013 Lees *: In het overzicht aangegeven uitbesteding van IT objecten is gebaseerd op het algemene beeld. In de praktijk kunnen nog verschillen bestaan voor specifieke systemen, applicaties of fysieke locaties.

Uit deze tabellen valt op dat ABN AMRO haar IT, bijna geheel heeft uitbesteed, met uitzondering van de activiteit gericht op het definiëren van applicaties eisen. Rabobank en SNS REAAL verzorgen, in vergelijking tot ABN AMRO, veel IT activiteiten intern. ABN AMRO bleek uit interviews ongeveer 75 procent van haar IT activiteiten te hebben uitbesteed. Belangrijke partners bleken te zijn IBM, Tata Consultancy Services (TCS), Infosys, Cognizant, Verizon en KPN. Uit een interview met Frans Woelders

56

Resultaten

(CIO en Senior Managing Director bij ABN AMRO) blijkt dat de bank zeker ook de komende jaren veel gebruik zal blijven maken van IT-outsourcing (IBM, 2013). Zo heeft ABN AMRO de afgelopen jaren vanuit een visie dat de samenwerking met de IT-partners tegenwoordig meer business- dan IT-gedreven moet zijn, gewerkt aan versterking van de samenwerking met haar IT-partners. Deze business focus vraagt aldus Frans Woelders (IBM, 2013) om een nauwe, persoonlijke samenwerking met de IT-partners, waarbij dezelfde doelen worden nagestreefd. Met het oog daarop hebben alle IT-partners zich voorafgaand aan het partnership gecommitteerd aan dezelfde KPI’s: Business Satisfaction, IT Availability, IT Capacity en Project Excellence. Categorieën

IT INFRASTRUCTUUR

Mainframe Services Midrange Services

Desktop Services

Network & Telecommunication services

Objecten* Mainframe operations Mainframe engineering Mainframe helpdesk support Midrange operation Midrange engineering Midrange helpdesk support Acquisition Maintenance Management of PC hardware and Software assets Desktop helpdesk support Wide Area Network Local Area Network Voice (including Mobile) Video & data communications Remote Access Internet Extranet Intranet Security services Network Management

outsourced outsourced outsourced outsourced outsourced outsourced mixed outsourced

in-house in-house in-house in-house in-house in-house in-house in-house

Outsourced Outsourced Outsourced in-house in-house in-house in-house in-house

mixed

in-house

in-house

outsourced outsourced outsourced outsourced outsourced outsourced outsourced outsourced outsourced mixed outsourced

outsourced outsourced in-house outsourced outsourced in-house outsourced in-house in-house mixed mixed

in-house Outsourced in-house Outsourced Outsourced in-house in-house in-house in-house in-house in-house

Tabel 4-2 IT infrastructuur outsourcing ABN AMRO, Rabobank en SNS REAAL 2013 Lees *: In het overzicht aangegeven uitbesteding van IT objecten is gebaseerd op het algemene beeld. In de praktijk kunnen nog verschillen bestaan voor specifieke systemen, applicaties of fysieke locaties.

Uit de tabellen blijkt dat de Rabobank ervoor kiest om zoveel mogelijk ICT activiteiten zelf te verzorgen en aan te sturen. De uitbesteding blijkt voornamelijk op applicatie vlak plaats te vinden. De belangrijkste partners zijn Cognizant, IBM en Ordina. Bij de Rabobank is al jaren een dalende trend zichtbaar in de IT uitbesteding (Hulsman, 2013). In 2013 was de verhouding van het aantal internen en externen fte’s 70/30. Volgens René Steenvoorden (CIO Rabobank) worden er nog veel externe ICT-expertise ingehuurd. Het streven van de Rabobank is echter om meer interne mensen aan te nemen dan dat zij werk inkopen (Hulsman, 2013). René kondigt dan ook aan dat het aantal externen komende jaren nog verder zal teruglopen. Outsourcing van applicatieve activiteiten zorgt volgens René voor een verhoging van de flexibiliteit om wisseling in programmavolumes te volgen. Echter is René van mening dat interne mensen goedkoper zijn en bovendien dit ook beter is voor het behoud van kennis (Hulsman, 2013). SNS REAAL bleek uit het praktijkonderzoek een lange tijd bewust gekozen te hebben om een groot deel van de IT activiteiten in eigen handen te houden. De business units waren voor hun IT behoefte een lange tijd uitsluitend aangewezen op de eigen centrale IT afdeling. Trends zoals outsourcing maakte het centrale IT model van SNS REAAL echter niet langer houdbaar. Bij de business units is in de jaren dan ook een tendens ontstaan om voor haar IT behoefte meer naar buiten te kijken. Zo zijn in het verleden het ontwikkelen, testen en het onderhouden van sommige key-applicaties uitbesteed. Hiernaast bleek uit de interviews dat recentelijk ook alle beheeractiviteiten rondom het mainframe zijn uitbesteed. In de interviews werd ook gemeld dat in 2013 al meer dan 150 applicaties in de cloud draaiden, waaronder enkele kritische applicaties. Het aandeel IT-outsourcing van de totale ICT activiteiten werd in de interviews geschat voor 2013 op ongeveer 15 procent.

57

Resultaten

4.3 Regieorganisatie IT-outsourcing In deze paragraaf worden de resultaten gepresenteerd voor het beantwoorden van de eerste deelvraag van het praktijkonderzoek. Deze deelvraag luidde: hoe ziet het beheersingsraamwerk eruit voor IToutsourcing binnen de praktijkorganisatie? In paragraaf 4.3.1 wordt als eerste ingegaan op de algemene resultaten ten aanzien van het gebruik van het raamwerk ‘Regieorganisatie IT-outsourcing’. In de hierop volgende paragrafen wordt m.u.v. het onderdeel functions ingegaan op de resultaten per onderdeel van het raamwerk. Het onderdeel functions, wordt integraal behandeld in paragraaf 4.5 welke in het teken staat van 3LoD.

4.3.1 Raamwerk ‘Regieorganisatie IT-outsourcing’ Het verkrijgen van inzicht in de regieorganisatie bleek uit de interviews een lastige opgave te zijn. Voor de deskundigen was het niet altijd duidelijk wat er onder een regieorganisatie werd verstaan, uit welke elementen deze bestaat en of deze elementen dan ook aanwezig waren binnen hun eigen organisatie. Verder bleek ook dat het inzicht in het functioneren van de regieorganisatie, als samenspel van de verschillende aandachtsgebieden en managementactiviteiten, in de praktijk niet te bestaan bij één persoon of afdeling. Over het algemeen gaven de deskundigen aan zich wel zorgen te maken over het functioneren van de regieorganisatie. Hier wordt in paragraaf 4.5 op ingegaan. Voor het beantwoorden van de eerste deelvraag is gebruik gemaakt van het ontwikkelde raamwerk ‘Regieorganisatie IT-outsourcing’. In de interviews is aan de deskundigen gevraagd om op basis van het raamwerk aan te geven uit welke aandachtsgebieden de regieorganisatie binnen hun organisatie bestaat. Hiernaast is de deskundigen gevraagd of de regieorganisatie nog uit andere aandachtsgebieden bestaat die niet in het raamwerk zijn beschreven of dat bepaalde aandachtsgebieden geen onderdeel zouden moeten uitmaken van het raamwerk. In het praktijkonderzoek werd door de deskundigen bevestigd dat het raamwerk ‘Regieorganisatie IToutsourcing’ een goed overzicht geeft en de belangrijkste aandachtsgebieden bevat van de regieorganisatie voor de cliëntorganisatie. Per onderdeel van het raamwerk wordt in de volgende subparagrafen een overzicht gegeven van de invulling in de praktijk bij de banken en een vergelijking gemaakt van de resultaten.

4.3.2 Strategic Management Op strategisch niveau informeren van de business bleek in de praktijk door het managementteam van het IT onderdeel van de banken te gebeuren. Het managementteam IT zorgde in de praktijk voor wederzijds begrip en een gedeelde visie tussen business en IT. Hiernaast zorgde zij ook voor de vertaling van deze visie in organisatorische maatregelen (IS/IT Leadership). Het ontwikkelen van een visie over een geschikte IT platform bleek duidelijk het terrein te zijn van de IT architecten (Architectural planning and design). Hierbij viel op dat de Rabobank en SNS REAAL al hun IT architecten gecentraliseerd hadden binnen één afdeling. Deze afdeling maakte hiernaast ook onderdeel uit van een IT brede beleidsbepalende afdeling. De activiteit ‘vertaling van IT architectuur visie in richtlijnen’ bleek in de praktijk dan ook goed te passen bij de positionering van deze afdeling in een beleidsbepalende afdeling. Bij ABN AMRO waren de IT architecten werkzaam bij meerdere afdelingen. Hiernaast maakten deze architecten geen onderdeel uit van een onafhankelijk van de business gepositioneerde beleidsbepalende afdeling. Het bijhouden van het applicatielandschap en de servicecatalogus (IT portfolio management) bleek bij de banken een gedecentraliseerde activiteit te zijn. In de praktijk waren hier veel verschillende afdelingen, met een product of business line oriëntatie, bij betrokken.

58

IT Portfolio Management

Architectural planning and design

IS/IT Leadership

Resultaten

Informeren van de business over het potentieel van IT; Ontwerpen & implementeren IS/ IT strategie;

TOPS* \ IT S&S \ - MT IT Solutions & Services - Program Board TOPS (*Technology, Operations & Property Services)

OAB* \ Groep ICT \ - MT Groep ICT

TOPS \ IT S&S \ CIO Office \ Enteprise Architecture IT Services Architecten IT Solutions Architecten IT Solutions International Architecten

OAB \ Groep ICT \ - IBA*\ Architectuur & Informatiemanagement

TOPS \ IT S&S \ - IT Solutions Nederland\ Domein afdelingen (Core Banking, Functions, Markets, Customer Intelligence, Transaction, Channel) - IT Solutions International\ Domein afdelingen (Core Banking, Investment Channels) - IT Services\ Technology Management - CIO Office\ Business Management

OAB \ Groep ICT \ - ADM*\ Portfolio afdelingen \ Business analisten (Bedrijven; Betalen & Sparen; CRM Distributie; Financieren; Organisatie; Vermogen).

IT & Change \ - Directie (ondersteund door Architectuur)

(*Ondersteuning Aangesloten Banken)

Ontwerpen & implementeren organisatorische elementen. Analyseren ontwikkelingen in de huidige en toekomstige business IT behoefte; Ontwikkelen visie over een geschikt IT platform;

(* ICT Beleid & Architectuur)

IT & Change \ - A&B*\ Architectuur\ IT & Business Architecten (* Architectuur & Beleid)

Vertalen ‘visie IT platform’ in richtlijnen. Opzetten servicecatalogus voor de business (welke diensten / applicaties / functionaliteiten worden geleverd en hoe); Afstemmen servicecatalogus met de business.

(*Application Development & Maintenance)

IT & Change \ - V&O* Bank\ IT Portfolio Management \ Business analisten - V&O Verzekeraar \ IT Portfolio Management \ Business analisten - V&O Groepsstaven \ IT Portfolio Management \ Business analisten - I&O \ IT Portfolio Management (* Verander- & Ontwikkel- Bedrijf)

Tabel 4-3 Strategic Management ABN AMRO, Rabobank en SNS REAAL 2013

Voor het aandachtsgebied strategic management blijkt uit het praktijkonderzoek dat alle managementactiviteiten belegd zijn. De activiteiten op IS/IT Leadership blijkt uit de praktijk door de het MT IT (groep) uitgevoerd te worden. Op IT architectuur vlak zijn er verschillen gevonden tussen de banken. De verschillen hebben betrekking op de keuze uit centralisatie/decentralisatie van architectuur activiteiten en positionering van deze activiteiten binnen een (onafhankelijke) beleidsbepalende afdeling. De banken blijken te beschikken over een servicecatalogus die door verschillende afdelingen worden bijgehouden

4.3.3 Demand Management Visie over de behoefte en inzet van IT op de lange termijn bleek bij de banken op verschillende wijzen tot stand te komen. Bij de Rabobank en SNS REAAL bleek, dat het IT onderdeel binnen deze banken, in het bijzonder de IT architecten en business analisten rechtstreeks schakelden met het senior management van de business. Bij ABN AMRO bleek een organisatie, Chief Operating Office (COO) gevormd te zijn die als intermediair diende tussen de business en IT. De COO organisatie maakte, net zoals de IT organisatie, onderdeel uit van de business unit Technology, Operations & Property Services (TOPS). In de praktijk betekende dit dat de IT afdelingen of de business schakelden met COO die op haar beurt weer schakelde met de benodigde business of IT afdelingen. Tevens vervulde de COO organisatie een aantal taken, die passen bij het organisatorisch vereiste van het onderdeel business systems thinking, namelijk het hebben van een holistisch perspectief, zoals beschreven in het theoretisch kader (paragraaf 2.4.1). Dit perspectief is gericht is op het optimaal integreren van strategie, processen, technologie, systemen en mensen. In opzet lijkt de COO organisatie als intermediair hier dan ook logischerwijs optimaal invulling aan te kunnen geven. Tussen de banken bleken geen verschillen te bestaan tussen de borging van specialistische kennis over de IT oplossing (Making technology & process work). In de praktijk werd dit geborgd binnen IT afdelingen met een sterke product/business line oriëntatie, die kennis hebben van de applicaties en de onderliggende infrastructuur. Deze afdelingen (business analisten) schakelden in de praktijk veelvuldig met de externe dienstverlener(s) over specifieke claims of wensen van de business. Voor het onderdeel formulating information needs bleken in de praktijk dezelfde IT afdelingen met een sterke product/business line oriëntatie betrokken te zijn. Voor het formuleren van de informatiebehoefte is immers zowel technische expertise als ook business specifieke kennis nodig. Deze afdelingen bleken ook de relatie te onderhouden met de business.

59

Formulating Information Needs

Making Technology & Process work

Business Systems Thinking

Resultaten

Ontwikkelen van een visie over ondersteuning huidige toekomstige business / herstructurering bedrijfsprocessen

TOPS\ - COO*\ Senior Management - IT Solutions & Services \ Senior Management

OAB \ Groep ICT \ - IBA\ Architectuur & Informatiemanagement - ADM\ Portfolio afdelingen \ Business Change Management & Business analisten (Bedrijven; Betalen & Sparen; CRM Distributie; Financieren; Organisatie; Vermogen.

IT & Change\ - A&B\ Architectuur\ IT & Business Architecten SNS Bank & Management\ - Directie REAAL\ - Directie Zwitserleven\ - Directie

Onderhouden van kennis op strategisch niveau over IT & business ontwikkelingen

Externe dienstverleners

TOPS\ IT S&S\ - IT Solutions Nederland\ Domein afdelingen\ Business Analisten - IT Solutions International\ Domein afdelingen\ Business analisten - IT Services\ Technology Management\ Business analisten

OAB* \ Groep ICT \ - ADM**\ Portfolio afdelingen \ Business analisten (Bedrijven; Betalen & Sparen; CRM Distributie; Financieren; Organisatie; Vermogen).

IT & Change \ - V&O Bank\ IT Portfolio Management \ Business analisten - V&O Verzekeraar \ IT Portfolio Management \ Business analisten - V&O Groepsstaven \ IT Portfolio Management \ Business analisten

TOPS\ IT S&S - IT Solutions Nederland\ Domein afdelingen\ Information Managers - IT Solutions International\ Domein afdelingen\ Information Managers - IT Services\ Technology Management\ Information Managers

OAB \ Groep ICT \ - ADM\ Portfolio afdelingen\ Information Managers

(* Chief Operating Office)

Zorgen voor een interne organisatie met voldoende kennis over de IT oplossing Snel aanpakken van problemen met IT oplossing; maatwerk business behoefte; beoordelen & ‘challengen’ van claims van de business of voorgestelde oplossing van externe dienstverlener.

Onderhouden van kennis op tactisch niveau over IT & business ontwikkelingen Formuleren informatiebehoefte van de business

(*Ondersteuning Aangesloten Banken) (**Application Development & Maintenance)

IT & Change \ - V&O Bank\ IT Portfolio Management \ Information Managers - V&O Verzekeraar \ IT Portfolio Management \ Information Managers - V&O Groepsstaven \ IT Portfolio Management \ Information Managers

Tabel 4-4 Demand Management ABN AMRO, Rabobank en SNS REAAL 2013

Voor het aandachtsgebied demand management bleek uit het praktijkonderzoek dat alle managementactiviteiten belegd waren. In de praktijk bestond er een verschil in de wijze waarop de visie over de behoefte en inzet van IT tot stand komt. Voor het ontwikkelen van deze visie is zowel input nodig van de business als van IT. De benodigde input voor deze visie bleek in de praktijk bij twee banken één op één uitgewisseld te worden tussen business en IT en bij een andere uitgewisseld te worden via een intermediair organisatie. Tussen de banken bestonden geen verschillen tussen de borging van specialistische kennis over de IT oplossing en het bestaan van een onderdeel voor de formulering van de informatiebehoefte. In de praktijk bleken deze geborgd te zijn binnen IT afdelingen met een sterke product/business line oriëntatie met veel technische expertise als ook business specifieke kennis.

4.3.4 Innovation Management Innovatie management bleek bij de banken ondergebracht te zijn bij of als onderdeel van IT-architectuur. In de literatuur (paragraaf 2.4.1) zijn twee typen innovaties gevonden: technology push en de business pull. De eerste variant betreft technische vernieuwingen gericht op het verlagen van IT kosten door het samenvoegen van systemen of het verhogen van de betrouwbaarheid van de dienstverlening door het vervangen van systemen of technische componenten. Maar ook voor bijvoorbeeld het gebruiken van nieuwe technologieën (bijvoorbeeld 4G, virtualisatie etc). Voor deze variant van innovatie is de positionering bij IT-architectuur goed te begrijpen. De IT-architecten ontvangen immers van ‘innovation managers’ informatie over innovatieve ontwikkelingen en kansen welke zij gebruiken voor het ontwikkelen van een visie over IT platformen en vervolgens vertalen naar richtlijnen. Bij deze vorm van innovatie hebben de bestaande externe dienstverleners een belangrijke rol voor het beschikbaar stellen van technologieën en kennis. Deze vorm van innovatie wordt dan ook meer gedreven vanuit deze externe dienstverleners. De andere vorm van innovatie ‘business pull’ wordt niet zozeer gedreven door de externe dienstverleners maar door de cliëntorganisatie. De lijnorganisatie ontdekt nieuwe kansen op de markt/of op de markt van de leveranciers waardoor concurrentievoordelen behaald kunnen worden. Voorbeelden hiervan zijn mobiel betalen, mobiel bankieren (app) of de aanschaf van een nieuw online CRM systeem. Bij deze vorm van innovatie kan de cliëntorganisatie gebruik van de bestaande externe dienstverleners echter zal deze zich hier niet door laten beperken. Om als IT organisatie grip te kunnen houden op de IT

60

Resultaten

Programme & Project Portfolio Management

Innovation Management

dienstverlening en toegevoegde waarde te kunnen blijven bieden is het voor deze vorm van belang dat de business, partners kan vinden binnen de interne IT organisatie waarmee zij samen de mogelijkheden kunnen verkennen ongeacht de bestaande externe dienstverleners of standaard IT platform. Bij SNS REAAL waren de business afdelingen direct betrokken bij innovatie management. Bij Rabobank en ABN AMRO is niet duidelijk in hoeverre de innovatie management afdeling een rol heeft in de cliëntgedreven innovaties. Hiernaast bleek uit het praktijkonderzoek dat in de organisaties twijfels bestaan in hoeverre er optimaal gebruik wordt gemaakt van de competenties, kennis en expertise van de (bestaande) externe dienstverleners. Voor het onderdeel programme & project portfolio management zijn in de praktijk bij de banken verschillende afdelingen betrokken.

Vertalen IT strategieën in concrete plannen (business pull)

TOPS\ IT S&S\ - CIO Office\ Strategy, Innovation & Architecture

(*ICT Beleid & Architectuur)

Informeren van de business over innovatieve ontwikkelingen, kansen op de markt (technology push)

Managen van programma’s en projecten ter verbetering van de afstemming tussen business en IT

OAB \ Groep ICT \ - IBA*\ Innovatie

TOPS\ IT S&S\ - Program Board

OAB \ Groep ICT\ - ADM*\ PDS**\ Vendor Management (*Application Development & Maintenance) (**Professional Development Support)

IT & Change\ - A&B\ Architectuur\ IT & Business Architecten SNS Bank\ - Marketing, Strategie en Innovatie REAAL\ - Merk, Strategie en onderzoek IT & Change \ - V&O Bank\ Portfolio Management - V&O Verzekeraar \ Portfolio Management \ Information Managers - V&O Groepsstaven \ Portfolio Management

Tabel 4-5 Innovation Management ABN AMRO, Rabobank en SNS REAAL 2013

Voor het aandachtsgebied innovation management kon in het praktijkonderzoek niet vastgesteld worden of alle managementactiviteiten belegd waren dan wel of de afdelingen die hier een rol in spelen in beeld zijn bij de regieorganisatie. Het onderdeel innovation management heeft enerzijds de taak om de leverancier te challengen op vernieuwingen en anderzijds als IT partner te dienen voor de business en samen met deze de mogelijkheden te verkennen van ontwikkelingen en kansen op de markt. Innovation management zou in de praktijk veelvuldig moeten schakelen met enerzijds de (potentiële) externe dienstverleners en anderzijds de interne organisatie (business, IT portfolio afdelingen, IT-architectuur, sourcing management.. etc.). In het praktijkonderzoek is niet duidelijk geworden in hoeverre dit ook echt gebeurd.

4.3.5 Vendor Management Op inkoop gebied bleken er verschillen te bestaan tussen de banken (informed buying). Bij ABN AMRO was een centrale procurement afdeling betrokken bij deals tot een bepaalde omvang. De grote outsourcing trajecten werden echter in de praktijk geleid door de afdeling sourcing & vendor management. Bij SNS REAAL werden alle inkopen en sourcing trajecten uitgevoerd door een centrale inkoopafdeling. De Rabobank bleek te beschikken over een tussenvorm, waarbij zowel de centrale inkoopafdeling en de vendor management afdeling alle sourcing trajecten gezamenlijk uitvoerden. De activiteit ‘analyseren en benchmarken van de markt van IT dienstverlening’ werd door twee banken niet uitgevoerd. Eén van deze twee banken gaf als reden de hoge kosten die hieraan verbonden zouden zijn. De derde bank gaf aan de analyse periodiek uit te laten voeren en de analyse en benchmarken mee te nemen in het dagelijks handelen. De banken onderkenden het belang van het onderdeel vendor development (creëren van een zo lang mogelijke relatie met een externe dienstverlener door samen opzoek te gaan naar win-win situaties). Één bank benaderde het onderwerp echter vanuit demand management. Demand management is zeker gerelateerd aan vendor development echter heeft deze laatste de focus op een lange relatie met de externe diensverlener. De andere twee banken gaven aan de vendor development activiteiten beperkt of niet uit te voeren. Wat betreft het onderhouden van relaties met potentiële externe dienstverleners, gaf één bank

61

Resultaten

contacten te hebben met potentiële dienstverleners. Of hierbij ook echt sprake is van het onderhouden van relaties is uit praktijkonderzoek niet duidelijk geworden. De andere twee banken gaven aan deze activiteit in beperkte mate uit te voeren. De procedures voor het overstappen van externe dienstverlener waren niet bij alle banken beschikbaar. Slechts één bank gaf aan over deze procedures te beschikken. Een andere bank gaf aan exit clausules opgenomen te hebben in de belangrijkste contracten. Onder overstapprocedure wordt in dit onderzoek echter wat anders verstaan dan het recht op het beëindigen van contracten (zie paragraaf 2.4.1). Van de onderdelen contracten performance management zou verwacht mogen worden dat deze business-as-usual activiteiten zijn binnen de banken. De banken bevestigden dat deze activiteiten belegd waren binnen de regieorganisatie en dat deze in de praktijk, zeker voor de grote contracten, ook werden uitgevoerd. De banken gaven wel aan zich zorgen te maken over de kwaliteit van de uitvoering ook voor de grote contracten. Hiernaast bleek dat de banken in de praktijk niet altijd goed zicht hadden op het bestaan en beheer van de minder grote contracten. Een goed overzicht van alle contracten bleek in de praktijk bij de banken te ontbreken. De banken gaven aan veel ruimte te zien voor verbetering voor de uitvoering van deze activiteiten. Hier wordt verder op ingegaan in paragraaf 4.5.

Performance Management

Contract Management

Vendor Development

Informed Buying

Analyseren en benchmarken van de markt van IT dienstverlening. Selecteren van sourcing strategie. Leiden van tender-, contract-, en servicelevel management processen. Periodiek onderzoeken van ontwikkelingen in de behoefte van de business en de wijze waarop de externe dienstverlener hier ook op termijn aan kan bijdragen.

TOPS\ IT S&S\ - CIO Office\ Sourcing & Vendor Management - IT Solutions & Int (SLM processen) - IT Services (SLM processen)

OAB\ Bedrijfsmanagement\ - Eenheid Facilities \ Rabobank Concern Inkoop

TOPS\ IT S&S\ - CIO Office\ Sourcing & Vendor Management

OAB \ Groep ICT\ - ADM\ PDS\ Vendor Management - IT Operations\ CC Leveranciersmanagement

Facilitairbedrijf - Concern inkoop\ IT inkoop

OAB \ Groep ICT\ - ADM\ PDS\ Vendor Management - IT Operations\ CC Leveranciersmanagement IT&C\ - I&O*\ BICKS** (*Infrasturcture & Operations) (** Begrotingen, Inhuur, Contractmanagement, Kwaliteitsmanagement en Software Delivery Support)

Onderhouden van relaties met potentiële externe dienstverleners. Definiëren van een procedure voor het overstappen naar andere externe dienstverlener. Opzetten & onderhouden van outsourcingscontracten. Definiëren van een procedure voor (prijs)aanpassingen. Monitoren prestaties externe dienstverleners t.o.v. contract en ontwikkelingen in de markt van performance standaarden. Periodieke evaluatie & rapportage naleving door de externe dienstverlener contract, SLA en andere governance documenten (formele afspraken). Dagelijks evalueren van prestaties services, functionaliteiten, ondersteunende diensten t.o.v. SLA’s. Periodieke evaluatie van de mate waarin wordt voldaan aan de behoefte van de business.

Activiteiten 1 t/m 3) TOPS\ IT S&S\ - CIO Office \ Sourcing & Vendor Management


(*Infrasturcture & Operations) (** Begrotingen, Inhuur, Contractmanagement, Kwaliteitsmanagement en Software Delivery Support)

Activiteit 4) TOPS\ IT S&S\ - CIO Office \ Sourcing & Vendor Management - IT Solutions Nederland - IT Solutions International - IT Services TOPS\ IT S&S\ - IT Solutions Nederland - IT Solutions International - IT Services - Chief Information Security Officer\ Security Operations

IT&C\ - I&O*\ BICKS**


IT&C\ - I&O*\ BICKS** (*Infrasturcture & Operations) (** Begrotingen, Inhuur, Contractmanagement, Kwaliteitsmanagement en Software Delivery Support)

Periodieke rapportage prestaties externe dienstverlener en de mate waarin de business behoefte worden vervuld.

Tabel 4-6 Vendor Management ABN AMRO, Rabobank en SNS REAAL 2013

In de praktijk bleken er twee uiterste vormen van inkopen te bestaan waarbij het verschil werd bepaald door de betrokkenheid of leidende rol van een centrale inkoopafdeling versus een vendor management afdeling die het gehele traject zelfstandig verzorgde. Het samen met de externe dienstverlener opzoek gaan naar win-win situaties gericht op zo’n lang mogelijke relatie bleek in de praktijk beperkt of niet uitgevoerd te worden. Het onderhouden van relaties met potentiële leveranciers bleek in de praktijk in beperkte mate

62

Resultaten

uitgevoerd te worden. Wat betreft overstapprocedures gaf slecht één bank aan overstapprocedures te hebben voor het eventueel overstappen van externe dienstverlener. Voor de onderdelen contracten performance management bevestigden de banken dat deze business-as-usual activiteiten waren voor in ieder geval de grote contracten. Het bestaan en beheer van de minder grote contracten bleek in de praktijk niet altijd even zichtbaar te zijn. De banken zagen ongeacht de omvang van de contracten veel ruimte voor verbetering van deze activiteiten.

4.3.6 Relationship Management

Escalation Management

Engagement Management

Relationship Building

Het onderdeel relationship building bleek bij de banken belegd te zijn. Bij SNS REAAL viel op dat dit uitgevoerd werd door de vendor management afdeling, terwijl het bij de andere banken uitgevoerd werd door een afdeling niet direct betrokken bij IT-outsourcing. Over het managen van de outsourcingrelatie (engagement management) gaf een vendor management afdeling aan dat deze activiteiten voor hen werden uitgevoerd door een andere afdeling. Een andere vendor management afdeling gaf aan dat de relaties nog onvoldoende gemanaged werden en dat dit centraal zou moeten gebeuren door een organisatie of afdeling met de juiste skills en expertise op dit terrein. Respondenten vanuit andere afdelingen of Lines of Defence gaven aan dat er veel goed ging tot het afsluiten van contracten, maar dat zij sterke twijfels hadden of en in welke mate hierna de relaties (en contracten) met de externe dienstverleners ook echt gemanaged werden. Op het gebied van escalation management gaven twee banken aan de activiteiten belegd te hebben en escalatie procedures beschikbaar te hebben per contract/leverancier. Hierbij werd door één bank wel opgemerkt dat dit betrekking had op de grote contracten.

Bevorderen van de samenwerking tussen gebruikers en IT specialisten

TOPS\ - IT S&S\ CIO Office\ Relationship Management

OAB \ Groep ICT \ - Klantencontact\ KIM (Klant Implementatie)

IT&C\ - I&O\ BICKS

TOPS\ IT S&S\ - CIO Office \ Sourcing & Vendor Management

OAB \ Groep ICT \ - ADM \ PDS* \ Vendor Management - IT Operations \ CC Leveranciersmanagement

IT&C\ - I&O\ BICKS

Borgen van de klanttevredenheid over IT dienstverlening

Managen van de outsourcing relatie met de externe dienstverlener (governance outsourcing relatie);

(*Professional Development Support)

Managen van interne/externe verwachtingen t.a.v. outsourcings-contract. Definiëren procedure voor het managen van issues, variations en disputes (met focus op relationele proces)

TOPS\ - IT S&S\ CIO Office\ Sourcing & Vendor Management

OAB \ Groep ICT \ - ADM\ PDS\ Vendor Management - IT Operations \ CC Leveranciersmanagement

Zorgen dat issues, variations, en disputes snel en rechtvaardig worden opgelost rekening houdend met de lange termijn relatie

IT&C\ - I&O*\ BICKS** (*Infrasturcture & Operations) (** Begrotingen, Inhuur, Contractmanagement, Kwaliteitsmanagement en Software Delivery Support)

Tabel 4-7 Relationship Management ABN AMRO, Rabobank en SNS REAAL 2013

De banken bleken over een afdeling te beschikken die gericht was op het bevorderen van begrip, vertrouwen en de samenwerking tussen eindgebruikers en IT specialisten (relationship management). In het praktijkonderzoek kon niet vastgesteld worden of de activiteiten gericht op het actief managen van de outsourcing relaties (engagement management) belegd waren en ook werden uitgevoerd. Op het gebied van escalation management gaven twee banken te beschikken over escalatie management procedures.

4.4 Three Lines of Defence In deze paragraaf worden de resultaten gepresenteerd voor het beantwoorden van de tweede deelvraag van het praktijkonderzoek. Deze deelvraag luidde: hoe is door de praktijkorganisatie invulling gegeven aan 3LoD voor IT? Deze deelvraag is gericht op het verkrijgen van een algemeen beeld van 3LoD in de praktijk

63

Resultaten

voor IT. Dit beeld is als kader gebruikt voor het onderzoeken van de laatste deelvraag welke in paragraaf 4.5 wordt behandeld. In paragraaf 4.4.1 en paragraaf 4.4.2 wordt als eerste een analyse op hoofdlijnen uitgevoerd van 3LoD in de praktijk. In paragraaf 4.4.3 wordt ingegaan op de specifieke invulling van IT en worden de overeenkomsten en verschillen tussen de banken vergeleken. Eventuele bijzonderheden of afwijkingen zijn genoemd, maar niet verder in het onderzoek meegenomen.

4.4.1 Implementatie & status 3LoD in de praktijk Op basis van de jaarverslagen (2012) van de betrokken banken is een overzicht gemaakt (tabel 4-8) van de invulling van de ‘Three Lines of Defence’ gedachte in de praktijk door deze banken. Uit de analyse van de jaarverslagen bleek dat drie banken aandacht besteden aan 3LoD in hun jaarverslag. De banken geven in jaarverslag een korte beschrijving (definitie) van de gedachte. ABN AMRO geeft hiernaast aan de afgelopen jaren 3LoD geïmplementeerd te hebben. Verder geeft zij aan continue te blijven investeren in educatie over 3LoD beginselen met als doel het risicobewustzijn van de medewerkers binnen alle niveaus van de organisatie te verhogen. SNS REAAL geeft aan 3LoD geïmplementeerd te hebben. SNS REAAL doet verder geen specifieke mededeling in jaarverslag over (de implementatie van) 3LOD binnen haar organisatie. Rabobank meldt in haar jaarverslag dat 3LoD van toepassing is binnen haar organisatie. Verder geeft Rabobank aan dat de leden van audit, compliance & risk comité (ACRC) in 2012 in het kader van permanente educatie in diverse sessie hebben laten informeren over o.a. de werking en ontwikkeling van risicomanagement waaronder het ‘three lines of defence model’. De betrokken banken besteden aandacht aan (het begrip) 3LoD in hun jaarverslag. Uit deze jaarverslagen wordt geconcludeerd dat de banken 3LoD geïmplementeerd dan wel toegepast hebben binnen hun organisaties. ABN AMRO geeft aan continue te blijven investeren in educatie over 3LoD beginselen voor alle medewerkers. Bij de Rabobank heeft een specifieke groep in 2012 een training gevolgd op dit gebied. SNS REAAL en Rabobank doen geen uitspraken over toekomstige investeringen in 3LoD binnen hun organisatie.

4.4.2 Overeenkomsten & verschillen 3LoD in de praktijk De analyse van 3LoD bij banken (tabel 4-8) is in dit onderzoek gebruikt als kader voor de analyse van de invulling van 3LoD voor IT en uiteindelijk voor IT-outsourcing. In dit onderzoek is geen diepgaande analyse gemaakt van de overeenkomsten en verschillen tussen de organisatiebrede implementatie van 3LoD bij de banken. Een dergelijke analyse kan niet uitsluitend gebaseerd zijn op jaarverslagen en is bovendien in het kader van dit onderzoek niet nodig. Wel is op hoofdlijnen een analyse gemaakt van de overeenkomsten en verschillen. Hierbij is uitsluitend gekeken naar de randvoorwaarden voor een effectieve invulling van 3LoD. Voor deze vergelijking is gebruik gemaakt van het raamwerk ‘taken en randvoorwaarden 3LoD’ welke in bijlage 5 is opgenomen. Rabobank geeft in haar jaarverslag aan dat 3LoD binnen de organisatie van toepassing is om aan de doelstellingen van operationeel risicomanagement invulling te geven (p. 63). Rabobank geeft een afbakening – operationele risico’s – van 3LoD binnen hun organisatie. Operationeel risico wordt gedefinieerd als het risico van verliezen veroorzaakt door ontoereikende of falende interne processen, mensen en systemen of door externe gebeurtenissen.

64

Resultaten

Operational Management

Door het topmanagement vastgestelde organisatiedoelstellingen, strategie voor het behalen van deze doelstellingen en governance structuur.

Door het topmanagement bepaalde risicofilosofie en risk appetite als basis voor de wijze waarop risico en controle worden bezien en geadresseerd door de in de onderneming werkzame personen.

Risk Management, Compliance & Controllership Functions

Functies bestaande uit toereikend aantal medewerkers met risk management expertise (en business kennis) om effectief de vele verantwoordelijkheden uit te kunnen voeren.

Controlerende functies gescheiden van de uitvoerende (risico genererende) functies (functiescheiding).

Internal Audit

Controletechnische gescheiden functies met onafhankelijke rapportagestructuur van de risico genererende functies.

Binnen de organisatie werkzame functie die onafhankelijk is gepositioneerd. (Niet betrokken bij de ontwikkeling, implementatie en onderhoud van risico management maatregelen / risk management framework).

Het hoofd interne audit rapporteert aan de voorzitter van het bestuur en heeft een rapportagelijn naar de voorzitter van de auditcommissie. Handelend conform internationale standaarden voor internal auditing.

The Managing Board is ultimately responsible for a balanced assessment between the commercial interests of the bank and the risks to be taken within the boundaries of the risk appetite (p.134) Management within each business is primarily responsible for the risk that it takes the results, execution, compliance and effectiveness of risk control (p. 133).

Het operationeel risicobeleid is gebaseerd op het principe dat de primaire verantwoordelijkheid voor het management van operationeel risico bij de groepsonderdelen ligt en verweven moet zijn in de strategische en dagelijkse besluitvorming (p. 63).

Ondernemen gaat gepaard met het nemen van risico’s en vraagt om een consistente en transparante beoordeling van kansen en risico’s, gericht op groei en continuïteit van de onderneming. De Raad van Bestuur van SNS REAAL heeft kaders vastgesteld voor directies van de bedrijfsonderdelen om deze beoordelingen in goede banen te leiden (p. 236).

A moderate risk profile is one of the most important pillars of ABN AMRO’s current strategy. By maintaining a moderate risk profile, the bank aims to strike a clear balance between risks and return (p. 131).

De Rabobank Groep voert een prudent risicobeleid, dat gericht is op een gematigd risicoprofiel. (p. 53)

De directies van de bedrijfsonderdelen zijn verantwoordelijk voor de dagelijkse bedrijfsvoering binnen deze kaders… (p. 236)

De Rabobank is continu bezig met het identificeren en managen van de risico’s voor haar organisatie. Dit heeft mede geleid tot een integraal risicomanagementmodel. Onderdeel hiervan vormt de risicomanagementcyclus; het bepalen van de risk appetite, het opstellen van integrale risicoanalyses - zowel top-down als bottom -up, per groepsonderdeel en voor de groep als geheel en het meten en monitoren van risico’s (p. 54).

De belangrijkste kaders zijn (2 van de 5):

The risk appetite is an integral part of the bank’s corporate strategy and is in line with a moderate risk profile. The risk appetite specifies how ABN AMRO deploys its overall risk-taking capacity for each risk type and sets limits, at bank or business line level. The risk appetite is monitored monthly by benchmarking the actual and forecasted risk profiles against the risk appetite (p.133). When a risk factor is near to or in excess of its threshold, corrective actions are defined and approved at the appropriate decision-making level in accordance with the risk governance (p.133).

Hierbij hanteert de Rabobank een risicostrategie die gericht is op de continuïteit en die is toegespitst op bescherming van de winst, behoud van solide balansverhoudingen en bescherming van de identiteit en reputatie.

Risk control functions are responsible for setting frameworks, rules and advice, and monitoring and reporting on execution, management, and risk control. The second line ensures that the first line takes risk ownership and has approval authority on credit proposals above a certain threshold (p. 133).

De risicomanagementfuncties binnen de groepsonderdelen en binnen Group Risk Management vormen samen de ‘second line of defence’ (p. 63).

To ensure proper roll-out of the framework for operational risk management, Risk Management monitors the execution of all operational risk programmes. Moreover, operational risk exposures are analysed and reported to (senior) management to support decision-making. Risk monitors the follow-up to the actions plans (if deemed necessary) (p. 180).

Group Risk Management is verantwoordelijk voor het groepsbeeld en het uitdagen van de groepsonderdelen en lokale riskmanagementfuncties over hun risicomanagement (p. 64).

The Managing Board establishes clear lines of responsibility and authority within the bank to ensure a sound risk governance. In the risk decision framework, the Managing Board is supported by three executive risk committees…., each of which is (jointly) chaired by a member of the Managing Board. The Managing Board itself takes decisions that are of material significance to the risk profile, capital allocation and liquidity of ABN AMRO.

Group Audit evaluates the effectiveness of the governance, risk management and control processes and recommends solutions for optimising them. Group Audit coordinates matters with the external auditor and the DNB (p. 133).

De risicomanagementfunctie binnen de groepsonderdelen heeft een rol als adviseur op het gebied van risico’s en daagt de ‘first line of defence’ uit over de wijze van het managen van risico’s binnen het groepsonderdeel (p. 64).

Op groepsniveau is de Operational Risk Committee verantwoordelijk voor het vaststellen van het beleid en de kaders. Daarnaast rapporteert Group Risk Management per kwartaal over de ontwikkeling van de operationele risico’s op groepsniveau (p. 64). Binnen de groepsonderdelen zijn risicomanagementcommissies ingesteld die onder andere de operationele risico’s, inclusief business continuïteitsrisico’s en frauderisico’s, van het betreffende onderdeel identificeren, managen en bewaken. Verder zijn er productgoedkeuringscommissies ingesteld op diverse niveaus binnen (p. 64).

Internal audit op groepsniveau en binnen de groeponderdelen vormt de ‘third line of defence’ (p. 64). Op het gebied van audit maakt de raad van bestuur gebruik van het onafhankelijk gepositioneerde directoraat Audit Rabobank Groep. Die verricht op basis van een uitgebreide risicoanalyse en een daarvan afgeleid auditplan jaarlijks audit-werkzaamheden om te toetsen of de interne beheersing en het risicomanagement op orde zijn (p. 97).

Group Audit reports to the Chairman of the Managing Board, and the head of Group Audit has direct access to the Chairman of the Audit Committee (p. 106).

De directeur rapporteert rechtstreeks aan de voorzitter van de raad van bestuur en heeft een directe rapportagelijn naar (de voorzitter van) het audit, compliance & risk committee van de raad van commissarissen (p. 97).

International Professional Practices Framework (IPPF) van het ‘The Institute of Internal Auditors’ (IIA).

International Professional Practices Framework (IPPF) van het ‘The Institute of Internal Auditors’ (IIA).

De strategie en strategische risicoanalyses, om richting te geven aan de activiteiten van de bedrijfsonderdelen en van de organisatie als geheel. De risicobereidheid en het hiervan afgeleide risicoprofiel dat limieten bevat voor het nemen van risico en de beheersing met inachtneming van de op SNS REAAL van toepassing zijnde kapitaalvereisten en andere weten regelgeving.

De tweede lijn wordt gevormd door de risicobeheerafdelingen, die de eerste lijn ondersteunen bij het onderkennen en monitoren van risicoposities, het formuleren van beleid en die een bewakende functie hebben van relevante risicoposities en de kwaliteit van risicobeheersing (p. 229).

…GRC het hoogste aan de Raad van Bestuur rapporterende en primair kaderstellend orgaan voor risicobeheersing is. De Chief Financial Officer van SNS REAAL is tevens Chief Risk Officer. Binnen de Raad van Bestuur en de directies van de drie bedrijfsonderdelen zijn risico-eigenaren aangewezen. Deze eigenaren zijn ieder voor zich verantwoordelijk voor de formulering en uitvoering van het risicobeleid op de toegewezen aandachtsgebieden (p. 230).De binnen SNS REAAL ingestelde risicocomités zijn uitvoerend en waar nodig kaderstellend binnen het mandaat vanuit het GRC… Om efficiëntie en uniformiteit te bevorderen adviseren de risicobeheerafdelingen over het risicobeheer en rapporteren zij over het risicoprofiel. Zij fungeren als gemeenschappelijke servicecentra voor de bank en verzekeraar en zijn verantwoordelijk voor het modelleren, meten, monitoren, rapporteren en adviseren van risico’s. Group Audit voert haar onderzoeken primair uit … op basis van een dynamische risicoanalyse ….Deze onderzoeken zijn gericht op het interne risicobeheer- en controlesysteem, de hiermee verbonden verwerkingsprocessen en de (betrouwbaarheid van de) managementinformatie. Aanvullend is Group Audit verantwoordelijk voor de uitvoering van verbijzonderde interne controle-werkzaamheden ten behoeve van de Business Unit-directies en het lijnmanagement. Deze onderzoeken richten zich op de (permanente) werking van de in procedures opgenomen beheersmaatregelen. Tevens worden op verzoek van de directies verschillende soorten audits…(p. 234). Group Audit (GA) ressorteert onder de voorzitter van de Raad van Bestuur en heeft tevens een rapportagelijn met de Audit Commissie van de Raad van Commissarissen. Op deze wijze is deze afdeling in staat de werkzaamheden onafhankelijk te verrichten ten opzichte van de bedrijfsonderdelen en de afdelingen van SNS REAAL (p. 234). International Professional Practices Framework (IPPF) van het ‘The Institute of Internal Auditors’ (IIA).

Tabel 4-8 Invulling 3LoD randvoorwaarden ABN AMRO, Rabobank en SNS REAAL 2013

65

Resultaten

Een dergelijke afbakening van het begrip risico’s voor 3LoD is niet gevonden in de jaarverslagen van de andere twee banken. ABN AMRO geeft in haar jaarverslag aan dat de bank risico’s managet en beheerst volgens het 3LoD model (p. 133). ABN AMRO geeft geen afbakening van het begrip risico in relatie tot 3LoD. SNS REAAL geeft aan dat de invulling van verantwoordelijkheden voor risicobeheer gebaseerd is op het binnen de financiële sector als best practice gehanteerde 3LoD model (p. 229). SNS REAAL geeft verder ook geen afbakening van het begrip risico in relatie tot 3LoD. Als er gekeken wordt naar de randvoorwaarden voor de 1st LoD dan valt op dat SNS REAAL wel de ontwikkelingen beschrijft in het risicoprofiel maar niet aangeeft wat het gewenste risicoprofiel zou moeten zijn. De andere banken geven bijvoorbeeld aan dat hun risicobeleid gericht is op een gematigd risicoprofiel. Binnen SNS REAAL zou er sprake kunnen zijn van een sterk gemixt risicoprofiel en dat de profielen per onderdeel (merk) worden bepaald. Voor het effectief functioneren van de eerste lijn is echter wel van belang dat het risicoprofiel en dus de limieten voor het nemen van risico’s en de beheersing voor de medewerkers op alle niveaus bekend en duidelijk is. De banken geven in hun jaarverslag een beschrijving van de rol van de 2nd LoD en haar verantwoordelijkheden. De beschrijvingen blijken niet helemaal overeen te komen. ABN AMRO en SNS REAAL noemen een taak op het gebied van formuleren van beleid, welke niet door de Rabobank wordt genoemd. Rabobank en ABN AMRO zien de 2nd LoD als adviseur voor de 1st LoD terwijl SNS REAAL spreekt over het ondersteunen van de 1st LoD. ABN AMRO en SNS REAAL spreken over een monitoring taak, terwijl de Rabobank het uitdagen van de 1st LoD noemt. De verschillen in de beschrijvingen hoeven in de praktijk niet te betekenen dat er ook echt verschillen zijn. Naast verschillen in de beschrijvingen zijn er ook overeenkomsten gevonden. Uit de beschrijvingen is de hybride functie van de 2nd LoD duidelijk af te leiden waarbij de 2nd LoD in haar adviserende rol samenwerkt met de 1st LoD en tegelijkertijd de 1st LoD uitdaagt en daarover rapporteert. De onafhankelijkheid van de 2nd LoD functies en de kwaliteit van het uitdagen van de 1st LoD blijkt uit de jaarverslagen in de praktijk gewaarborgd te worden door een centrale risk afdeling. De eindverantwoordelijkheid voor het risicobeleid blijkt binnen de Rabobank en SNS REAAL belegd te zijn bij de Chief Financial Officer. Bij ABN AMRO is dit belegd bij de Chief Risk Officer and Strategy. De invulling van de derdelijn blijkt grotendeels bepaald te worden door de Code Banken. De banken schenken in hun jaarverslag hier uitgebreid aandacht aan. Code Banken is op 9 september 2009 vastgesteld door de Nederlandse Vereniging van Banken (NVB) en op 1 januari 2010 in werking getreden. De Code Banken maakt deel uit van een stelsel van nationale, Europese en internationale weten regelgeving, jurisprudentie en codes, dat deels nog in ontwikkeling is. Bij de toepassing van de Code Banken dienen banken met het volledige kader rekening te houden. Bij SNS REAAL valt op dat zij naast assurance ook interne controle (IC) werkzaamheden uitvoeren. De interne audit afdeling van SNS REAAL blijkt dus zowel een 2nd LoD functie als 3rd LoD functie te vervullen. In de interviews is dit ook bevestigd. Een aantal jaren geleden is dit met goedkeuring van de DNB de Interne Controle functie en Group Audit samengevoegd. De interne audit functie maakt onderscheidt tussen deze activiteiten door te werken met twee typen rapporteren. Hierbij wordt het ene type rapport gebruikt voor onderzoek naar opzet en het andere voor onderzoek naar bestaan en werking. Uit de jaarverslagen kan geconcludeerd worden dat er op hoofdlijnen een aantal verschillen bestaan tussen de banken wat betreft de invulling van 3LoD. Zo blijkt er een verschil te bestaan tussen de reikwijdte van 3LoD binnen de banken. Bij de Rabobank wordt, in tegenstelling tot de andere twee banken, 3LoD alleen ingezet ten behoeve van het vervullen van operationeel risicomanagement doelstellingen. Bij SNS REAAL valt op dat het gewenste risicoprofiel niet genoemd is in het jaarverslag zoals dit wel door de andere twee banken is gedaan. Wat de betreft de invulling van de 2nd LoD zijn er verschillen in de beschrijvingen van de verantwoordelijkheden, hetgeen niet hoeft te betekenen dat er in de praktijk ook verschillen zijn. Dit punt is nader bekeken voor IT bij de analyse van 3LoD en IT. Het hybride karakter van

66

Resultaten

de 2nd LoD blijkt ook duidelijk uit de omschrijvingen. De invulling/voorwaarden voor de 3rd LoD blijkt grotendeels bepaald te worden door weten regelgeving. Bij SNS REAAL valt tenslotte op dat de internal audit afdeling zowel 2nd LoD als 3rd LoD activiteiten uitvoert.

4.4.3 IT & 3LoD in de praktijk Op basis van de interviews is een analyse gemaakt van invulling van 3LoD in de praktijk voor IT activiteiten. Per LoD is een vergelijking gemaakt van de activiteiten. Deze vergelijking is gebaseerd op de indeling ‘activiteiten 3LoD’ welke in paragraaf 2.6.4 is ontwikkeld. De in paragraaf 2.6.3 gedefinieerde risico’s van 3LoD zijn bij deze analyse meegenomen.

1st LoD voor IT in de praktijk

Operational Management

Het eigenaarschap van IT gerelateerde risico’s bleek uit de interviews belegd te zijn bij de 1st LoD. De 1st LoD was zelfstandig verantwoordelijk voor het aangaan en de gevolgen van risico’s. De 1st LoD was ook primair verantwoordelijk voor het proces van het inventariseren van risico’s, beoordelen van het risicoprofiel, toepassen van risicomanagementstrategieën, inrichting beheersingsprocessen, monitoren en continue verbeteren van het risicomanagementproces. In de praktijk werden echter wel een aantal 1st LoD taken (inventariseren risico’s en beoordelen van het risicoprofiel) voor bepaalde onderwerpen gedelegeerd binnen de 1st LoD aan gespecialiseerde afdelingen. Bij ABN AMRO werden bijvoorbeeld taken op het gebied van de informatiebeveiliging, door IT en de bank als geheel, gedelegeerd aan een gespecialiseerde afdeling (CISO). Ook bij SNS REAAL werden 1st LoD taken op het gebied van de informatiebeveiliging gedelegeerd aan een gespecialiseerde afdeling (Architectuur & Beleid). Deze gespecialiseerde afdelingen bleken hiernaast ook 2e LoD taken uit te voeren.

Zorg dragen voor het geheel van maatregelen dat redelijke zekerheid moet bieden dat de door het management gestelde doelen worden bereikt. Inventariseren risico’s, beoordelen risicoprofiel en toepassen risicomanagementstrategie Leiden van de ontwikkeling en implementatie van interne richtlijnen en procedures Toezicht op naleving richtlijnen en procedures

Monitoren falende controls, ineffectieve processen en onverwachte gebeurtenissen

TOPS\ - IT S&S\ CIO Office - IT S&S\IT Solutions Nederland - IT S&S\ IT Solutions International - IT S&S\ IT Services - IT S&S\ Chief Information Security Officer - COO De Business Lines vormen de eerstelijn (Risk Ownership) en zijn zelf verantwoordelijk voor het identificeren en aangaan van risico’s, de resultaten, de uitvoering, compliance en effectiviteit van de risicobeheersing. Iedere Business Line zorgt zelf voor informatie om aan te tonen dat de genomen risico’s worden beheerst (Jaarverslag, 2012). 1st LoD voert periodiek (tenminste jaarlijks) een beoordeling uit van IT gerelateerde controls (Information Security, Cobit, etc). Deze controls en beoordeling worden vastgelegd in Invision. Zij zijn zelf ook verantwoordelijk voor de monitoring (1st LoD control monitoring). CISO organisatie voert periodiek risico assessments uit en andere 1st lijns activiteiten. CISO voert hiernaast ook 2nd LoD IS gerelateerde activiteiten uit.

OAB \ Groep ICT \ - Application Development Maintenance - IT Operations - Klantencontact - IBA De groepsonderdelen vormen de ‘first line of defence’. Deze zijn volledig verantwoordelijk voor de dagelijkse risicoacceptatie, integraal risicomanagement en –mitigatie binnen de vastgestelde risk appetite (Jaarverslag, 2012). Dit houdt in dat zij zelf verantwoordelijk zijn voor het identificeren, beoordelen, beheersen en mitigeren van risico’s. Verder zijn zij ook zelf verantwoordelijk voor de implementatie van interne richtlijnen en procedures en controle op naleving van richtlijnen en procedures. Falende controls en ineffectieve processen worden ook door de onderdelen zelf gemonitord. De afdeling IT Security & Control (onderdeel van IT Operations) is op operationeel niveau betrokken bij information security testen, monitoren van de systemen, key management, patchmanagement ed.

IT & Change \ - Verander- & Ontwikkelbedrijf Bank - Verander- & Ontwikkelbedrijf Verzekeraar - Verander- & Ontwikkelbedrijf Groepsstaven - Infrastructuur & Operations - Architectuur & Beleid\Informatie Beveiliging (IB) De eerste lijn betreft de lijnorganisatie, verantwoordelijk voor het risico en de besturing hiervan (Jaarverslag, 2012). De onderdelen zijn zelf verantwoordelijk voor het identificeren, beoordelen, beheersen en mitigeren van risico’s. De onderdelen zijn ook verantwoordelijk voor de implementatie van interne richtlijnen en procedures en controle op naleving van richtlijnen en procedures. Falende controls en ineffectieve processen worden ook door de onderdelen zelf gemonitord. Het onderdeel IB voert ook zelf risicoanalyses uit en faciliteert in risk assessments van IT en de business. IB voert zowel tweedelijns als eerstelijns taken uit.

Tabel 4-9 1st LoD IT ABN AMRO, Rabobank en SNS REAAL 2013

In het praktijkonderzoek is niet verder ingegaan op de werking van de 1st LoD. Echter als er gekeken wordt naar het risico van risk ownership van 3LoD (hoofdstuk 2.6.3) dan is het interessant om te onderzoeken in hoeverre risicobeheer van IT risico’s in de praktijk gezien wordt als taak van specialisten waarbij 1st LoD afdelingen op elkaar gaan vertrouwen en er discussie kan ontstaan over het eigenaarschap van risico’s. Bij IT blijkt uit de praktijk immers sprake te zijn van meerdere partijen die gezamenlijk taken en verantwoordelijkheden op het gebied van risicomanagement (zie ERMplus in paragraaf 2.6.4) uitvoeren. De verantwoordelijkheid voor het aangaan en de gevolgen van risico’s (risk ownership) kunnen dan wel

67

Resultaten

formeel belegd worden bij één partij, maar of dit ook zo wordt ervaren en wat dit in de praktijk betekend voor de effectiviteit van risicobeheersing is nog de vraag. Hiernaast is het nog de vraag in hoeverre de afbakening van taken duidelijk is. Het bestaan van grijze gebieden vooral bij de afdelingen die eerste- en tweedelijnsfuncties uitvoeren maakt de analyse en praktische invulling van 3LoD niet gemakkelijk. Voorbeelden hiervan zijn architectuur, policy management en informatiemanagement.

2nd LoD voor IT in de praktijk De 2nd LoD van de banken, met een focus op IT gerelateerde risico’s, bestond bij de banken uit een aantal risicomanagementafdelingen. De meerderheid van deze afdelingen was onderdeel van de IT organisatie. Enkele uitzonderingen hierop betroffen de interne controlefunctie van SNS REAAL die belegd was binnen de interne auditfunctie en een operationalrisk afdeling binnen ABN AMRO die geen onderdeel uitmaakte van de IT organisatie maar wel belegd was binnen dezelfde business unit (TOPS). Bij de Rabobank waren de 2nd LoD risicomanagementafdelingen belegd binnen één onderdeel van de organisatie (Groep ICT), ABN AMRO twee onderdelen (TOPS\Business Management en TOPS\IT S&S) en SNS REAAL drie onderdelen (Group Audit, IT&C, CV&O). De 2nd LoD van de banken vervulden in algemene zin coördinerende en stimulerende taken op het gebied van risicomanagement. 2nd LoD adviseerde de business en IT over de implementatie van risicomitigerende maatregelen. De coördinerende taak van 2nd LoD had betrekking op het onderhouden van relaties met en het zorgen voor de informatieverschaffing aan de centrale riskmanagementafdeling, interne audit afdeling en externe toezichthouders. De 2nd LoD had ook een kaderstellende taak voor de groep en een beleidsmakende taak voor het IT bedrijfsonderdeel. De 2nd LoD keek ook vooruit op gebied van ontwikkelingen in IT (security) risico’s en adviseerde de 1st LoD hierover. Tevens verzorgde zij ook trainingen op het gebied van risicomanagement en IT (informatiebeveiliging) onderwerpen. Het uitdagen van de 1st LoD bleek in de praktijk ook één van de kerntaken te zijn van de 2nd LoD. Onder uitdagen werd door de banken verstaan het bewaken dat de 1st LoD haar verantwoordelijkheden op het gebied risicomanagement ook neemt. In de praktijk bleek het in algemene zin te gaan over het bewaken van de uivoering van risicomanagement taken door de 1st LoD (bijvoorbeeld uitvoeren van self assessments), maar hiernaast vooral ook opvolging van adviezen van de 2nd LoD door de 1st LoD. De adviezen hadden betrekking op de resultaten van de interne controle (IC) onderzoeken uitgevoerd door 2nd LoD en opvolging van tekortkomingen geconstateerd door de 2nd Lod op het gebied van naleving beleid en/of weten regelgeving. De adviezen van de 2nd LoD mochten niet als vrijblijvend worden opgevat. Deze adviezen hadden een dwingend karakter, waarbij indien nodig ook werd geëscaleerd. Niet alle adviezen van de 2nd LoD werden overigens in de praktijk gemonitord. Rabobank gaf aan een monitoringfunctie ingericht te hebben voor adviezen waarvoor een bepaalde ‘aantoonbaarheidsbehoefte’ geldt. Deze behoefte was in het beleid van de bank per beleidsregel vastgelegd. Bij ABN AMRO werden alleen adviezen gemonitord die betrekking hadden op applicaties in scope van bepaalde bankbrede onderwerpen (AMA (Basel) en financial risk reporting (FRR)). SNS REAAL gaf aan op structurele basis de challenge rol te vervullen. In het onderzoek is voor SNS REAAL niet duidelijk geworden wat als basis diende om adviezen wel of niet te monitoren. De 2nd LoD van de banken beschikten over tooling om de opvolging van de adviezen structureel te bewaken. Rabobank gaf aan de adviezen van de 2nd LoD in één centrale tool vast te leggen. ABN AMRO beschikte over meerdere systemen. SNS REAAL gaf aan de adviezen op te slaan in een risklog van de afdeling Architectuur en Beleid.

68

Resultaten

*TOPS\ - Business Management\ BRO TOPS - IT S&S\ Chief Information Security Officer \Information Security Risk Management

Ondersteunen van het management bij de ontwikkeling en implementatie van processen en controls voor het managen van risico’s en issues (advies en training).

Risk Management, Compliance & Controllership Functions

Toezicht op implementatie van effectieve risk management maatregelen door de 1st LoD, naleving van weten regelgeving en het tijdig oppakken van tekortkomingen (uitdagen).

Continue monitoren van de deugdelijkheid en effectiviteit van interne controls, kwaliteit van de input van de interne controls en nauwkeurigheid en volledigheid van rapportages (testen).

BRO TOPS ondersteunt, levert kennis en ervaring aan de business (en IT) voor de uitvoering van risk en control activiteiten en zorgt voor het beleidsraamwerk en de beleidsmanagement processen. Tevens verzorgt zij ook trainingen op dit gebied. CISO is gericht op Information Security en Business Continuity Management. Het onderdeel ISRM, onderdeel van 2nd LoD, levert strategisch advies, framework en policies om information security risico’s te beheersen. TOPS\ - BM\ BRO TOPS\ Risk A&A\ORM IT S&S, COO and SIM - IT S&S\ CISO\ ISRM ORM monitort de uitvoering van self assessments door 1st LoD en opvolging van acties door 1st LoD zoals vastgelegd in Forte. Hiernaast worden er nog andere risk zaken gemonitord buiten de self assessments die ook in Forte worden opgeslagen. ISRM is verantwoordelijk voor het leveren van een compleet overzicht van de information security risico’s van ABN AMRO. De overige activiteiten betreffen het toezien en aanspreken op en rapporteren over groepsbrede Information Security issues. Deze issues worden door ISRM in eigen tooling opgeslagen. TOPS\ - BM\ BRO TOPS\ Risk A&A\ IC - IT S&S\ CISO\ ISRM\ Risk Management Services\ IC BRO TOPS en ISRM beschikken beide over een IC afdeling: ISRM voor de IS controls en BRO TOPS voor de IT controls. De IC afdelingen geven een onafhankelijke beoordeling over het bestaan en de effectiviteit van controles vastgelegd in het RCF voor de applicaties in scope van AMA en FRR en waarop een self assessment door de 1st LoD is uitgevoerd. Hierbij wordt gekeken naar de opzet en bestaan van controls en naar de effectiviteit. Hiernaast wordt ook door de IC afdelingen van de kwaliteit van de self assessments beoordeeld. De IC rapporten worden gebruikt om controls van de 1st lijn te verbeteren. En dienen als input voor het ORM/ISRM overview van risico’s. De bevindingen en overeengekomen follow up uit IC rapporten worden in het centrale issue tracking systeem (Forte) vastgelegd. De issues in dit systeem worden met zowel interne als externe partijen gedeeld (external audit, DNB). TOPS\ - BM\ BRO TOPS\ Risk A&A\ ORM IT S&S, COO and SIM

(Opzetten van een) Risk Management Framework (consolidated reporting)

TOPS heeft meerdere RCF’s. In de RCF’s vindt registratie plaats van processen, processtappen, risico’s, risk response, (key) controls en de effectiviteit van deze controls; laat de risico’s zien die een bedreiging vormen in de realisatie van de procesdoelstellingen en de daarbij behorende controls; is de basis voor de diverse in- en externe risk rapporten en onderzoeken. De IT gerelateerde input voor de RCF komt vanuit self assessments van de 1st LoD controls dit geldt alleen voor AMA en Financial Risk Reporting applictaies. Er bestaan verschillende sets aan controls (Cobit, Information Security (IS), IT NL, IS International), Deze resultaten worden in Invision opgeslagen (later in Bwise). Eén van de controls is ook de uitvoering van risk assessments. Hiervoor wordt een verwijzing gemaakt vanuit de RCF tool naar de information security asessments, niet de andere risk assessments. De resultaten van de IC’s (2nd LoD testing) worden niet in de RCF meegenomen

OAB\Groep ICT\ ICT Beleid & Architectuur (IBA) IBA geeft visie en richting aan ICT binnen de Rabobank Groep en is verantwoordelijk voor de continuïteit en voorwaarden voor innovatieve slagkracht. IBA heeft een kader stellende taak voor de Rabobank groep en beleid makende rol en adviesfunctie voor Groep ICT. Hiernaast heeft zij ook een signalerende functie inzake naleving adviezen.

OAB \ Groep ICT \ IBA\ - Information Security & Risk Management (IRM) IRM heeft een monitoring functie ingericht op het opvolgen van hun adviezen over de implementatie van risicomitigerende maatregelen. Dit betreffen alleen de adviezen die betrekking hebben op beleid waarvan de bank vindt dat de uitvoering aantoonbaar moet zijn. Deze ‘aantoonbaarheidsbehoefte’ is ook weer in het beleid aangegeven. Deze adviezen hebben dwingend karakter en worden in het uiterste geval kracht bijgezet door escalaties in de lijn. Deze monitoring functie wordt ondersteund door tooling. OAB \ Groep ICT\ IBA\ - Information Security & Risk Management (IRM) - Control & Compliance (C&C) C&C voert periodiek ICT health checks uit waarmee de controls van de systemen en processen worden beoordeeld op basis van de richtlijnen. C&C rapporteert aan Group Risk Management over de ICT health checks resultaten. IRM ontvangt resultaten van de self assessments van alle afdelingen. IRM beoordeelt deze samen met CC. Indien er twijfels zijn over de resultaten dan worden deze nader onderzocht. IRM en C&C toetsen het risicobeeld van de groep ICT aan de risk appetite. IRM rapporteert op kwartaalbasis over de self assessments van alle afdelingen met haar opmerkingen over de uitvoering van de assessment aan MT Groep ICT. CIO Groep ICT rapporteert aan RvB

OAB \ Groep ICT \ IBA - Control & Compliance (C&C) Groep ICT heeft een eigen Risk control framework. In het framework worden de volgende onderwerpen meegenomen: operational risk management, BCM en information security. Beide IT onderdelen ( ADM en IT Operations) hebben een eigen interne controle waarin e.e.a. bemeten wordt. Hiernaast wordt er jaarlijks een ICT health check uitgevoerd. De input voor het framework komt zowel uit de self assessments als uit de ICT health checks. In de RCF is per onderwerp het beleid gedefinieerd. Hier is ook afhankelijk van de Beschikbaarheid Integriteit en Vertrouwelijkheid (BIV) classificatie vastgelegd of een bepaalde regel als ‘guideline’ dient of standaard verplicht is; ambition/comply betreft en aantoonbaarheidsbehoefte van toepassing is. De output van de RCF wordt verstuurd naar het lijnmanagement, systeemeigenaren en RvB. C&C verzorgt hiernaast ook de rapportage aan Group Risk Management.

IT&C\ Architectuur & Beleid Compliance Veiligheidszaken & Operationeel Risicomanagement A&B is kaderstellend, adviserend en sturend. Ook ondersteunt zij de eerste lijn op het gebied van risk managementactiviteiten. Zij verzorgt hiernaast ook trainingen opleidingen op het gebied van informatiebeveiliging. CV&O heeft een coördinerende en stimulerende taak tav beheersing operationele risico’s muv IT risico’s. IB voert soms ook samen met GA onderzoeken uit, bijvoorbeeld als dat qua beschikbare capaciteit en/of expertise efficiency voordelen biedt. IT&C\ Architectuur & Beleid - Informatie Beveiliging (IB) Compliance Veiligheidszaken & Operationeel Risicomanagement IB vervult een challenge rol en daagt de business waar nodig uit door te wijzen op risico’s. Indien nodig wordt er ook geëscaleerd. De challenge rol wordt op structurele basis uitgevoerd. Enkele voorbeelden zijn op het gebied van telefonie, aanvragen domeinen (ongevraagde adviezen), communicatie naar derde partijen, BIV classificatie op documenten. Deze actiepunten worden echter niet in centrale tooling (Bwise) opgeslagen. IT&C\ Architectuur & Beleid - Informatie Beveiliging (IB) Compliance Veiligheidszaken & Operationeel Risicomanagement Group Audit IB ontvangt per kwartaal resultaten van de key control testen (self assessments) door de eerste lijn. De key controls zijn samen door IB en de proceseigenaren vastgesteld. Voorbeelden hiervan zijn of alle backups succesvol hebben gedraaid, het security beleid up-to-date is etc. Indien er twijfels zijn over de resultaten dan worden deze nader onderzocht. IB rapporteert over deze testen in het directieoverleg van IT&C. Hiernaast maakt zij ook een highlight rapportage voor de top 100 van SNS REAAL op basis van de testen en geconstateerde incidenten. GA voert periodiek een re-performance testen uit op de self assessments van de eerste lijn en controleert de kwaliteit van de input van de self assessments. IT&C\ Architectuur & Beleid - Informatie Beveiliging (IB) Compliance Veiligheidszaken & Operationeel Risicomanagement SNS REAAL heeft een proces ingericht om halfjaarlijks vast te stellen in hoeverre de directies van ieder bedrijfsonderdeel wezenlijke risico’s beheersen. Het gaat hierbij in het bijzonder om de discussie tussen de managementlagen over de risico’s in de bedrijfsvoering en de maatregelen die zijn getroffen voor de beheersing van deze risico’s. Belangrijke input hiervoor zijn de periodieke in-control verklaringen per bedrijfsonderdeel. Voor IT & Change zorgen IB en CV&O samen voor deze verklaring. IB bereidt samen met CV&O een halfjaarlijks risico analyse voor ten behoeve van de ‘In Control Verklaring’. Zij faciliteren de analyse sessie en zorgen samen voor een verslag. De sessie gaat in twee delen. Eerst een directeur met zijn/haar hoofden (duurt een uur), daarna worden de resultaten besproken in het directieoverleg (duurt ruim drie uur) met als agenda auditresultaten en de openstaande actiepunten en ruimte voor eigen inbreng.

Tabel 4-10 2nd LoD IT ABN AMRO, Rabobank en SNS REAAL 2013 Lees *: Binnen ABN AMRO bestaat de tweede lijn voor IT naast de genoemde partijen ook nog uit Compliance, Legal, Business Continuity Management en SIM.

69

Resultaten

Een tweede kerntaak van de 2nd LoD bleek testing te zijn. Onder testing werd door de banken verstaan een onafhankelijke evaluatie van de controles die door de 1st LoD worden uitgevoerd. Deze evaluatie bestond enerzijds uit een review van de resultaten van de 1st LoD self assessments en anderzijds uit het beoordelen van de effectiviteit van de interne controls van de 1st LoD. In de praktijk waren verschillende afdelingen hierbij betrokken. Bij de Rabobank werden de resultaten van de 1st LoD self assessments beoordeeld door de afdeling Information Security & Risk Management (IRM) samen met de afdeling Control & Compliance. Bij twijfels over de juistheid en volledigheid van resultaten werd de input van de self assessments nader onderzocht. De effectiviteit van de interne controls van de systemen en processen werden periodiek beoordeeld door Control & Compliance (C&C), op basis van de interne richtlijnen (ICT health checks). De resultaten van de ICT health checks en de resultaten van 1st LoD self assessments met opmerkingen van 2e LoD werden binnen de Rabobank gerapporteerd aan Group Risk Management. Binnen de eigen lijn werden door IRM ook rapportages verzorgd aan het MT Groep ICT. Bij SNS REAAL was sprake van soortgelijke procedures, met als bijzonderheid dat de IC werkzaamheden door de interne audit afdeling werden uitgevoerd. De rapportage over testing werkzaamheden werden door twee afdelingen opgeleverd. Interne audit afdeling leverde de informatie over de effectiviteit van de 1st LoD controls en de afdeling Informatiebeveiliging leverde de informatie over de 1st LoD self asssessments met hun eigen opmerkingen over de resultaten. ABN AMRO bleek over meerdere IC afdelingen te beschikken. Hiernaast bleken er ook verschillende sets aan controls (risk control frameworks) te bestaan (Cobit, Information Security NL, IT NL, IS International). De resultaten van de interne controles en self assessment met de opmerkingen over de kwaliteit van uitvoering werden gerapporteerd aan Risk Management en de verantwoordelijke 1st LoD. Tenslotte is voor 2nd LoD gekeken naar de informatieverschaffing aan de centrale risicomanagement afdeling. Volgens de jaarverslagen van de banken is deze afdeling immers verantwoordelijk voor het groepsbeeld en het uitdagen van de groepsonderdelen en lokale risicomanagementfuncties over hun risicomanagement. ABN AMRO en de Rabobank beschikten over een Risk Control Framework (RCF) (ABN AMRO meerdere) waarvan de output beschikbaar was voor de centrale risk management afdeling. De input bij de Rabobank bestond uit de resultaten van de 1st LoD self assessments en de resultaten van de kwaliteitstoetsen van de 2e LoD (ICT health checks en beoordeling van de output van de self assessments). Bij ABN AMRO bestond de input uit de self assesments van de 1st LoD. De resultaten van de interne controles en beoordeling van de output van de self assesments werden bij ABN AMRO niet in het RCF opgeslagen, maar in andere centrale systemen. Uit het praktijkonderzoek kon niet worden opgemaakt in hoeverre de centrale riskmanagement afdeling van ABN AMRO en van de Rabobank in staat waren om de lokale 2LoD risicomanagementafdelingen uit te dagen op de juistheid en volledigheid van vaststelling van key controls en output van de self assessments. In de praktijk beschikte ABN AMRO over meerdere sets aan key controls en werden de resultaten uit testing werkzaamheden bij ABN AMRO in meerdere tools opgeslagen. Hiernaast bleken de banken ook te verschillen over de wijze waarop het groepsbeeld totstand kwam. SNS REAAL bleek namelijk een ander proces ingericht te hebben om halfjaarlijks een groepsbeeld vast te stellen. SNS REAAL werkte met periodieke ‘In Control’ verklaringen per bedrijfsonderdeel. Bij het opstellen van deze verklaring bleek naast IT risicomanagement afdeling (2nd LoD) ook een centrale afdeling (Compliance, Veiligheidszaken en Operationeel risicomanagement) betrokken te zijn. CV&O rapporteerde rechtstreeks aan de Raad van Bestuur en de directies van de bedrijfsonderdelen over de beheersing van niet financiële risico’s. De verklaringen werden opgesteld op basis van analyse sessies met directeurs en zijn hoofden en daarna het directieoverleg. De input die hiervoor gebruikt werd zijn de auditresultaten, openstaande actiepunten en hiernaast was er ook ruimte voor eigen inbreng.

3rd LoD voor IT in de praktijk De 3rd LoD (met een focus op IT) bleek bij de banken gevormd te worden door de interne IT audit afdeling. Uit een analyse van de taken zoals beschreven in het jaarverslag bleek er een verschil te zijn in de

70

Resultaten

Internal Audit*

beschrijvingen (zie tabel 4-11). De beschrijving van ABN AMRO van de 3rd LoD taken bleek het beste overeen te komen met de vereisten vanuit Code Banken (artikel 5.3). Naast risk management en control processen bleek door ABN AMRO ook governance expliciet genoemd te worden als punt van aandacht voor de audit onderzoeken. In de beschrijvingen van de andere twee banken werd gesproken over interne beheersing en risicomanagement (Rabobank) en risicobeheer en controle-systeem (SNS REAAL) maar werd governance niet genoemd. Deze verschillen in beschrijvingen hoeven in de praktijk niet te betekenen dat er verschillen zijn. In het praktijkonderzoek is hier niet verder op ingegaan en is de beschrijving vanuit Code Banken gehanteerd voor het beantwoorden van de laatste deelvraag (paragraaf 4.5). De IT audit afdelingen bleken te werken volgens een driejaar cyclus voor het plannen van audit activiteiten. Audits bleken op basis van een uitgebreide risicoanalyse ingepland te worden. De beschrijving van IT audit objecten bleken per IT audit afdeling te verschillen. De beschrijving van ABN AMRO bleek exacter te zijn. Uit voorbeelden van audits uitgevoerd door de interne audit afdeling van de andere banken kon echter geconcludeerd worden dat de IT objecten van onderzoek in de praktijk overeenkomen. Het bleek in de praktijk om de volgende objecten te gaan: IT platformen, applicaties, Cobit processen, IT gerelateerde projecten en algemene onderwerpen / thema’s. Bij SNS REAAL bleek een goede samenwerking te bestaan tussen de 2nd LoD en 3rd LoD. De 2nd LoD bleek op reguliere basis input te leveren aan de 3rd LoD, die deze als evidence gebruikte voor haar audits. In bepaalde gevallen werd ook gezamenlijk audits uitgevoerd indien dit bijvoorbeeld qua beschikbare capaciteit en/of expertise efficiency voordelen bood. Als er gekeken wordt naar de risico’s van 3LoD (hoofdstuk 2.6.3) dan is het de vraag in hoeverre een dergelijke samenwerking wenselijk is. Er bestaat immers een reëel risico dat men gaat paratiseren op elkaars bevindingen waardoor in uiterst geval 3LoD een rapportagefabriek wordt bevindingen.

Beoordelen of de interne beheersmaatregelen in opzet, bestaan en in werking effectief zijn, met onder meer aandacht voor de kwaliteit en effectiviteit van het functioneren van de governance, het risicobeheer en de beheersprocessen.

Group Audit evaluates the effectiveness of the governance, risk management and control processes and recommends solutions for optimising them. Group Audit coordinates matters with the external auditor and the DNB (p. 133).

Audit verricht op basis van een uitgebreide risicoanalyse en een daarvan afgeleid auditplan jaarlijks auditwerkzaamheden om te toetsen of de interne beheersing en het risicomanagement op orde zijn (p.97).

Rekening houdend met een cyclus van drie jaar wordt er riskbased een jaarplan opgesteld voor het auditen van IT platformen, applicaties, Cobit processen, IT gerelateerde projecten en algemene IT onderwerpen/ thema’s zoals Cybercrime.

Rekening houdend met een driejarig cyclus wordt er riskbased een jaarplan opgesteld voor het auditen van de IT controls, processen en organisatie waarbij o.a. gebruik wordt gemaakt van Cobit.

Tabel 4-11 3rd LoD IT ABN AMRO, Rabobank en SNS REAAL 2013 Lees*: In deze vergelijking zijn niet alle activiteiten van de derde lijn zoals gedefinieerd in hoofdstuk algemene taken van de internal audit afdeling zijn buiten beschouwing gelaten.

Group Audit voert haar onderzoeken uit op basis van een dynamische risicoanalyse. Deze onderzoeken zijn gericht op het interne risicobeheer- en controlesysteem, de hiermee verbonden verwerkingsprocessen en de (betrouwbaarheid van de) managementinformatie. Rekening houdend met een driejarig cyclus wordt er riskbased een jaarplan opgesteld voor het auditen van de IT controls, processen en organisatie waarbij o.a. gebruik wordt gemaakt van Cobit. GA voert periodiek (geheel/gedeeltelijke) re-performance testen uit op de self assessments van de eerste lijn 2.6.4 meegenomen. Deen controleert de kwaliteit van de input van de self assessments.

Uit de analyse van 3LoD voor IT wordt geconcludeerd dat de 3LoD taken zoals gedefinieerd in paragraaf 2.6.4 in de praktijk voor IT ook belegd waren. De 1st LoD voor IT was zelfstandig verantwoordelijk voor het aangaan en de gevolgen van risico’s. De 1st LoD voor IT was verantwoordelijk voor het inventariseren van risico’s, beoordelen van het risicoprofiel, toepassen van risicomanagement-strategieën, inrichting beheersingsprocessen, monitoren en continue verbeteren van het risicomanagementproces. Uit het onderzoek bleek echter nog wel dat 1st LoD een aantal taken (inventariseren risico’s en beoordelen van het risicoprofiel) voor bepaalde onderwerpen gedelegeerd had binnen de 1st LoD aan gespecialiseerde afdelingen die in de praktijk ook 2nd LoD taken bleken te vervullen. De 2nd LoD voor IT van de banken vervulden coördinerende, stimulerende, beleidsmakende en adviserende taken op het gebied van risicomanagement. Het uitdagen van de 1st LoD bleek samen met

71

Resultaten

testing hiernaast tot de kerntaken van de 2nd LoD te behoren. Onder uitdagen werd verstaan het bewaken dat de 1st LoD haar verantwoordelijkheden op het gebied risicomanagement ook neemt. Het bewaken had betrekking op opvolging van bepaalde adviezen van de 2LoD. Uit het praktijkonderzoek kon niet worden opgemaakt of de gronden waarop adviezen wel of niet werden bewaakt bij de banken aan elkaar gelijk waren en in hoeverre een centrale risk management afdeling, verantwoordelijk voor het groepsbeeld en het uitdagen van de gehele 2nd LoD, in staat was om 2LoD risicomanagementafdelingen hierop uit te dagen. Uit het praktijkonderzoek kon ook niet worden opgemaakt in hoeverre de centrale risicomanagement afdeling een volledig en juist beeld had van de geregistreerde adviezen van 2nd LoD voor IT. Onder de kerntaak testing werd verstaan een onafhankelijke evaluatie van de controles die door de 1st LoD worden uitgevoerd. Deze evaluatie had zowel betrekking op de vastgestelde controls als ook de input en output van de uitgevoerde self assessments. De resultaten van self assessments samen met de resultaten van de kwaliteitscontroles uitgevoerd door de 2nd LoD en de overige adviezen van de 2nd LoD werden gerapporteerd aan een centrale risk management afdeling. Uit het praktijkonderzoek kon niet worden opgemaakt in hoeverre de centrale risk management afdeling in staat was om de 2LoD risicomanagementafdelingen uit te dagen op de juistheid en volledigheid van vaststelling van key controls en output van de self assessments. In de praktijk bleek één bank over meerdere sets aan key controls te beschikken en werden de resultaten uit testing door deze bank in meerdere tools opgeslagen. Hiernaast bleken de banken ook te verschillen over de wijze waarop het groepsbeeld tot stand kwam. De 3rd LoD werd in praktijk gevormd door de interne audit afdelingen van de banken. De taken van deze afdeling bleken beschreven te zijn in de Code Banken. De IT audit afdelingen werkten met een driejaar cyclus voor het plannen van audit activiteiten. Audits werden op basis van een uitgebreide risicoanalyse ingepland.

4.5 IT-outsourcing & Three Lines of Defence In deze paragraaf worden de resultaten gepresenteerd voor het beantwoorden van de laatste deelvraag van het praktijkonderzoek. Deze deelvraag luidde: vormt 3LoD integraal onderdeel van het beheersingsraamwerk van IT-outsourcing bij de praktijkorganisatie? De managementactiviteiten van het onderdeel functions van de regieorganisatie worden hier integraal in meegenomen, m.u.v. het aandachtsgebied financial management. Voor dit aandachtsgebied kon in het praktijkonderzoek niet vastgesteld worden welke managementactiviteiten belegd waren. Uit het praktijkonderzoek blijkt (zie paragraaf 4.3) dat voor bepaalde uitbestede IT objecten, vooral de grote uitbestedingscontracten, het toezicht op operationeel niveau managen van IT risico’s (binnen het aandachtsgebied vendor management) nog wel is ingericht. Echter de overige tactische/strategische activiteiten van de regieorganisatie (zie paragraaf 4.3) gericht op het managen van IT-outsourcing risico’s bleken niet allemaal ingericht te zijn. (Toezicht houden door de cliëntorganisatie op de operationele uitvoering (door de externe dienstverlener) wordt in dit onderzoek op zichzelf als een tactische activiteit beschouwd, welke integraal onderdeel vormt van de regieorganisatie IT-outsourcing.) Onder toezicht op operationeel niveau wordt bijvoorbeeld verstaan het monitoren van de externe dienstverlener op de uitvoering van controls op het gebied van informatiebeveiliging door de 1st LoD. Dergelijke IT-outsourcing activiteiten en de rol van de Lines of Defence hierbinnen zijn, zeker voor de grote uitbestedingscontracten, behandeld in paragraaf 4.4. Voor de minder grote en kleinere outsourcing initiatieven blijkt uit het praktijkonderzoek dat het toezicht op operationeel managen van IT niet vanzelf sprekend (meer) is. De resultaten behandeld in deze paragraaf (4.5) hebben betrekking op de regieorganisatie van de cliëntorganisatie en indien aangegeven op toezicht operationeel niveau van de uitbesteding. De resultaten worden per LoD in drie paragrafen gepresenteerd.

72

Resultaten

4.5.1 Eérste LoD voor IT-outsourcing in de praktijk In tabel 4-12 is een overzicht gegeven van citaten van deskundigen van verschillende LoD over de relatie 1st LoD en IT-outsourcing in de praktijk. Deze citaten zijn gebruikt om de invulling van de kerntaken van de 1st LoD (paragraaf 2.6) te analyseren. In paragraaf 2.6 zijn twee kerntaken voor de 1st LoD onderscheiden: risicomanagement en management control.

Risicomanagement De risicomangement taken die voor de 1st LoD zijn gedefinieerd vormen samen een regelkring voor de uitvoering van de risicomanagementactiviteiten en voorzien in de continue beoordeling en verbetering van de effectiviteit en efficiency van deze activiteiten. In het praktijkonderzoek is bij de banken niet een dergelijke regelkring aangetroffen voor het managen van IT-outsourcing risico’s. De inventarisatie van risico’s bleek voornamelijk plaats te vinden gedurende de eerste twee fasen van de outsourcingslevenscyclus (architect fase en engage fase). De focus van de inventarisatie bleek vooral op de externe dienstverlener gericht te zijn en in veel mindere mate of niet op de eigen interne organisatie (regieorganisatie). De initiele risicoanalyse bleek in de praktijk te leiden tot aanvullende afspraken in het contract. De 2nd LoD (adviseurs) bleek niet altijd (actief) betrokken te worden bij de (initiele) risicoanalyse. Met als gevolg onzekerheid over de uitvoering van identificatie van risico’s, beoordeling van het risicoprofiel etc. Managen IT-outsourcing & 1st Line of Defence in de praktijk De terminologie 3LoD is niet een kreet die wij hier dagelijks gebruiken en ik word er ook niet echt enthousiast van. Wij zien outsourcing voornamelijk goed gaan tot en met het afsluiten van het outsourcings-contract, het actief managen van de uitbesteding is te weinig zichtbaar in het bedrijf. Een ‘archiefkast’ met overzicht van de uitbestedingscontracten ontbreekt. Het is bij veranderende regelgeving hiernaast niet eenvoudig om ervoor te zorgen dat dit in alle contracten wordt aangepast. Vanuit de business krijgt (bij IT-outsourcing) risk en control niet de aandacht die deze onderwerpen verdienen. Formeel zijn enkele regietaken (bijvoorbeeld monitoring op naleving van het contract) wel belegd, echter zijn de resultaten hiervan beperkt zichtbaar in het bedrijf. Er wordt veel uitgegaan van vertrouwen in de leverancier. De regieorganisatie is te veel met IT bezig en te weinig met regie. Voor de regieorganisatie heb je mensen nodig met de juiste skills en mindset om regie (gericht op relationeel governance) taken te kunnen vervullen. De ISAE3402 verklaring afgetekend door één van de BIG4 kantoren wekt bij de business al snel de indruk dat een leverancier ‘in control’ is en de beheersing wel in orde is. Er wordt niet altijd gekeken of de verkregen assurance overeenkomt met de behoefte en of er nog aanvullende informatie vereist is.

Tabel 4-12 Citaten over het managen van IT-outsourcing in relatie tot de rol van de 1st LoD

In de volgende fasen van de outsourcinglevenscyclus (operate en regenerate) zou er sprake moeten zijn van een ingericht beheersingsraamwerk, rapportage uit het interne beheersingsraamwerk en continue verbetering van de effectiviteit en efficiency van het risicomanagementproces. Op operationeel niveau bleken de banken, zeker voor de grote uitbestedingscontracten, het e.e.a. te hebben ingericht (zie paragraaf 4.4) voor het managen van IT risico’s. Echter voor de minder grote IT uitbestedingen gaven de deskundigen aan weinig te merken van toezicht op actief management van IT risico’s door het inrichten van een beheersingsraamwerk etc. Voor deze contracten bleek de 1st LoD voornamelijk veel vertrouwen te hebben in de externe dienstverleners en sterk te steunen op afgegeven verklaringen (Third Party Mededelingen) van de externe dienstverlener. Voor de regieorganisatie (in het algemeen) gaven de deskundigen aan weinig te merken van het actief managen van IT outsourcingsrisico’s. Uit het praktijkonderzoek bleek op tactisch/strategisch niveau, gericht op eigen de regieorganisatie, beperkt of

73

Resultaten

geen sprake te zijn van een ingericht beheersingsraamwerk, rapportage etc. De controle op bijvoorbeeld naleving van contractafspraken door externe dienstverlener (contract management) bleek in de praktijk beperkt of niet plaats te vinden (zie ook 4.3 Regieorganisatie IT-outsourcing)

Management Control Management control is in 1st LoD uitwerking opgenomen (paragraaf 2.6.4) als het zorgdragen voor het geheel van maatregelen dat redelijke zekerheid moet bieden dat de door het management gestelde doelen worden bereikt. Hartog et al (2010) geven ook een omschrijving van een management controlsysteem welke hier gebruikt is om management control in de praktijk te analyseren. Dit systeem omvat volgens de auteurs het stellen van doelen en de bewaking van de realisatie daarvan aan de hand van rapportages (het evalueren van de uitvoering), als de inrichting van de organisatie zodanig dat optimaal wordt bijgedragen aan de realisatie van de doelen. Evenals de uitvoering dient volgens de auteurs ook de inrichting van de organisatie te worden geëvalueerd. Uit het praktijkonderzoek bleek dat voor grote uitbestedingscontracten resultaatgebieden met de externe dienstverleners waren overeengekomen. In dit onderzoek is vanwege de scope niet verder gekeken naar de bepaling van normen, randvoorwaarden en de benodigde stuur- en verantwoordingsinformatie voor deze resultaatgebieden. Wel is in het praktijkonderzoek geprobeerd een beeld te vormen over de interne regieorganisatie (zowel voor grote als minder grote uitbestedingscontracten) en de maatregelen die zij intern getroffen heeft om met een redelijke zekerheid de door het management gestelde doelen te kunnen bereiken. In het praktijkonderzoek (zie resultaten 4.3) werd bevestigd dat de regieorganisatie uit verschillende managementactiviteiten bestaat, die niet binnen één afdeling of onderdeel belegd waren. Uit de praktijk bleek ook dat de activiteiten een zekere onderlinge afhankelijkheid hebben en samen een regienetwerk vormen gericht op de strategische uitgangspunten van IT-outsourcing. Maatregelen die in het kader van de management control taak verwacht zouden mogen worden betreffen dan ook o.a. de vertaling en concretisering van strategische uitgangspunten naar operationele doelstellingen voor de betrokken afdelingen/onderdelen verantwoordelijk voor de operationele bedrijfsvoering, zorgen voor een duidelijke structuur van verantwoordelijkheden in meetbare resultaten, verduidelijken van onderlinge relaties en afhankelijkheden die tussen de diverse organisatieonderdelen bestaan, beschikbaarheid van beheersen verantwoordingsinformatie. In praktijkorganisatie zijn geen afdelingen gevonden die het functioneren van de gehele regieorganisatie in relatie tot de door het management gestelde doelen konden overzien. In het praktijkonderzoek konden deskundigen het bestaan van een integraal management controlsysteem, dat redelijke zekerheid moet bieden dat de door het management gestelde doelen worden bereikt voor de uitbesteding niet bevestigen.

4.5.2 Tweede LoD voor IT-outsourcing in de praktijk In tabel 4-13 is een overzicht gegeven van citaten van deskundigen van verschillende LoD over de relatie 2nd LoD en IT-outsourcing in de praktijk. Deze citaten zijn gebruikt om de invulling van de kerntaken van de 2nd LoD (paragraaf 2.6) te analyseren. In paragraaf 2.6 zijn drie kerntaken voor de 2nd LoD onderscheiden: adviseren, uitdagen en testen.

Adviseren Het beleid voor IT-outsourcing is bij de banken volop in ontwikkeling. Eén bank gaf aan te werken aan een voorschrift voor nieuwere vormen van outsourcing zoals cloudsourcing. Een dergelijk voorschrift bestond echter niet bij deze bank voor de klassieke vorm van outsourcing. Een andere bank was bezig om een conceptueel raamwerk te ontwikkelen voor de klassieke vorm van IT-outsourcng. Dit raamwerk zou de

74

Resultaten

business moeten faciliteren bij de uitbesteding rekening houdend met risicomanagement aspecten. Onderdelen van het raamwerk waren bijvoorbeeld het uitvoeren van een impactanalyse en leveranciersrisicoanalyse. Deze analyses zouden als basis moeten gaan dienen voor de bepaling van risicomanagement strategie. Dit raamwerk bleek nog in pilotfase te zijn. De deskundige gaf aan dat de volgende stap het monitoren van naleving van de adviezen betrof naar aanleiding van het gebruik van dit raamwerk. De derde bank beschikte nog niet over een raamwerk. Hiernaast was deze hier ook niet mee bezig. 2nd LoD (adviseurs) bleek hiernaast niet altijd (actief) betrokken te worden bij de (initiële) risicoanalyse. Uit deze observaties kan worden afgeleid dat de ondersteunende en adviserende rol van 2nd LoD voor IT-outsourcing nog volop in ontwikkeling is. De 2nd LoD is druk doende om raamwerken te ontwikkelen die gebruikt kunnen worden voor advies aan de 1st LoD voor de vervulling van haar risicomanagement taken. De coördinerende rol die zij normaliter vervult voor IT richting centrale riskmanagement afdeling, interne audit afdelingen en externe toezichthouders kan voor IT-outsourcing niet goed worden ingevuld aangezien zij niet altijd betrokken wordt door de 1st LoD. Managen IT-outsourcing & 2nd Line of Defence in de praktijk De tweedelijn is totaal niet betrokken bij regie op IT-outsourcing. Er is nog geen tweedelijn voor de regieorganisatie voor IT-outsourcing. Overzicht op samenhang van regie activiteiten en risico’s is slechts beperkt aanwezig. Het uitdagen van de 1st LoD door de 2nd LoD op gebied van outsourcing gebeurt nog niet. Ook het onafhankelijk testen van controls voor IT-outsourcing door de 2nd LoD vindt op dit moment niet plaats. Compliance gerelateerde vraagstukken spelen veel minder bij applicatie outsourcing. 3LoD nu eerst inrichten voor de dagelijkse activiteiten. Na een bepaalde volwassenheid van 3LoD kan deze ook gaan dienen voor de meer tactische en strategische activiteiten. Overall is er op dit moment geen bewakende en challenge functie vanuit de 2nd LoD voor outsourcing. De 2nd LoD vervult nu voornamelijk een adviesfunctie bij het afsluiten van contracten. Zij adviseert over het opnemen van risk en control bepalingen in de contracten. Indien nodig wordt hierover ook geëscaleerd. Een goed overzicht van de contracten met de externe dienstverleners is niet beschikbaar. Het is dan ook niet mogelijk om te controleren of deze outsourcing initiatieven het juiste traject hebben doorlopen.

Tabel 4-13 Citaten over het managen van IT-outsourcing in relatie tot de rol van de 2nd LoD

Uitdagen Onder uitdagen werd door de banken verstaan het bewaken dat de 1st LoD haar verantwoordelijkheden op het gebied risicomanagement ook neemt. In het praktijkonderzoek bleek ten eerste dat de 2nd LoD voor IT-outsourcing nog geen bewakende rol vervult voor de uitvoering van risicomanagement taken door de 1st LoD. Ten tweede bleek dat de 2nd LoD ook nog geen bewakende rol vervult ten aanzien van opvolging van adviezen. Deze observaties hangen samen met wat bij adviseren geconstateerd is, namelijk dat de 2nd LoD niet actief betrokken wordt door de 1st LoD bij outsourcing. Hierbij gaat het om adviezen over het tijdig oppakken van tekortkomingen door de 1st LoD, maar ook om toezicht op naleving van interne richtlijnen en weten regelgeving (Wbp, Wft, etc). Naast het feit dat de 2nd LoD niet altijd betrokken werd bij outsourcing, bleek in praktijk ook een goed overzicht van alle uitbestedingscontracten te ontbreken. De 2nd LoD was hierdoor ook niet achteraf instaat om te controleren of alle outsourcing initiatieven het juiste traject hadden doorlopen. Compliance/Legal afdelingen speelden in de praktijk een niet echt zichtbare rol bij outsourcing. Voor de 2e observatie is er nog een andere oorzaak namelijk dat het testen nog niet plaatsvindt waardoor er ook geen adviezen zijn vanuit IC werkzaamheden.

75

Resultaten

Testen Onder testen werd door de banken verstaan een onafhankelijke evaluatie van de controles die door de 1st LoD worden uitgevoerd. Voor de regieorganisatie is eerder vastgesteld dat in de praktijk niet of nauwelijks sprake is van controls die door de 1st LoD zijn ingericht en periodiek d.m.v. self assessments worden beoordeeld. Een review van self assessment resultaten en een beoordeling van de effectiviteit van de interne controls bleek in de praktijk dan ook (nog) onvoldoende aan de orde te zijn. Op operationeel niveau bleek echter dat IT-outsourcing invloed kon hebben op de testing werkzaamheden van de 2nd LoD. Op operationeel niveau is al eerder geconstateerd (zeker bij de minder grote contracten) dat er in de praktijk sprake is van afbouw van risicomanagement activiteiten door de 1st LoD. Dit kan bijvoorbeeld betekenen dat bepaalde applicaties na uitbesteding geen onderdeel meer uitmaken van de periodieke self assessments van key controls gedefinieerd door de cliëntorganisatie. Logischerwijs betekent dit dus ook geen rapportage over self assessments van de 1st LoD voor deze gevallen en beoordeling van deze (testing) door 2nd LoD.

4.5.3 Derde LoD voor IT-outsourcing in de praktijk In tabel 4-14 is een overzicht gegeven van citaten van deskundigen, verdeeld over de verschillende LoD en banken, over de relatie tussen de 3rd LoD en IT-outsourcing in de praktijk. Deze citaten zijn gebruikt om de invulling van de kerntaak van de 3rd LoD (paragraaf 2.6) te analyseren. In paragraaf 2.6 zijn een aantal taken van 3rd LoD onderscheiden. Van deze taken is ‘assurance’ een kerntaak van deze LoD. Managen IT-outsourcing & 3rd Line of Defence in de praktijk Vraag: hoe wordt de assurance van de interne audit afdeling ervaren op de regieorganisatie? Antwoord: 0! Ik heb voor de regieorganisatie nog nooit een auditor gezien. De tweedelijn is totaal niet betrokken bij regie op IT-outsourcing. De focus van de interne audit afdeling is meer op operationele IT activiteiten dan op IT-outsourcing. Voor audits op IT-outsourcing wordt zoveel mogelijk gesteund op de ISAE3402 verklaring Met een cyclus van drie jaar worden op alle Cobit processen audits uitgevoerd

Tabel 4-14 Citaten over het managen van IT-outsourcing in relatie tot de rol van de 3rd LoD

Assurance Onder deze taak wordt verstaan het beoordelen of de interne beheersmaatregelen in opzet, bestaan en werking effectief zijn, waarbij onder meer wordt gekeken naar de kwaliteit en effectiviteit van het functioneren van de governance, het risicobeheer en de beheersprocessen binnen de bank De interne audit afdelingen gaven aan met een cyclus van drie jaar te werken waarbinnen audits op alle CobiT processen worden uitgevoerd. Een audit afdeling gaf aan zoveel mogelijk te steunen op de ISAE3402 verklaringen. CobiT kan zeker dienen als normenkader voor het inhoudelijk toetsen van bepaalde aandachtsgebieden/managementactiviteiten van de regieorganisatie. Echter het uitsluitend onderzoeken van CobiT processen is voor IT-outsourcing niet voldoende. Ten eerste, de regieorganisatie wordt in dit onderzoek beschouwd als een systeem dat moet waarborgen dat het geheel van doelen zoals gesteld door het management ook worden bereikt. Hiervoor is noodzakelijk om eerst een oordeel te vormen over de aanwezigheid van de noodzakelijke componenten binnen het systeem en vervolgens te toetsen of de inhoudelijke invulling op een consistente wijze heeft plaatsgevonden en voldoende waarborgen biedt voor de realisatie van de doelstellingen. Assurance op de regieorganisatie IT-outsourcing vraagt dus om een systeembenadering waarbij als eerste de aanwezigheid van noodzakelijke componenten moet worden vastgesteld.

76

Resultaten

Ten tweede, CobiT bevat een aantal processen (binnen het domein ‘plannen en organiseren’) die overeen lijken te komen met de managementactiviteiten zoals vastgesteld voor de regieorganisatie. Echter zijn er ook verschillen in uitwerking en detaillering, bijvoorbeeld voor de processen ‘manage relationships’ en ‘manage suppliers’. In dit onderzoek is geen gedetailleerde mapping gemaakt. Wel wordt opgemerkt dat CobiT niet volledig de managementactiviteiten van de regieorganisatie afdekt. Als aanvulling op het normenkader kan bijvoorbeeld gebruik worden gemaakt van het eSourcing Capability Model. Dit model is ontwikkeld door ITSqc, gebaseerd op best practices bedoeld om IT-sourcing in goede banen te leiden. Tenslotte, interne audit afdeling heeft nog een bijzondere taak in relatie tot 3LoD namelijk onafhankelijk zekerheid geven over de mate waarin 1st LoD en 2nd LoD voldoen aan risicomanagement en control doelstellingen. Internal audit afdelingen zouden het samenspel tussen de 1st LoD en 2nd Lod moeten controleren en hier objectief, onafhankelijk oordeel over moeten vellen met mogelijkheden tot verbetering. De geconstateerde afwijkingen van de invulling 1st LoD en 2nd LoD activiteiten voor IToutsourcing zijn voor een groot deel niet door de 3rd LoD genoemd in de interviews. De in de literatuur gevonden activiteit ‘het periodiek onderzoeken van de betrouwbaarheid van source data, berekening KPI’s e.d.’ werd niet door de audit afdelingen als onderdeel van de assurance taak genoemd.

77

Discussue en Conclusie

5 Discussie en Conclusie The financial services industry continues to evolve to meet the challenges posed by emerging technologies and business processes, new financial instruments, the growing scale and scope of financial institutions, and changing regulatory frameworks. A successful ERM process can help an organization meet many of these challenges by providing a framework for managers to explicitly consider how risk exposures are changing, determine the amount of risk they are willing to accept, and ensure they have the appropriate risk mitigants and controls in place to limit risk to targeted levels. -- Susan Schmidt Bies (2006)

5.1 Inleiding In dit hoofdstuk wordt het onderzoek naar de rol van 3LoD in de beheersing van IT-outsourcing afgerond. Allereerst wordt er in paragraaf 5.2 per onderzoeksstroom stil gestaan bij de uitkomsten van het empirisch onderzoek uitgevoerd bij ABN AMRO, Rabobank en SNS REAAL. Vervolgens komen in paragraaf 5.3 de conclusies van dit onderzoek aan bod, waarna in paragraaf 5.4 dit hoofdstuk wordt afgesloten met de beperkingen van dit onderzoek en aanbevelingen voor vervolgonderzoek.

5.2 Discussie In dit onderzoek is getracht om middels vier onderzoekstromen een antwoord te formuleren op de in hoofdstuk 1 geformuleerde probleemstelling. Deze luidde als volgt: Welke activiteiten zijn nodig voor het beheersen IT uitbesteding door banken en wat is de rol van ‘Three Lines of Defence’ in de beheersing van IT uitbesteding?

Onderzoeksstroom I: IT-outsourcing In onderzoeksstroom I is de basis gelegd voor het onderzoek naar IT-outsourcing door te definiëren wat hieronder wordt verstaan. In dit onderzoek is gekozen voor de volgende definitie: ‘IT outsourcing is defined as a process whereby an organization decides to contract-out or sell the firm’s IT assets, people and/or activities to a third party service provider, who in exchange provides and manages these assets and services for an agreed fee over an agreed period’. In dit onderzoek is ervoor gekozen om het governance vraagstuk niet alleen te richten op de fase van de feitelijke uitbesteding maar op alle fasen die gezamenlijk in de literatuur de IT-outsourcing levenscyclus worden genoemd. In totaal zijn er vier fasen onderscheiden waarbij iedere fase bestaat uit een aantal kernactiviteiten gericht op het opleveren van bepaalde bouwstenen die het fundament vormen voor de volgende fase. Naast fasen van IT-outsourcing zijn ook objecten van IToutsourcing benoemd, die bleken te bestaan uit twee categorieën: applicatie outsourcing en IT infrastructuur outsourcing. In de praktijk bleken er verschillen te bestaan in de visies, omvang en objecten van IT-outsourcing bij de Nederlandse banken. ABN AMRO bleek op een enkele activiteit na, haar IT voor ongeveer 75 procent te hebben uitbesteed. Rabobank en SNS REAAL bleken voornamelijk op applicatie vlak activiteiten te hebben uitbesteed met een omvang van 30 procent respectievelijk 15 procent van de IT activiteiten. ABN AMRO bleek ook voor de komende jaren een duidelijke keuze te hebben gemaakt voor IT-outsourcing. Bij SNS REAAL bleek na een lange tijd van het ‘in-house’ verzorgen van IT-activiteiten een tendens te zijn ontstaan om voor IT meer naar buiten te kijken. Bij de Rabobank bleek een omgekeerde tendens te zijn ontstaan in de afgelopen jaren waarbij sprake is van insourcing van IT activiteiten.

78


Onderzoeksstroom II: IT-outsourcing governance Om de beheersing van IT-outsourcing goed te kunnen begrijpen is in onderzoeksstroom II als eerste gekeken naar de risico’s die samenhangen met IT-outsourcing. In de literatuur zijn twee groepen risico gevonden (Beulen et al., 2010): contracting risico’s en management risico’s. Iedere fase van de IToutsourcing levenscyclus bleek bepaalde risico’s te bevatten. Tegen deze achtergrond is ingegaan op het begrip IT-outsourcing governance en is onderzocht hoe een raamwerk ter beheersing van IT-outsourcing eruit zou moeten zien. In de literatuur bleken meerdere vormen governance te bestaan (Chaudhary et al., 2010). De vormen contractueel en relationeel governance bleken echter van toepassing te zijn op IToutsourcing en zijn als vereisten meegenomen bij de ontwikkeling van het theoretisch raamwerk ‘Regieorganisatie IT-outsourcing’. Raamwerk regieorganisatie IT-outsourcing. Uit literatuuronderzoek kon worden opgemaakt dat dit raamwerk antwoord moest geven op drie fundamentele vragen: (1) welke activiteiten moeten er worden uitgevoerd, (2) wie moeten deze activiteiten uitvoeren en hoe worden deze taken uitgevoerd en (3) hoe wordt de uitvoering van de activiteiten gemonitord? Op basis van publicaties in de wetenschappelijke literatuur zijn drie modellen op het gebied van regie IT-outsourcing geselecteerd van respectievelijk Beulen et al., 2011; Lacity et al., 2010 en Jong et al. 2010. Een vergelijking van deze modellen hebben in totaal 23 IT-outsourcing governance aandachtsgebieden opgeleverd, waarvan 18 betrekking hebben op de cliëntorganisatie en 5 op de externe dienstverlener. In het praktijkonderzoek zijn alleen de aandachtsgebieden van de cliëntorganisatie meegenomen. Deze aandachtsgebieden (met managementactiviteiten) zijn vervolgens verdeeld over 6 onderdelen: demand management, strategic management, relationship management, functions, innovation management en vendor management. Uit de bestudering van de IT-outsourcing organisatierollen bleek, dat de regieorganisatie een netwerk vormt van individuen die ingezet worden afhankelijk van de aard van de uitbesteding en de vaardigheden beschikbaar in de organisatie. IT-outsourcing organisatierollen zijn in onderzoek niet op individueel niveau maar op niveau van de Lines of Defence bestudeerd. Tenslotte is in de literatuur gekeken naar prestatie-indicatoren die voor een deel beschikbaar bleken te zijn. Vanwege de scope van dit onderzoek is besloten om deze niet in het theoretisch raamwerk op te nemen, maar dit onderwerp te benaderen vanuit 3LoD waar (inrichten van) monitoring integraal onderdeel vormt van deze gedachte.

Onderzoeksstroom III: Wet- regelgeving bij uitbesteding In onderzoeksstroom III is gekeken naar weten regelgeving in het kader van outsourcing door financiële ondernemingen. Uit literatuuronderzoek bleek dat (financiële) ondernemingen bij uitbesteding rekening moeten houden met weten regelgeving, die variëren van meer generieke tot specifieke weten regelgeving, interne regelingen en externe regelgeving. Uit een verkenning van één specifieke wet (Wft) bleek dat het niet voldoen aan deze wetgeving verregaande consequenties kan hebben voor financiële ondernemingen. De geselecteerde modellen op het gebied van regie IT-outsourcing bleken geen aandachtsgebied te hebben gericht op compliance activiteiten. Het aandachtsgebied compliance management is dan ook als 19e aandachtsgebied aan het theoretisch raamwerk Regieorganisatie IToutsourcing toegevoegd. In het praktijkonderzoek werd door de deskundigen bevestigd dat het raamwerk regieorganisatie IToutsourcing een goed overzicht geeft van de regieorganisatie van een cliëntorganisatie. Tevens werd door de deskundigen bevestigd dat het raamwerk de belangrijkste aandachtsgebieden bevat van de regieorganisatie. Het raamwerk is vervolgens in het praktijkonderzoek gebruikt om een beeld te vormen van de regieorganisaties bij de banken. Voor het onderdeel strategic management waren alle managementactiviteiten bij de banken belegd. Op het gebied van IT architectuur bleken er wel verschillen te bestaan tussen de banken in centralisatie/decentralisatie van architectuur activiteiten en positionering van

79


deze activiteiten binnen een (onafhankelijke) beleidsbepalende afdeling. Voor het onderdeel demand management waren ook alle managementactiviteiten bij de banken belegd. Wel bestond er een verschil in de wijze waarop de visie over de behoefte en inzet van IT tot stand kwam. Bij één bank was sprake van een intermediair organisatie tussen business en IT die een leidende rol speelde in het ontwikkelen van deze visie. Voor het onderdeel innovation management kon in het praktijkonderzoek niet worden vastgesteld of alle managementactiviteiten belegd waren bij de banken, dan wel of de betrokken afdelingen in beeld waren bij de regieorganisatie. Voor het onderdeel vendor management zijn een aantal verschillen gevonden tussen de banken. Hiernaast bleken niet alle managementactiviteiten belegd te zijn. Zo bleken er twee uiterste vormen van inkopen (afsluiten uitbestedingscontracten) te bestaan waarbij het verschil werd bepaald door de betrokkenheid of leidende rol van een centrale inkoopafdeling versus een vendor management afdeling die het gehele traject zelfstandig verzorgde. De managementactiviteiten binnen het aandachtsgebied vendor development, gericht op zo’n lang mogelijke relatie met externe dienstverleners en onderhouden van relaties met potentiële externe dienstverleners, bleek in de praktijk in beperkte mate of niet uitgevoerd te worden. Verder gaf slecht één van de drie banken aan te beschikken over overstapprocedures voor een eventuele overstap van externe dienstverlener. Voor de onderdelen contracten performance management bevestigden de banken dat deze business-as-usual activiteiten waren voor in ieder geval de grote uitbestedingscontracten. Voor de minder grote uitbestedingscontracten was het bestaan en beheer van de uitbestedingscontracten niet altijd even zichtbaar in de organisatie. Ongeacht de omvang van de contracten gaven de banken veel ruimte voor verbetering te zien van deze aandachtsgebieden. Voor het onderdeel relationship management beschikten de banken over een onderdeel gericht op het bevorderen van begrip, vertrouwen en de samenwerking tussen eindgebruikers en IT specialisten. In het praktijkonderzoek kon niet vastgesteld worden of de activiteiten gericht op het actief managen van de outsourcing relaties (engagement management) belegd waren en ook werden uitgevoerd. Op het gebied van escalation management gaven twee banken te beschikken over escalatie management procedures. De resultaten van het onderdeel functions van de regieorgansiatie zijn integraal meegenomen bij de resultaten van 3LoD en IT-outsourcing (zie onderzoeksstroom IV deel c).

Onderzoeksstroom IV deel a: Three Lines of Defence In onderzoeksstroom IV is de basis gelegd voor het onderzoek naar de relatie tussen IT-outsourcing governance en Three Lines of Defence gedachte (3LoD). 3LoD gedachte helpt bij het verhelderen, afbakenen en inrichten van taken op het gebied van risicobeheer. De gedachte maakt onderscheid tussen functies met eigenaarschap en verantwoordelijkheid voor het managen van risico’s, functies die risico’s overzien en functies die hierover onafhankelijk zekerheid geven. 3LoD is echter meer dan een inrichtingsmodel voor risicomanagement. Het is ook een andere manier van werken en denken en draagt zodoende bij aan de versterking van de risicocultuur en het nemen van verantwoordelijkheid voor het managen van risico’s en interne beheersing. Een extra motivatie voor banken om 3LoD in te voeren en aan te tonen aan toezichthouders is een lagere verplichte kapitaalbeslag. Het invoeren van 3LoD is niet zonder risico’s. In de literatuur zijn geen empirische onderzoeken (bijvoorbeeld case studies) gevonden over de invoering (kritische succesfactoren) of werking van 3LoD. Het onzorgvuldig invoeren van 3LoD kan leiden tot onduidelijkheid over het eigenaarschap van risico’s en invulling en afbakening van taken. Hiernaast kan het invoeren van 3LoD leiden tot misverstanden over het restrisico en inefficiënties. In het praktijkonderzoek bleek dat de betrokken banken 3LoD geïmplementeerd hadden dan wel toegepast hadden. ABN AMRO gaf aan continue te blijven investeren in educatie over 3LoD beginselen voor alle medewerkers. Bij de Rabobank had in 2012 slechts een specifieke groep een training gevolgd op dit gebied. SNS REAAL en Rabobank doen in hun jaarverslag 2012 geen uitspraken over toekomstige investeringen in 3LoD binnen hun organisatie. Op hoofdlijnen bleken er een aantal verschillen te bestaan tussen de banken wat betreft de invulling van 3LoD. Zo bleek er een verschil te bestaan tussen de reikwijdte van 3LoD

80


binnen de banken. Bij de Rabobank werd, in tegenstelling tot de andere twee banken, 3LoD alleen ingezet ten behoeve van het vervullen van operationeel risicomanagement doelstellingen. Bij SNS REAAL viel hiernaast op dat het gewenste risicoprofiel niet genoemd werd in het jaarverslag (2012) zoals dit wel is gedaan door de andere twee banken. Wat de betreft de invulling van de 2nd LoD bleek ook duidelijk het hybride karakter van deze LoD. De invulling/voorwaarden voor de 3rd LoD werd volgens de jaarverslagen grotendeels bepaald door weten regelgeving. Bij SNS REAAL viel tenslotte op dat de internal audit afdeling zowel 2nd LoD als 3rd LoD activiteiten uitvoerden.

Onderzoeksstroom IV deel b: Three Lines of Defence & IT Op basis van een beperkt aantal publicaties over 3LoD is het theoretisch raamwerk ontwikkeld ‘3LoD taken en randvoorwaarden’. Uit een vergelijking van publicaties van IIA (2013), Basel (2011), Claassen (2009) en Code Banken (2009) zijn in totaal 15 taken en 7 randvoorwaardelijke zaken gedefinieerd voor een effectieve inrichting van 3LoD. Uit het literatuuronderzoek volgt dat het senior management, de besturende en toezichthoudende organen primaire stakeholders zijn van 3LoD en dat zij door dit model bediend worden. Deze stakeholders blijken vanuit hun positie het beste in staat te zijn om te waken over de effectiviteit van de Lines of Defence. Uit het literatuuronderzoek volgt dat de 1st LoD wordt gevormd door het lijnmanagement of operational managers. De 1st LoD is eigenaar van de risico’s en ook verantwoordelijk om deze risico’s te managen. Dit doet zij door risico’s te inventariseren, het risicoprofiel te beoordelen, het toepassen van risicomanagementstrategieën, zorgen voor de inrichting van beheersingsprocessen en het continue monitoren (en verbeteren) van (1) naleving van deze richtlijnen & procedures en (2) de effectiviteit van interne controlemaatregelen. 1st LoD is ook verantwoordelijk voor het zorgen voor het geheel van maatregelen dat redelijke zekerheid moet bieden dat de door het management gestelde doelen worden bereikt. De 2nd LoD bestaat uit risicomanagementfuncties, compliance functies en controllership functies. Bij de 2nd LoD ligt de nadruk op risk oversight. De 2nd LoD is door het senior management primair in het leven geroepen om te waken (challengen) dat de 1st LoD goed is opgezet, ingevoerd en functioneert zoals het ook bedoeld is. Hiernaast voert zij ook ondersteunende, adviserende en coördinerende taken uit. De 3rd LoD wordt gevormd door de interne auditfunctie (IA). IA heeft als primaire taak zekerheid te geven over de effectiviteit van governance, risk management en internal controls, inclusief de mate waarin de 1st LoD en 2nd LoD voldoen aan risicomanagement en control doelstellingen. 3rd LoD heeft binnen 3LoD ook nog een bijzondere taak, namelijk het controleren of het samenspel tussen de 1st en 2nd LoD soepel functioneert en daarover objectief, onafhankelijk een oordeel te vellen met mogelijkheden tot verbetering. Voor Nederlandse banken bestaan wettelijke verplichtingen ten aanzien van de invulling van de interne auditfunctie. Uit het praktijkonderzoek bleek dat de 3LoD taken zoals gedefinieerd in het theoretisch raamwerk ‘3LoD taken en verantwoordelijkheden’ voor IT in de praktijk ook belegd zijn bij de banken. De 1st LoD voor IT was in de praktijk zelfstandig verantwoordelijk voor het aangaan en de gevolgen van risico’s. De 1st LoD was ook verantwoordelijk voor de taken zoals gedefinieerd in het raamwerk. Uit het onderzoek bleek echter nog wel dat 1st LoD in de praktijk een aantal taken (inventariseren risico’s en beoordelen van het risicoprofiel) voor bepaalde onderwerpen delegeert binnen de 1st LoD aan gespecialiseerde afdelingen die in de praktijk ook 2nd LoD taken bleken te vervullen. De 2nd LoD voor IT vervulde coördinerende, stimulerende, beleidsmakende en adviserende taken op het gebied van risicomanagement. Het uitdagen van de 1st LoD bleek samen met testing hiernaast tot de kerntaken van de 2nd LoD te behoren. De 2nd LoD was dus verantwoordelijk voor de taken zoals gedefinieerd in het raamwerk. Het uitdagen had betrekking op de opvolging van bepaalde adviezen van de 2LoD door de 1st LoD. Uit het praktijkonderzoek kon niet worden opgemaakt of de gronden waarop adviezen wel of niet werden bewaakt bij de banken aan elkaar gelijk waren en in hoeverre een centrale risk

81


management afdeling, verantwoordelijk voor het groepsbeeld en het uitdagen van de gehele 2nd LoD, in staat was om 2LoD risicomanagementafdelingen hierop uit te dagen. Ook van de geregistreerde adviezen van 2nd LoD voor IT kon uit het praktijkonderzoek niet worden opgemaakt in hoeverre de centrale risicomanagement afdeling hier een beeld (volledig en juist) van hadden en in staat was om de 2nd LoD risicomanagementafdelingen hierop uit te dagen. Onder de kerntaak testing werd verstaan een onafhankelijke evaluatie van de controles die door de 1st LoD worden uitgevoerd. Uit het praktijkonderzoek kon niet worden opgemaakt in hoeverre de centrale risk management afdeling in staat was om de 2LoD risicomanagementafdelingen uit te dagen op de juistheid en volledigheid van vaststelling van key controls en output van de self assessments. In de praktijk bleek één bank te beschikken over meerdere sets aan key controls en werden de resultaten uit testing in meerdere tools opgeslagen. Hiernaast bleken de banken te verschillen over de wijze waarop het groepsbeeld tot stand kwam. De 3rd LoD werd gevormd door de interne audit afdelingen van de banken. De 3rd LoD was verantwoordelijk voor de taken zoals gedefinieerd in het raamwerk. De IT audit afdelingen bleken te werken met een driejaar cyclus voor het plannen van audit activiteiten. Audits werden op basis van een uitgebreide risicoanalyse ingepland.

Onderzoeksstroom IV deel c: Three Lines of Defence & IT-outsourcing Bij de resultaten van het praktijkonderzoek voor 3LoD en IT-outsourcing is onderscheid gemaakt tussen enerzijds het toezicht op operationeel management van IT en anderzijds het tactisch/strategisch managen (regie) van IT-outsourcing. In principe vormt toezicht op operationeel niveau management van IT integraal onderdeel van de regieorganisatie IT-outsourcing. Echter aangezien voor bepaalde IT objecten, vooral de grote uitbestedingen, het toezicht op operationeel niveau managen van IT risico’s in de praktijk wel ingericht bleek te zijn maar de overige tactisch/strategisch activiteiten van de regieorganisatie, gericht op het managen van IT-outsourcing risico’s, niet ingericht bleek te zijn is bij de behandeling van de resultaten toch onderscheid gemaakt. Voor de 1st LoD zijn twee kerntaken onderscheiden: risicomanagement en management control. In het praktijkonderzoek is bij de banken geen regelkring aangetroffen voor de uitvoering van risicomanagement activiteiten gericht op de beheersing van IT-outsourcing risico’s (regie). De risicomanagement activiteiten vonden voornamelijk plaats gedurende de eerste twee fasen van de outsourcing levenscyclus en waren gericht op de externe dienstverlener. Het uitvoeren van risicomanagement taken ten aanzien van IT-outsourcing bleek in beperkte mate of geen onderdeel te zijn van de regie-/ clientorganisatie. Op operationeel niveau bleken de banken, zeker voor de grote uitbestedingscontracten, het e.e.a. te hebben ingericht voor het managen van IT risico’s. Echter voor de minder grote IT uitbestedingscontracten gaven de deskundigen aan weinig te merken van actief toezicht op management van IT risico’s. Voor deze contracten had de 1st LoD voornamelijk veel vertrouwen in de externe dienstverleners en steunde zij sterk op afgegeven verklaringen (Third Party Mededelingen) van de externe dienstverlener. Echter ook voor de grote uitbestedingscontracten gaven de deskundigen aan weinig te merken van de uitvoering van managementactiviteiten binnnen een groot deel van de tactische en strategische aandachtsgebieden. Op het gebied van management control bestonden bij de praktijkorganisaties geen rollen/afdelingen die het functioneren van de gehele regieorganisatie in relatie tot de door het management gestelde doelen bewaakten. Voor de 2nd LoD zijn drie kerntaken onderscheiden: adviseren, uitdagen en testen. Uit het praktijkonderzoek bleek dat de 2nd LoD nog druk doende is om voor IT-outsourcing raamwerken te ontwikkelen die gebruikt kunnen worden voor advies aan de 1st LoD voor de vervulling van haar risicomanagement taken. De adviesfunctie van de 2nd LoD was dan ook nog volop in ontwikkeling. Het uitdagen van de 1st LoD was nog niet ingericht. Hiernaast werd de 2nd LoD niet altijd actief betrokken door de 1st LoD bij outsourcing trajecten. 2nd LoD bleek de 1st LoD nog niet (structureel) uit te dagen op de uitvoering van risicomanagement taken en opvolging van adviezen. Bij het laatste gaat het om adviezen

82


over het tijdig oppakken van tekortkomingen maar ook toezicht op naleving van interne richtlijnen en weten regelgeving (Wbp, Wft, etc). De 2nd LoD was in de praktijk niet instaat om te overzien of alle outsourcing initiatieven het juiste traject hadden doorlopen. Voor de regieorganisatie is eerder vastgesteld dat in de praktijk niet of nauwelijks sprake is van controls die door de 1st LoD zijn ingericht en periodiek dmv self assessments worden beoordeeld. Een review van self assessment resultaten en een beoordeling van de effectiviteit van de interne controls bleek in de praktijk dan ook (nog) niet aan de orde te zijn. Op operationeel niveau bleek dat bij IT-outsourcing sprake kon zijn van afbouw van risicomanagement activiteiten door de 1st LoD en hiermee dus ook de testing werkzaamheden van de 2nd LoD. Voor de 3rd LoD is één kerntaak gedefinieerd: assurance. De interne audit afdelingen gaven aan met een cyclus van drie jaar te werken waarbinnen audits op alle CobiT processen worden uitgevoerd. Een audit afdeling gaf aan zoveel mogelijk te steunen op de ISAE3402 verklaringen. CobiT kan zeker dienen als normenkader voor het inhoudelijk toetsen van bepaalde aandachtsgebieden/managementactiviteiten van de regieorganisatie. Echter het uitsluitend onderzoeken van CobiT processen is voor IT-outsourcing niet voldoende. Ten eerste, de regieorganisatie wordt in dit onderzoek beschouwd als een systeem dat moet waarborgen dat het geheel van doelen zoals gesteld door het management ook worden bereikt. Hiervoor is noodzakelijk om eerst een oordeel te vormen over de aanwezigheid van de noodzakelijke componenten binnen het systeem en vervolgens te toetsen of de inhoudelijke invulling op een consistente wijze heeft plaatsgevonden en voldoende waarborgen biedt voor de realisatie van de doelstellingen. Assurance op de regieorganisatie IT-outsourcing vraagt dus om een systeembenadering. Ten tweede, CobiT dekt als normenkader niet volledig alle managementactiviteiten van de regieorganisatie af. Als aanvulling op het normenkader dient bijvoorbeeld gebruik te worden gemaakt van het eSourcing Capability Model. Tenslotte, interne audit afdeling heeft nog een bijzondere taak in relatie tot 3LoD namelijk onafhankelijk zekerheid geven over de mate waarin 1st LoD en 2nd LoD voldoen aan risicomanagement en control doelstellingen. Internal audit afdelingen zouden het samenspel tussen de 1st LoD en 2nd Lod moeten controleren en hier objectief, onafhankelijk oordeel over moeten vellen met mogelijkheden tot verbetering. De geconstateerde afwijkingen van de invulling 1st LoD en 2nd LoD activiteiten voor IT-outsourcing zijn voor een groot deel niet door de 3rd LoD genoemd in de interviews. De controle op het samenspel van de 1st LoD en 2nd LoD lijkt uit de resultaten (nog) onvoldoende ingevuld te worden door de 3rd LoD.

5.3 Conclusies In dit onderzoek is inzicht verschaft over de wijze waarop Nederlandse banken vorm geven aan het Three Lines of Defence gedachte voor het beheersen van haar IT uitbesteding aan externe dienstverleners. Op basis van de uitkomsten van dit onderzoek wordt geconcludeerd dat de beheersing van IT uitbesteding bij de banken gevormd wordt door managementactiviteiten die verdeeld kunnen worden over een zestal onderdelen: strategic management, demand management, innovation management, vendor management, relationship management en functions. Uit dit onderzoek wordt ook geconcludeerd dat er bij de banken verschillen bestaan in de invulling van deze IT-outsourcing managementactiviteiten en dat de banken zelf ook ruimte zien voor verbetering van deze activiteiten. Uit de resultaten van dit onderzoek wordt verder geconcludeerd dat er in de praktijk grote verschillen bestaan tussen de invulling van 3LoD voor IT en de invulling van 3LoD voor IT-outsourcing. Voor IT bestaat in de praktijk een duidelijke invulling van 3LoD waarbij de verschillende Lines of Defence (in zekere mate) de taken vervullen zoals deze vastgesteld zijn in het theoretisch onderzoek. Gedurende het onderzoek is voor de invulling van 3LoD voor IT nog wel de vraag ontstaan in hoeverre er in de praktijk sprake is van een effectieve ‘challenge’ vanuit een centrale risicomanagentfunctie die verantwoordelijk is voor het groepsbeeld. Voor IT-outsourcing blijken echter de 3LoD taken (nog) onvoldoende ingevuld te worden. De 1st LoD vult haar taken op het gebied van risicomanagement en management control voor IT-outsourcing nog niet (voldoende) in conform de 3LoD gedachte. De 1st LoD blijkt ook niet altijd de 2nd LoD te betrekken bij IT-outsourcing. De 2nd LoD blijkt nog te werken aan de invulling van haar rol (adviesfunctie) voor IT-outsourcing. Het uitdagen van de 1st

83


LoD over het tijdig oppakken van tekortkomingen maar ook toezicht op naleving van interne richtlijnen en weten regelgeving, is de volgende fase waarbij nog wel van belang is dat de 1st LoD de 2nd LoD actief gaat betrekken. Het testen van uitgevoerde controles van de 1st LoD is nog niet aan de orde, aangezien dit soort controles over het algemeen niet plaats vinden. De assurance van 3rd LoD op IT-outsourcing blijkt in de praktijk gericht te zijn op aandachtsgebieden van de regieorganisatie waarbij niet noodzakelijkerwijs de beoordeling van de effectiviteit van de interne beheersmaatregelen opzet, bestaan en in werking van de regieorganisatie (zowel intern als bij de externe dienstverlener) als systeem periodiek object is van het audit onderzoek. De controle op het samenspel van de 1st LoD en de 2nd LoD door de 3rd LoD voor IToutsourcing blijkt in de praktijk nog onvoldoende ingevuld te worden. Tenslotte, wordt uit de resultaten van het onderzoek geconcludeerd dat de motieven van de banken voor het (organisatiebreed) invoeren van 3LoD, de omvang van de IT uitbestedingen en de hiermee samenhangende risico’s, het verder invullen van 3LoD als integraal onderdeel van de regieorganisatie IT-outsourcing een belangrijk aandachtspunt maakt voor de banken.

5.4 Beperkingen en aanbevelingen voor vervolgonderzoek Een aantal richtingen voor vervolgonderzoek kan afgeleid worden aan de hand van de beperkingen van dit onderzoek. In de eerste plaats, de validiteit van de onderzoeksuitkomsten is mede afhankelijk van de sampling die heeft plaatsgevonden. In dit onderzoek is, rekening houdend met de onderzoekstijd, getracht om per LoD van de organisaties één respondent te interviewen. Dit is bij één organisatie niet gelukt. Hiernaast zijn gedurende het praktijkonderzoek twijfels gerezen over de mate waarin één respondent van een bepaalde afdeling een goed overzicht kan hebben over het functioneren van verschillende onderdelen van de regieorganisatie. Van een aantal managementactiviteiten van de regieorganisatie is in het onderzoek dan ook niet in detail duidelijk geworden of deze belegd waren en in welke mate deze in de praktijk werden uitgevoerd. Hiernaast zijn er ook twijfels gerezen of één respondent een goed totaaloverzicht kan hebben over de LoD waarbinnen deze werkzaam is. In dit onderzoek is geprobeerd om de effecten hiervan te beperken door meerdere respondenten binnen één organisatie te interviewen verdeeld over Lines of Defence. Tevens is ook geprobeerd om specifieke bevindingen te verifiëren bij de andere respondenten en om documentatie op te vragen (triangulatie). In een vervolgonderzoek kan hier meer rekening mee worden gehouden door meerdere respondenten te ondervragen verdeeld over de regieorganisatie en LoD’s (multiinformant techniek). In de tweede plaats, voor de ontwikkeling van een raamwerk voor regieorganisatie IT-outsourcing is in dit onderzoek gebruik gemaakt van een aantal modellen. In het kader van dit onderzoek is op basis van aanvullend literatuur het raamwerk aangevuld met de aandachtsgebieden risicomanagement, auditing en compliance. In een vervolgonderzoek kunnen de aandachtsgebieden binnen de verschillende onderdelen van het raamwerk verder uitgewerkt worden in managementactiviteiten en vergeleken worden met modellen zoals COSO ERM, CobiT, eSourcing Capability Model, Supplier Relationship Management model, Code Informatiebeveiliging etc, waardoor een vollediger beeld ontstaat van de taken van de regieorganisatie en deze tevens handvatten krijgt om de onderdelen in te richten. Deze handvatten dragen ook bij een betere beoordeling van de effectiviteit door de 2nd en 3rd LoD. Het raamwerk kan dan ook verder worden uitgewerkt in rollen, informatiestromen tussen de aandachtsgebieden en prestatieindicatoren waardoor een volledig governance model ontstaat voor IT-outsourcing met aandacht voor risicomanagement zoals dit binnen de Nederlandse financiële sector vereist is. In de derde plaats, is gebleken dat de theoretische onderbouwing van 3LoD in de (wetenschappelijk) literatuur beperkt is. Er zijn geen empirische onderzoeken bekend over de invoering of werking van 3LoD. De theoretische onderbouwing van het ontwikkelde raamwerk ‘3LoD taken en randvoorwaarden’ is voornamelijk gebaseerd op een recente position paper van IIA en een korte beschouwing (1 A4’tje) van Basel over wat zij aangetroffen hebben bij banken in de praktijk. Gedurende het praktijkonderzoek en de analyse van de gegevens is ook gebleken dat 3LoD complex object is om in de

84


praktijk te onderzoeken. In dit onderzoek is op basis van jaarverslagen een verkenning op hoofdlijnen uitgevoerd van de organisatiebrede invoering van 3LoD en is er een specifieke verkenning uitgevoerd op basis van enkele interviews voor IT. Gedurende het onderzoek en de analyse van gegevens zijn er twijfels gerezen over het groepsbeeld van IT risico’s en de uitvoering van de challenge taak door de centrale risicomanagement afdelingen (IT gerelateerde onderwerpen waaronder IT-outsourcing blijken in de praktijk ook complexe onderwerpen te zijn). Deze challenge taak wordt in de jaarverslagen van de banken genoemd en in de literatuur noodzakelijk geacht voor het borgen van een effectieve 2nd LoD waarvoor een zekere mate van onafhankelijkheid gewenst is. Om de invoering en werking van 3LoD in het algemeen beter te begrijpen wordt opgeroepen om hier meer onderzoek naar te doen. Voor IT in het bijzonder wordt aangeraden om, de vereisten van een groepsbeeld en de ‘challenge’ taak van de centrale risicomanagement afdelingen in relatie tot IT nader te onderzoeken en hierbij ook deskundigen vanuit deze afdelingen te betrekken. In de vierde plaats, in dit onderzoek is verondersteld dat voor IT-outsourcing ongeachte de IT objecten die zijn uitbesteed (infrastructuur of applicatie), altijd sprake is van een vaste set aan regie managementactiviteiten. Er is niet gekeken naar de relatie tussen IT objecten en de behoefte aan een specifieke set managementactiviteiten. Voor de steekproef van dit onderzoek was dit niet van belang aangezien de banken enigszins vergelijkbare IT objecten hebben uitbesteed. Echter voor financiële ondernemingen die slechts specifieke onderdelen uitbesteed hebben zou het interessant zijn om in een vervolgonderzoek de relatie tussen specifieke IT objecten en regie te onderzoeken. Ten slotte, is in de praktijk niet onderzocht hoe de ontwikkelde raamwerken voor regieorganisatie IT-outsourcing en 3LoD geïntegreerd kunnen worden tot één raamwerk zonder het ontstaan van redundante activiteiten. Het onderdeel functions van het raamwerk regieorganisatie IT-outsourcing bevat veel van de activiteiten van het 3LoD raamwerk. Het onderdeel relationship management bevat ook aspecten die in verband kunnen worden gebracht met 3LoD. Bijvoorbeeld het aspect governance van de outsourcing relatie wat zou kunnen duiden op management control taken. Aangeraden wordt om in praktijk de integratie van de raamwerken voor te leggen aan deskundigen op het gebied van IT-outsourcing en 3LoD.

85

Reflectie

6 Reflectie Life can only be understood backwards; but it must be lived forwards. --Søren Kierkegaard

6.1 Inleiding In dit hoofdstuk wordt een beschouwing gegeven van de manier waarop de onderzoeker gedurende het onderzoek zijn rol als onderzoeker heeft ingevuld en beleefd, en de wijze waarop deze mogelijk invloed heeft gehad op de uiteindelijke resultaten. Ook de ideeën die zijn ontstaan uit voortschrijdend inzicht worden hier weer gegeven. In paragraaf 6.2 volgt een reflectie op het theorieonderzoek waarna in paragraaf 6.3 dit hoofdstuk wordt afgesloten met een reflectie op het praktijkonderzoek en de ideeën die zijn ontstaan uit voortschrijdend inzicht.

6.2 Literatuuronderzoek In het literatuuronderzoek bleek het concept governance van IT-outsourcing een nog niet volledig uitgewerkt concept te zijn. Het aantal wetenschappelijke (empirische) publicaties bleek in het onderzoek ook beperkt te zijn. In het literatuuronderzoek is als eerste verkend of dit concept verder geoperationaliseerd kon worden voor een grootschalige uitvoering (enquête) van het praktijkonderzoek. Gedurende een analyse op hoofdlijnen op basis van o.a. CobiT werd duidelijk dat dit te omvangrijk was gelet op de onderzoeksuren. Hiernaast werd ook duidelijk dat de complexiteit van het onderwerp mede in relatie tot het andere governance model (3LoD) niet geschikt was voor een enquête onderzoek. Gedurende het literatuuronderzoek werd verder ook duidelijk dat een onderzoek naar IT-outsourcing governance verder afgebakend moest worden. Na overleg met de scriptiebegeleider is dan ook besloten om de organisatierollen, informatiestromen en prestatie-indicatoren vanuit de IT-outsourcing literatuur niet in het praktijkonderzoek mee te nemen. Deze aspecten zijn enigszins wel vanuit 3LoD in het praktijkonderzoek bestudeerd. De beperking tot slechts in kaart brengen van de aandachtsgebieden van de regieorganisatie bleek nog een behoorlijke opgave te zijn. De auteurs van de governance modellen bleken verschillende visies te hebben op het onderwerp IT-outsourcing governance en hiernaast verschillende bijdragen te hebben geleverd op dit gebied. Voor de validiteit van de vergelijking van de aandachtsgebieden van de verschillende governance modellen zijn de visies en bijdragen van de auteurs op dit gebied nader bestudeerd. De puntsgewijze uitwerking van de aandachtsgebieden, clustering tot onderdelen van de regieorganisatie en schematische verwerking heeft pas in de voorbereiding van het praktijkonderzoek plaatsgevonden. Het is voor de onderzoeker dan pas duidelijk geworden wat exact de behoefte aan theoretische onderbouwing is geweest. Het literatuuronderzoek naar IT-outsourcing governance is door de onderzoeker als vrij intensief ervaren. Gedurende het literatuuronderzoek is de onderzoeker zich niet bewust geweest dat de aandacht voor het IT-outsourcing governance onderwerp enigszins ten koste leek te gaan van de aandacht voor het andere niet geheel onbelangrijke governance onderwerp 3LoD. In de pilot van het praktijkonderzoek werd dit gelukkig al snel duidelijk. De in de literatuur gevonden beschrijvingen van de verschillende LoD bleken niet specifiek genoeg te zijn voor een onderzoek in de praktijk naar 3LoD. Hoewel de onderzoeker dacht het 3LoD gedachte goed te begrijpen, bleek de exacte afbakening tussen de LoD niet geheel duidelijk te zijn. In de eerste uitwerking van 3LoD bleek vooral de afbakening tussen de 1st LoD en 2nd LoD nog vaag te zijn, waardoor iedere afdeling zich kon voordoen als zowel 1st als 2nd LoD. Aanvullend relevant literatuur werd echter pas verkregen aan het begin van het praktijkonderzoek na het interviewen van een aantal experts op dit gebied. Dat deze artikelen niet eerder gevonden waren via de databanken was gelet op de bronnen van de artikelen te verklaren. Op basis van deze artikelen is vervolgens het raamwerk

86

Reflectie

ontwikkeld ‘3LoD taken en randvoorwaarden’. De theoretische onderbouwing van het raamwerk is met deze artikelen nog niet zo robuust als het raamwerk voor de regieorganisatie, echter wel gebaseerd op de laatste algemene beschikbare kennis over 3LoD.

6.3 Praktijkonderzoek Zoals in hoofdstuk 3 is aangegeven kan dit onderzoek niet als zuiver interpretatief worden bestempeld. De onderzoeker heeft echter wel, conform de interpretatieve onderzoeksvisie, geprobeerd om zoveel mogelijk rekening te houden met de contextuele betekenisverlening en situationele omstandigheden door respondenten de ruimte te geven om deze verwachtingen te challengen. Hiernaast is vooraf aan de respondenten aangegeven dat het onderzoek primair gericht is op het begrijpen hoe 3LoD voor IToutsourcing in de praktijk is vorm gegeven. En dat het onderzoek niet ten doel heeft om oorzaken van afwijkingen van de ‘norm’ te achterhalen. De contextuele verschillen tussen de banken zijn ook zoveel mogelijk in kaart gebracht en beschreven in hoofdstuk 4 voor IT-outsourcing en 3LoD. De respondenten bleken over het algemeen de verwachtingen over de inrichting van de regieorganisatie en de rol van 3LoD hierbinnen te bevestigen. Gedurende het praktijkonderzoek werd bevestigd dat het onderzoeken van onderzoeksthema een aantal uitdagingen kent. In de eerste plaats, de complexiteit van het onderzoeksthema maakte dat er gezocht moest worden naar specifieke respondenten die ook bereid en beschikbaar moesten zijn om aan het onderzoek mee te werken. In de tweede plaats, zijn gedurende de interviews zoals aangegeven bij de beperkingen van dit onderzoek (paragraaf 5.4) twijfels gerezen over de mate waarin de respondenten een goed overzicht hadden van de gehele regieorganisatie en de LoD waarbinnen deze werkzaam was. Op derde plaats, de vertrouwelijkheid van de informatie vormde een reëel gevaar voor sociaal wenselijke antwoorden. De onderzoeker kreeg in bepaalde interviews de indruk dat respondenten het gevoel hadden dat zij deelname aan een audit- in plaats van een referaatonderzoek. Antwoorden op bepaalde vragen leken meer op logica/‘algemene norm’ gebaseerd te zijn dan een feitelijke weergave van de praktijk. Ten slotte, de beschikbare tijd van de respondenten maakte het goed onderzoeken van beide governance onderwerpen, in één interview met aanvullende vragen via e-mail, niet altijd goed mogelijk. Hierbij wordt wel opgemerkt dat een aantal respondenten uitvoerig de tijd hebben genomen om aan dit onderzoek mee te werken. De meeste uitdagingen waren door de onderzoeker voorzien bij het uitwerken van de methode van onderzoek, waarin ook de maatregelen zijn beschreven om ongewenste effecten van deze uitdagingen op de onderzoeksresultaten te voorkomen. De kracht van het risk governance model, 3LoD, is de onderzoeker pas echt gaan begrijpen gedurende het praktijkonderzoek en de analyse van informatie. In deze periode is ook het inzicht ontstaan dat 3LoD een bepaald groeimodel is waarbij de focus in de praktijk ligt op operationele activiteiten en dat na een bepaalde volwassenheid ook tactische en strategische zaken hier onderdeel van kunnen uit maken. De 2nd LoD maar ook 3rd LoD zal hiervoor een bepaald niveau van competenties moeten opbouwen. Dit zou één van de mogelijke verklaringen kunnen zijn voor de wijze waarop 3LoD, welke voornamelijk uit tactische en enkele strategische activiteiten bestaat, vandaag de dag vorm gegeven is binnen de banken. Het inzicht in de kracht van 3LoD zorgde ook voor een klein Eureka moment: het werd duidelijk hoe de raamwerken in elkaar geschoven konden worden waardoor de regiefunctie voor IT-outsourcing in zijn geheel kan worden versterkt. In het bestaande raamwerk voor de regieorganisatie is het onderdeel functions te algemeen en dekt niet voldoende de taken af van de 1st LoD en de 2nd LoD. Dit kan verbeterd worden door dit onderdeel te hernoemen naar Risk Oversight & Assurance en de aandachtsgebieden te herdefiniëren naar de taken van de 2nd LoD. En voor de 1st LoD een nieuw onderdeel (Risk Management) aan het raamwerk toe te voegen met als aandachtsgebieden Management Contol en Risk Management. Voor 3rd LoD dienen de taken overgenomen te worden zoals gedefinieerd in het 3LoD raamwerk. Het nieuwe raamwerk maakt voor alle partijen inzichtelijk dat het effectief managen van IT-outsourcing een taak is van samenwerkende Lines of Defence. Dit raamwerk is opgenomen in bijlage 7.

87

Literatuur

Literatuurlijst Autoriteit Financiële Markten (2012a). EU richtlijn: MiFID. Verkregen op 25 januari, 2013 van http://www.afm.nl/nl/professionals/regelgeving/wetten/wft/wft-mifid.aspx Autoriteit Financiële Markten (2012b). Wet op het financieel toezicht (Wft). Verkregen op 25 januari, 2013 van http://www.afm.nl/nl/professionals/regelgeving/wetten/wft.aspx Bank for International Settlements (2005), ‘Compliance and the compliance function in banks’, Basel Commitee on Banking Supervision. Verkregen op 15 april, 2013 van http://www.bis.org/publ/bcbs113.pdf Bank for International Settlements (2011a), ‘Core Principles for Effective Banking Supervision’, Basel Commitee on Banking Supervision Bank for International Settlements (2011b), ‘Principles for the Sound Management of Operational Risk’, Basel Commitee on Banking Supervision Bank for International Settlements (2011c), ‘The internal audit function in banks’, Basel Commitee on Banking Supervision Bergkvist, L.; Fredriksson, O. (2008). Outsourcing Terms: A Literature Review from an ISD Perspective. ECIS Beulen, E. (2000). Beheersing van IT-outsourcingsrelaties. Een beheersingmodel voor uitbestedende bedrijven en IT-leveranciers.; proefschrift Beulen, E.; Ribbers, P. & Roos, J. (2011). Managing IT Outsourcing, 2nd edition. New York; Routledge

Beulen, E.; Tiwari, V. & Heck van, E. (2011b), ‘Understanding transition performance during offshore IT outsourcing.’, Strategic Outsourcing: An International Journal, Vol. 4 (3), p. 204 - 227 Bolderhey, I. & IJpeij, F. (2007). MiFID: zelfs bij ‘business as asual’ verandert veel; IT processen van beleggingsondernemingen wijzigen door implementatie van EU Richtlijn. de EDP-Auditor, 3, 24-33 Brooks, N. (2006), ‘Understanding IT Outsourcing and its potential effects on it workers and their environment’, The Journal of Computer Information Systems, Vol. 46 (4), p. 46 - 53 Bryman, A. (2008). Social Research Methods , third edition. New York; Oxford University Press Inc.

88

Literatuur

Chaudhary, S. & Kishore, R. (2010), ‘Determinants and impacts of governance forms on outsourcing performance: evidence from a case study’, Journal of Information Technology Case and Application Research, Vol. 12 (1), p. 39-56 Claassen, U. (2009), ‘Handboek risicomanagement. ERMplus: een praktische toepassing van COSO ERM’, Kluwer COBIT (2010) Control Objectives for Information and Related Technology (COBIT), 4th edn, Illinois: IT Governance Institute (www.isaca.org/cobit.htm) accessed 10 februari 2013 Dibbern, J.; Goles, T.; Hirschheim, R. & Jayatilaka (2004), ‘Information Systems Outsourcing: A survey and analysis of the literature’, The DATA BASE for Advances in Information Systems, Vol. 35 (4), p. 6-102 Greenberg, P.; Greenberg, R.; Antonucci, Y. (2008), ‘The role of trust in the governance of business process outsourcing relationships’, Lacity, M. C.; Khan, S,; Yan, A,; Willcocks L. (2010), Business Process Management Journal, Vol. 14 (5), p. 593 -608 Hartog, P.; Korte, R, de; Otten, J. (2010), ‘KAD+: Model voor het auditen van Management Control’, Stichting Auditing.nl Harvey, W. S. (2009), ‘Methodological Approaches for Junior Researchers Interviewing Elites: A Multidisciplinary Perspective’, University of British Columbia, Department of Geography, p. 133 Hecke, E. van (2013), ‘Opgepast Hansaplast!’, Audit Magazine, Vol. 12 (3), p. 20-22

Hout, H. van (2012), ‘Three Lines of defense: een kwestie van dijkbewaking?, Audit Magazine, Vol. 13 (3), p. 14-16 Institute of Internal Auditors, the (2013), ‘Position Paper: The Three Lines of Defense in Effective Risk Management and Control’, p. 1-8 Korsten, A. (2011), ‘Theorie als inspiratie en orientatiepunt voor bestuurskundig onderzoek.’ Verkregen op 25 januari, 2013 van http://www.arnokorsten.nl/PDF/Onderzoek/Theorie%20en%20hypothesen%20in%20onderzoek .pdf Jong, F.d., Hillegersberg, J.v., Eck, P.v., Kolk, F.v.d. and Jorissen, R. (2010). Governance of Offshore IT Outsourcing at Shell Global Functions IT-BAM-Development and Application of a Governance Framework to Improve Outsourcing Relationships, In Proceedings of the The Fourth Global Sourcing Workshop, Zermatt, Switzerland. Sourcing Workshop, Switzerland. Lacity, M. C.; Khan,Zermatt, S,; Yan, A,; Willcocks L. (2010), ‘A review of the IT outsourcing empirical literature and future research directions’, Journal of Information Technology, Vol. 25, p. 395433 Lacity, M. C.; Khan, S,; Willcocks, L. (2009), ‘A review of the IT outsourcing literature: Insights for practice’, The Journal of Strategic Information Systems, Vol. 18, p. 130 - 146

89

Literatuur

Lacity, M. C., Willcocks, L.P. (2001). Global Information Technology Outsourcing: In search of business advantage. Chichester, John Wiley & Sons, Ltd Laudon, K. C., Laudon, J. P. (2010). Management Information Systems. Managing the Digital Firm., Pearson Education, Inc., Eleventh Edition Littig, B. (2008), ‘Interviews mit Eliten – Interviews mit ExpertInnen: Gibt es Unterschiede? ’, Forum: Qualitative Social Research, Vol. 9, No.3, Art 16 Loh, L.; Venkatraman, N. (1992), ‘Determinants of Information Technology Outsourcing: A Cross-Sectional Analysis’, Journal of Management of Information Systems, Vol. 9, p. 7 - 24 Micallef, M. (2008), ‘The New World of Risk-based , Information Systems Control Journal, Vol. 1, p. 1 - 5

Regulation

(Part

2)’

Nederlandse Beroepsorganisatie van Accountants (2013), ‘Specifieke wettelijke verplichtingen van de interne auditfunctie en de externe accountant van een financiele onderneming, een elektronischgeldinstelling, een premiepensioeninstelling en een pensioenfonds’. Verkregen op 13 maart 2013 van http://www.nba.nl/Actueel/Nieuws/Nieuwsarchief/NBA-handreiking-1104-definitief/ Nederlandse Vereniging van Banken (2009), ‘Code Banken’. Verkregen op 20 september 2013 van http://www.commissiecodebanken.nl/scrivo/asset.php?id=941106 NOREA (2007), ‘Studierapport: Normen voor de beheersing van uitbestede ICT-beheerprocessen’, NOREA en PvIB Neuman, W. (2011), Social Research Methods. Qualitative and Quantitative approaches., Pearson Education, Inc., Seventh Edition Oshri, I.; Kotlarsky, J..; Willcocks, L. (2011), ‘The Handbook of Global Outsourcing and Offshoring’, Palgrave Macmillan, 2nd Revised edition Oyemade, R. (2012), ‘Effective IT Governance Through the Three Lines of Defense, Risk IT and COBIT’, ISACA Journal, Vol. 1, p. 1 - 6 PON (2012), ‘Outsourcingsmarkt wordt volwassener. Regie blijft aandachtspunt’, Boardroom IT Strategic Sourcing, ICT Media BV PWC (2013). ‘Three Lines of Defense’ model. De toegevoegde waarde van samenwerking. Verkregen op 13 maart 2013 van http://www.pwc.nl/nl/governance-risk-compliance/three-lines-ofdefense-model.jhtml

90

Literatuur

Puijenbroek, J. (2008). Uitbesteding bij financiële ondernemingen; Wet- & regelgeving en de ITauditor (Deel 1 – Wft), de EDP-Auditor, 1, 11-20 Rooijen, M (2009). ‘Toezicht op uitbesteding door DNB’, Het outsourcingCongres

Sauerwein, L. B. & Linnemann, J. J. (2002). Handleiding voor verwerkers van persoonsgegevens ;Wet bescherming persoonsgegevens. Verkregen op 25 januari, 2013 van http://www.rijksoverheid.nl/documenten-en-publicaties/brochures/2006/07/13/ handleiding-wet-bescherming-persoonsgegevens.html Saunders, M., Lewis, P., Thornhill, A. (2007), ‘Methoden en Technieken van Onderzoek – 3e Editie, Amsterdam, Pearson Education Benelux Vincent, W. (2012), ‘IT outsourcing still remains fashionable: despite economic woes, global ITO market logs in 7,8% growth’, The Business Times’, mei Werth, B. (2011), ‘Uncertainty in IT outsourcing of large financial institutions’, PhD Thesis, Manchester Metropolitan University Business School Velde, E.G., van der, Jansen, P.G.W. & Telting, I.A. (2000). ‘Bedrijfswetenschappelijk onderzoek: van probleemstelling tot presentatie’. Baarn: Nelissen. Verschuren, P.; Doorewaard, H. (2009); ‘Het ontwerpen van een onderzoek’, Uitgeverij Lemma B.V., derde druk Venkatesh, V.; Morris; Davis; Davis (2003), "User Acceptance of Information Technology: Toward a Unified View", MIS Quarterly, 27, pp. 425–478

91

Appendix I: IT-outsourcing governance modellen

Verantwoordelijkheden***

Rollen

Activiteiten

Appendix I: IT-outsourcing governance modellen Willcocks (2010)

Beulen (2011)

Jong (2010)*

Fundamental tasks: - governance, including leadership and coordination; - electing and delivering on business requirements; - ensuring techical capabilities; - managing external supply. Core capabilities: - leadership - business systems thinking - relationship building - architecture planning and design - making technology and process work - informed buying - contract facilitation - contract monitoring - vendor development

Strategic activities: - business systems thinking - IS/IT leadership - relationship building - architecture planning - making technology work Tactical activities: - formulating information needs - informed buying - contract facilitation - contract monitoring - vendor development - setting up, maintaining and certifying IT delivery process - investigating the potential of new technologies Operational activities: - maintaining relations with the tenderer - managing IT professionals - creating a skill base

Strategic joint process fields: - Portfolio Management - IT-Architecture Management Tactical joint process fields: - Contract Management - Financial Management - Innovation Management - Escalation Management - Engagement Management - Performance Management (measure compliance to requirements & enforce compliance) - Risk Management - Programme and Project Portfolio Management Operational joint process fields: - (Not in scope)

Contract Management ** - Management Steering Committee - Contract Manager - Internal Audit - Legal - Finance - Quality Assurance - KPI Manager - Service Level Manager - Service Level Specialists - Business Units

Demand Management Business manager Chief Information Officer Information Manager Service Delivery Supervisor Purchaser Business Analyst Service Provider IT director Account Manager Contract Manager Service Delivery Manager (SDM) Process Manager Competence Manager IT Professional

Outsourcer Information manager Purchaser Finance manager Business analyst Service manager Delivery supervisor Innovation manager Insourcer Account manager Contract manager Delivery manager Process manager Competence manager

Klant - Management Steering Committee - Contract Manager - Internal Audit - Legal - Finance - Quality Assurance - KPI Manager - Service Level Manager - Service Level Specialists - Business Units

Klant - business systems thinking - leadership - relation building - architecture planning - making technology work - formulating information needs - informed buying - contract facilitation - contract monitoring - vendor development Leverancier - investigating the potential of new technologies - maintaining relations with the tenderer - managing IT professionals - creating a skill base - setting up, maintaining and certifying IT delivery process

Klant - Financial Management - Innovation Management Klant/Leverancier - Contract Management - Escalation Management - Engagement Management - Performance Management - Risk Management

Lees: * dit model is alleen uitgewerkt op tactisch niveau. Dit betreft dan ook geen volledig overzicht van activiteiten, rollen en verantwoordelijkheden. ** De auteurs geven geen overzicht van rollen en verantwoordelijkheden per kerncompetentie, wel wordt er een voorbeeld gegeven van rollen en verantwoordelijkheden voor contract management . *** Dit betreft een indeling naar primaire verantwoordelijkheid (R, responsible en A, accountable).

92


1 Inleiding In deze appendix wordt ingegaan op de achtergronden van de governance modellen die in dit onderzoek zijn gebruikt voor het ontwikkelen van het raamwerk regieorganisatie IT-outsourcing.

2 Model Willcocks en Feeny Leslie Willcocks en David Feeny verwerven in de jaren ’90 veel aandacht met hun publicatie over ‘Core IS Capabilities framework’. De onderzoekers stellen dat een organisatie na het uitbesteden van haar IT moet (blijven) beschikken over een aantal IT gerelateerde kerncompetenties. Dit is ook wel beter bekend geworden als het concept retained organization. Het concept beschrijft de competenties die benodigd zijn voor een organisatie om na outsourcing regie te houden over de inzet van IT. De retained organization is volgens de onderzoeker uitermate deskundig, vraaggestuurd en strategie gefocust.

2.1 Visie op IT-outsourcing governance In 2010 brengen Willcock, Cullen en Craig een boek uit met de titel The Outsourcing Enterprise. In dit boek wordt ook aandacht besteed aan governance. De auteurs definiëren governance als volgt: Governance is about establishing a constitution, the rules of the game, if you like, in terms of establishing how decisions get made, and who is responsible for what decisions, actions, and outcomes. De auteurs maken onderscheid tussen good contract governance en good relationship practices. De auteurs benadrukken het belang van een goede relatie maar geven hierbij aan dat hier niet alleen op gebouwd mag worden. Ongeschreven regels kunnen moeilijk als bewijs dienen en hebben ook het karakter om te wijzigen in de tijd door nieuwe mensen die zich gaan bezig houden met de deal. Als onderdeel van good contract governance zien de auteurs het ontwikkelen van een Governance Charter. Zowel het ‘Core IS Capabilities framework’ en ‘Governance Charter’ worden hier op hoofdlijnen beschreven.

2.2 Core IS Capabilities framework Willcocks en Feeny stellen dat top IT afdelingen vier fundamentele taken hebben. Deze vier taken worden uitgevoerd aan de hand van 9 kerncompetenties waar IT organisaties over dienen te beschikken. Een capability wordt door de onderzoekers omschreven als: a distinctive set of human-based skills, orientations, attitudes, motivations, and behaviors that, when applied, can transform resources into specific business activities (Willcocks et al. 2010, p. 102). Interessant in de context van dit onderzoek is om te vermelden dat er volgens de onderzoekers er initieel drie taken waren (1998) en dat hier later een vierde ‘governance’ aan toegevoegd is. Het eerste taakgebied die Willcocks (2010) betreft governance, including leadership and coordination. Dit taakgebied heeft betrekking op het afstemmen, rekening houdend met dynamiek, van IT activiteiten intern en met die van de organisatie in zijn geheel. Dit taakgebied omvat onder andere competenties zoals IT-leadership, maar ook het meer uitvoerende aspect dat door de onderzoekers Making IT work wordt genoemd. Het gaat hier om er voor te zorgen dat problemen worden opgelost, die door betrokken leveranciers door gebrek aan duidelijkheid over verantwoordelijkheden niet adequaat worden opgepakt. Het taakgebied electing and delivering on business requirements geeft invulling aan de aansluiting op de vraagzijde van IT. Het taakgebied is gericht op het definiëren van de benodigde systemen, informatie en processen die voortkomen uit de bedrijfsdoelstellingen. Een belangrijke competentie hierin is business systems thinking: het hebben van een holistische perspectief wat gericht is op het optimaal integreren van strategie, processen, technologie, systemen en mensen. Het taakgebied ensuring technical capabilities definieert de architectuurblauwdruk voor het te realiseren IT platform dat invulling geeft aan de gedefinieerde informatiebehoeften. Het taakgebied omvat ook het beheersen van inherente risico.

93


Het taakgebied managing external supply is gericht op de aanbodzijde van IT: de markt. Het omvat het opstellen en het managen van een sourcing strategie. Hiervoor is kennis vereist over externe leveranciers (de markt), de wijze van het selecteren van leveranciers, het contracteren en het managen van IT resources en services.

Figuur A-1 Negen kern competenties voor high-perfoming IT en backoffice functies (Willcocks et al., 2010, p.102)

De auteurs stellen dat de negen kerncompetenties de minimale vereisten zijn voor een clientorganisatie om regie blijven over de uitbesteding en de resultaten van de uitbesteding. De auteurs benadrukken dat naast deze basis vereisten het van belang is om vast te stellen welke vaardigheden er nodig zijn binnen de clientorganisatie. Tevens zal de organisatie een contract management network moeten inrichten. De auteurs bedoelen hiermee te zeggen dat het managen van outsourcing niet het domein is van solisten, maar vaak een netwerk betreft van individuen die ingezet worden afhankelijk van de aard van de uitbesteding en de vaardigheden beschikbaar in de organisatie. De auteurs geven geen omschrijving van rollen, maar wel een beschrijving van vaardigheden in het kader van contract management.

2.3 Governance Charter De ‘governance charter’ betreft volgens de onderzoekers een wederzijdse governance overeenkomt met een leverancier. Het doel van de overeenkomst wordt door de auteurs als volgt omschreven: to manage the deal in a diligent and agreed manner, thereby ensuring strong controls as well as facilitating an efficient working relationship (Willcocks et al. 2011, p. 164). De governance charter wordt in de architect fase opgesteld en is onderdeel van de bouwsteen ‘design’. De governance charter bestaat volgens de auteurs uit de volgende 6 elementen: 1. relatie structuren en rollen – wie van elke partij is verantwoordelijk voor wat; 2. overlegorganen – wie hebben overleg, over wat en hoe vaak; 3. reviews – wie beoordeelt wat, en hoe vaak; 4. issue management – hoe problemen en verbeterideeën geïnitieerd, gevolgd, en opgelost. 5. dispute management – hoe verschil in meningen geëscaleerd, gevolgd, en opgelost worden; en 6. variation management – hoe wijzigingen en correcties geïnitieerd, gevolgd en geaccepteerd of geweigerd worden.

3 Model Beulen, Ribbers en Roos Beulen ontwikkelde in het kader van zijn proefschrift in 2000 een beheersingsmodel voor IToutsourcingsrelaties voor uitbestedende bedrijven en externe IT-leveranciers. In 2002 publiceren Beulen en Ribbers een artikel waarin aandacht wordt besteed aan de governance factoren die belangrijk zijn voor het managen van IT-outsourcing. In 2006 brengen Beulen en Ribbers een boek uit met de titel Managing Outsourcing waarvan in 2011 de tweede editie verschijnt. Het boek is volledig gewijd aan het managen van IT-outsourcing. In het boek geven de auteurs o.a. een overzicht van de IT services verantwoordelijkheden,

94


activiteiten en rollen op zowel strategisch, tactisch en operationeel niveau. De impact van IT-outsourcing op de verschillende organisatieniveaus wordt hier ook beschreven. De auteurs geven ook een overzicht van governance factoren voor IT-outsourcing.

3.1 Visie op IT-outsourcing governance Beulen et al. (2011) vinden communicatie één van de belangrijkste aspecten van IT-outsourcing governance. In IT-outsourcing situaties lopen externe leveranciers immers altijd achter de feiten/ontwikkelingen aan door de afstand tussen leverancier en klant (business). Alleen goede communicatie kan zorgen voor de informatie die nodig is zodat de leverancier goed haar werk kan uitvoeren. Beulen et al. (2011) merken hierbij op dat communicatie niet bepaald een competentie is waar IT professionals in uitblinken en dat het daarom des te belangrijker is om een goede afstemming (alignment) te hebben tussen Business en IT. Tenslotte vinden Beulen et al. (2011) accountability een ander belangrijk aspect van governance. Beulen et al. (2011) maken onderscheidt tussen formal governance mechanisms, zoals contracten, en relational governance mechanisms. Deze laatste zijn gericht op problemen in het vertrouwen of sociale identificatie (bijvoorbeeld frequent direct contact, opzetten van joint teams e.d.). Volgens Beulen et al moeten er door organisaties voor zowel officiële contracten als relaties verschillende controle en coördinatie mechanismen worden ingebouwd om ervoor te zorgen dat de leverancier handelt conform afspraken. Beulen (2011) sluit zich aan bij de definitie van Weill & Ross (2004) en geeft aan dat IT governance drie fundamentele vragen omvat: (1) Welke besluiten moeten er genomen worden voor het effectief inzetten van en managen van IT?; (2) wie zouden deze besluiten moeten nemen?; (3) hoe worden deze besluiten genomen en gemonitord? Zowel de ‘beheersingsfactoren en aspecten’ als ‘de verantwoordelijkheden IS/IT, activiteiten en rollen’ worden hier op hoofdlijnen beschreven.

3.2 Beheersingsfactoren en aspecten IT-outsourcing Voor het beantwoorden van het vraagstuk ten aanzien van het managen van de IT outsourcing relatie vinden Beulen et al. slechts een beperk aantal publicaties (McKeen & Smith 2000; Lacity & Willcocks 2001; Beulen en Ribbers 2003; Beulen 2004). Op basis van een publicatie van Lacity en Hirschheim (1993) stellen de auteurs dat een outsourcing relatie gekenmerkt wordt door uitbestedend bedrijf, IT leverancier en het bestaan van een relatie. Het uitbestedend bedrijf en de IT dienstverlener zijn aan elkaar verbonden door (contractuele) afspraken ten aanzien van IT dienstverlening. Deze drie elementen, door de auteurs dimensies genoemd, vormen de basis van het model van Beulen et al. Voor het bepalen van de relevante governance factoren per element hebben de auteurs gebruik gemaakt van verschillende theorieën (modellen) waaronder competitive strategy theory, resource-based view, resource-dependency theory, transaction cost economy en agency theory. Het ontwikkelde model operationaliseert in feite het concept ‘IT outsourcing partnership’ door een overzicht te bieden van specifieke organisatorische elementen die geïmplementeerd kunnen worden door zowel het uitbestedend bedrijf als de leverancier ter versterking van de partnerschap. De auteurs merken op dat het overzicht niet beschouwd moet worden als een volledige lijst van te implementeren maatregelen. Per dimensie hebben de auteurs vier beheersingsfactoren uitgewerkt. Per beheersingsfactor zijn vervolgens vier governance aspecten uitgewerkt. Governance aspecten worden door de auteurs ook wel managementactiviteiten genoemd. Voor de dimensie uitbestedend bedrijf onderkennen de auteurs de volgende governance factoren: duidelijke IT strategie, inbedden van IT in de business en een helder demand management structuur op zowel strategisch als tactisch niveau. De dimensie de relatie is gericht op de relatie tussen het uitbestedend bedrijf en de leverancier. Deze omvat de volgende governance factoren: duidelijkheid omtrent verantwoordelijkheden, contracten, vertrouwen in het partnership en overlegorganen. De dimensie leverancier omvat de governance factoren: duidelijke en

95


consistente marktpositie, een back en front office en de beschikbaarheid van IT professionals. In onderstaande figuur (A-2) een overzicht van het model van Beulen et al.

Governance factors A clear IT strategy

The embedment of IT in the business

Clear demand management structure on strategic level: Chief Information Officer Clear demand management structure on tactical level: Information Managers

Governance aspects - Aligning the IT and business strategies - Aligning the IT strategy with that of the parent company - Preparing for the company’s business dynamics - Involving external experts - Appointing IT portfolio managers in the business - Changing from a cost perspective to an added-value perspective - Involving the provider in product development - Involving the business in the management of the partnership - Developing the IT strategy - Maintaining good relations with the business - Knowledge of both the business and technology - Reporting to the board of directors - Implementing the IT strategy - Maintaining good relations with the business - Knowledge of both business and technology - Reporting to both the CIO and the business

Governance factors Unambiguously defined responsibilities

Contracts

Trust in the relationship

Steering organizations

Governance factors A clear and consistent market position

A front office

A back office

The availability of IT professionals

Governance aspects - A vision on the future - Product portfolios - Market segmentation - Geographical scope - Senior Management embedment of the partnership - Account management - Contract management - Innovation management - The organizational embedment of the back office - Service delivery management - Process-based service delivery - Audit processes - Sourcing portfolios - Embedding transferred employees - Attention to individual employees - A planned approach

Governance aspects - Defining client – supplier interfaces - Defining organizational responsibility interfaces - Optimizing and updating organizational responsibility interfaces - Setting up procedures for responsibility transfer - Defining the IT services unambiguously - Defining a procedure for situations not described in the contract - Structuring the contract into layers - Defining a procedure for price changes - Arranging for trust to be built continuously - Ensuring personal trust between key staff members on both side - Measuring trust regularly - Aligning frames of reference - Steering organizations on the strategic organization level - Steering organizations on the tactical level - Steering organizations on the operational level - Ensuring coherence between the several conference levels

Figuur A-2 IT-outsourcing beheersingsfactoren en beheersingsaspecten (Beulen et al. 2011)

3.3 Verantwoordelijkheden IS/IT, rollen en activiteiten Naast het model met governance factoren hebben Beulen et al. (2011) ook de IS/IT verantwoordelijkheden, rollen en activiteiten uitgewerkt. De uitwerking van deze activiteiten en rollen is voor een belangrijk deel gebaseerd op het Core Capabilities model van Willcocks en Feeny (1998) en een publicatie van Rockart et al. (1996). Het ontwikkelde model door Beulen en de uitwerking van IS/IT verantwoordelijkheden, rollen en activiteiten lijken elkaar sterk te overlappen. In de literatuur zijn echter geen aanwijzingen gevonden over de exacte relatie tussen deze twee concepten. Beulen et al. onderscheiden drie verantwoordelijkheidsgebieden met betrekking tot de effectieve exploitatie van IT in de business: (1) goede afstemming tussen IT en business vereist de ontwikkeling van een visie over hoe IT de business moet ondersteunen, nieuwe innovatieve strategieën mogelijk maakt en de organisatie herontwerpt; (2) ter ondersteuning van de huidige en toekomstige business model zal er

96


geschikt IT architectuur ontwikkeld moeten worden, de keuze voor de technische platform als basis voor de dienstverlening door IT Services; (3) de uitdaging voor het leveren van lage kosten en hoge kwaliteit IS dienstverlening. Beulen et al. (2011) beschrijven vervolgens de rollen voor het uitbestedend bedrijf en de leverancier. Per betrokken rol geeft Beulen aan wat exact de verantwoordelijkheden zijn volgens het RASC model (responsible, accountable, supported of consulted). Tenslotte worden voor de verschillende organisatieniveaus (strategisch, tactisch en operationeel) de activiteiten beschreven en gekoppeld aan de rollen en verantwoordelijkheden. De impact van IT-outsourcing op de verschillende activiteiten wordt hierin meegenomen. De onderzoekers concluderen dat de implicaties van IT-outsourcing verschilt per organisatieniveau. Verder concluderen de onderzoekers dat in algemene zin strategie zowel IS/IT nooit uitbesteed kan worden. Uitbestedende organisatie moeten controle hebben over hun IT services en duidelijke richtlijnen hebben voor het managen van hun IT providers. IT service delivery kan uitbesteed worden aangezien dit meer operationele taken bevat.

4 Model Jong, Hillegersberg, Eck, Kolk In 2010 ontwikkelden onderzoekers, Hillegersberg & van Eck, verbonden aan de universiteit van Twente in samenwerking met Shell, de Jong, van der Kolk en Jorissen, een IT governance framework. Het framework is gericht op het verbeteren van outsourcings relaties. Aanleiding van het onderzoek was een praktijkprobleem binnen Shell GFIT BAM. Dit onderdeel had te maken met gebrek aan control over een minstens één van hun leveranciers. Shell BAM was mening dat in de literatuur weinig ondersteuning is voor het ontwerpen en implementeren van IT outsourcing governance structuren. Het verzoek van Shell BAM aan de onderzoekers was dan ook om een generiek maar customizable raamwerk te ontwikkelen die eenvoudig toegepast kan worden om de governance van outsourcing relaties te verbeteren. Het literatuuronderzoek van de onderzoekers bevestigde de claim van Shell BAM ten aanzien van het bestaan van voornamelijk generieke management frameworks en high-level best practices. Op basis hiervan hebben de onderzoekers ervoor gekozen om een framework te ontwikkelen. Het conceptueel model van de onderzoekers is vervolgens voorgelegd aan 4 externe outsourcing experts (Getronics Consulting, Accenture en Logica) en 3 experts binnen Shell. De onderzoek aanpak is summier beschreven. Over de methodiek vermelden de onderzoekers dat het gestructureerde interviews betreffen.

4.1 Visie op IT-outsourcing governance In het onderzoek is als definitie voor IT governance gekozen voor de definitie van het IT Governance Institute. De voornaamste reden hiervoor is dat de definitie duidelijk onderscheid maakt tussen organisatie structuren en processen, hetgeen in de context van het onderzoek een belangrijk voordeel was. De onderzoekers geven de volgende definitie van een governance framework voor IT (offshore) outsourcing: A governance framework of an offshore outsourcing relationship is a structure that describes the joint processes and organisational structures, whereby also control indicators and responsibilities are defined. De onderzoekers stellen met andere woorden dat een (meta) governance model voor IT outsourcing vier vragen zou moeten beantwoorden: - what to do? (joint process fields) - how to do it ? (combination of those processes with organisational structures into roles and responsibilities - who should do it? (organisational structures) - how it should be measured? (control indicators) Voor het beantwoorden van deze vragen is gebruik gemaakt van publicaties o.a. Beulen (2006) en Gewald (2006). De onderzoekers hebben ervoor gekozen om hun governance framework alleen op tactisch niveau uit te werken. Tactische rollen vertalen de strategie in uitvoerbare acties en zorgen voor de verdeling van

97


resources over de organisatie, aldus de onderzoekers. Het tactische niveau is gericht op de midden lange termijn (voor IT is dit 1 tot 3 jaar).

4.2 Governance Framework for managing IT Outsourcing relationships Het ontwikkelde raamwerk bestaat uit 4 elementen: organisatiestructuren , jont process fields, verantwoordelijkheden en control indicatoren. Organisatiestructuren bestaat volgens de onderzoekers uit rollen, functies en de benodigde rapportage en beslissingsstructuren. De organisatiestructuur die de onderzoekers beschrijven is generiek en voornamelijk gebaseerd op literatuuronderzoek. De onderzoekers spreken over structuren aangezien er onderscheid wordt gemaakt tussen organisatiestructuur voor de cliënt en de leverancier organisatie. De onderzoekers geven een beschrijving van de rollen van zowel de cliënt als de leverancier die direct te maken hebben met IT-outsourcing. Onder joint processes verstaan de onderzoekers de processen die de cliënt en leverancier gezamenlijk uitvoeren, waar dus rollen van beide partijen bij betrokken zijn. In totaal onderscheiden de onderzoekers 10 processen, waarvan 2 op strategisch niveau en 8 op tactisch niveau. De processen op operationeel niveau zijn niet in scope van het onderzoek. De onderzoekers stellen dat verantwoordelijkheden gedefinieerd moeten worden door het combineren van organisatiestructuur en processen en niet zoals Gewald et al. (2006) stellen alleen binnen organisatiestructuren. De onderzoekers hebben de verantwoordelijkheden ingedeeld volgens het RASC model: eindverantwoordelijk (Accountable), verantwoordelijk (Responsible), ondersteunend (Support) en raadplegend (Consulted). De onderzoekers geven ook een beschrijving van de verantwoordelijkheden, zie figuur A-4. In hoeverre de organisatie in control is over de processen kan gemeten worden aan de hand van de control indicatoren. De control indicatoren zijn niet door de onderzoekers uitgewerkt. De onderzoekers stellen dat control indicatoren in nauwe samenwerking met de business moet worden opgesteld, flexibel moeten zijn en dus niet binnen een generiek framework (doel van het onderzoek) opgenomen kunnen worden. Een schematische weergave van het model en het RASC schema vanuit de praktijk is hieronder opgenomen.

98


Figuur A-3 Overzicht van alle rollen, rapportage en communicatie in de praktijk (Jong et al., 2010)

Figuur A-4 RASC schema vanuit de praktijk (Jong et al., 2010)

99

Appendix II: Analyse ITO aandachtsgebieden

Appendix II: Analyse ITO aandachtgebieden In deze appendix wordt de analyse gepresenteerd van de aandachtsgebieden zoals deze gedefinieerd voor het raamwerk regieorganisatie IT-outsourcing op basis van de geselecteerde IT-outsourcing governance modellen.

De volgende aandachtsgebieden worden op strategisch organisatieniveau onderscheiden: Business Systems Thinking. Het aandachtsgebied business systems thinking komt zowel voor in het model van Willcocks als in het model van Beulen. Bij dit aandachtsgebied gaat het over het hebben van een visie over hoe de huidige en toekomstige business ondersteund kunnen worden en hoe bedrijfsprocessen mogelijk geherstructureerd kunnen worden door het gebruik van moderne IT functionaliteiten (Beulen, 2011). Een ‘business system denker’ heeft een holistische perspectief van de organisatie wat gericht is op het optimaal integreren van strategie, processen, technologie, systemen en mensen (Willcocks, 2010). Business system denker(s) zal voldoende kennis moeten hebben over IT ontwikkelingen en over de markt waarin de organisatie opereert. Hiernaast zal een business systems denker ook goede relaties moeten onderhouden met business managers. IS/IT Leadership. Het aandachtsgebied IS/IT Leadership komt zowel voor in het model van Willcocks als in het model van Beulen (2011). Leiderschap moet zorgen voor een bepaalde visie en richting (Beulen, 2011). Het doel van dit aandachtsgebied is het overbruggen van het gat tussen het domein van de business en IT door het creëren van wederzijds begrip en een gedeelde visie (Willcocks, 2010). Beulen (2011) geeft aan dat het ontwikkelen en implementeren van de organisatie IS en IT strategieën onderdeel is van IS/IT Leadership. Ook het informeren van business managers over het potentieel van IT diensten wordt door Beulen (2011) als onderdeel beschouwd van IS/IT Leadership. Willcocks voegt hieraan toe dat het ontwerpen en implementeren van organisatorische elementen zoals governance, structuur, processen en bemensing voor optimaal leveren van toegevoegde waarde aan de business ook onderdeel is van IS/IT Leadership. Willcocks geeft hiernaast aan dat in geval van outsourcing een organogram van de organisatie en de relatie met de leverancier kan zorgen voor veel duidelijkheid over de relatie, hetgeen kan bijdrage aan een betere beheersing van de relatie. Beulen noemen als onderdeel van de dimensie de relatie ook het ondubbelzinnig definiëren van verantwoordelijkheden van de cliëntorganisatie en de externe dienstverlener. Volgens Beulen dienen er ook interfaces te worden gedefinieerd tussen de cliënt en externe dienstverlener voor het aanleveren van wensen. Verder moet volgens Beulen ook de verantwoordelijkheden beschreven worden van de externe dienstverleners onderling. Dit is alleen van belang wanneer een cliëntorganisatie te maken heeft met meerdere externe dienstverleners. De gedefinieerde verantwoordelijkheden van alle partijen zullen ook onderhouden en geoptimaliseerd moeten worden. Willcocks noemt verder ook het hebben van periodiek overleg als onderdeel van governance (IS/IT Leadership). In geval van uitbesteding is het hebben van vooral face-to-face contact erg belangrijk. De frequentie van de meetings en de senioriteit van de deelnemers kan afhangen van de volwassenheid en stabiliteit van de overeenkomst; de impact van potentiële wijzigingen; de mate waarin KPI’s wel of niet gehaald worden; de aard, omvang en impact van projecten in uitvoering en hoe nabij contract vernieuwingsdatum is. Willcocks merkt hiernaast op dat niet alle overleggen in het teken van ‘probleemoplossing’ hoeven te staan. Overleggen kunnen ook gehouden worden met als doel wat door Willcocks partnering style relationship noemt. De auteurs bedoelen hiermee een overleg wat gericht is op het delen van doelen en visies, het verkennen van business opportunities, e.d. Beulen noemen als onderdeel

100


van de dimensie de relatie het hebben van overleg op strategisch, tactisch en operationeel niveau. De auteurs specificeren verder de type overleggen per organisatieniveau, te bespreken onderwerpen, periodiciteit en de benodigde deelnemers. Beulen geeft ook aan dat het van belang is om samenhang tussen de verschillende overleggen te bewaken. Relationship Building. Het aandachtsgebied relationship building wordt zowel door Willcocks als Beulen genoemd. Het aandachtsgebied is volgens de onderzoekers gericht op de relatie tussen de technische en business mensen in de praktijk. Volgens Beulen verschillen de mentale modellen van techneuten en business mensen. Het doel van dit aandachtsgebied is het faciliteren van de dialoog en het zorgen voor begrip, vertrouwen en een goede samenwerking tussen eindgebruikers en IT specialisten. Het resultaat van dit aandachtsgebied is effectievere ontwikkeling, implementatie en gebruik van IS/IT systemen. Verantwoordelijken voor dit aandachtsgebied zullen ervoor moeten zorgen dat er voldoende kennis is bij eindgebruikers over IT en haar potentieel voor de business. Tevens dienen zij ook te zorgen voor een goede samenwerking tussen eindgebruikers en IT specialisten, helpen zij bij het identificeren van wensen, zorgen zij voor een duidelijke ownership en borgen zij de klanttevredenheid over de IT dienstverlening. Beulen noemen als onderdeel van de dimensie uitbestedend bedrijf ‘embedment of IT in the business’. Dit kan door de auteurs worden bereikt door het aanwijzen van IT portfolio managers in de business, te switchen van kosten naar een toegevoegde waarde perspectief, het betrekken van de dienstverlener bij productontwikkeling en het betrekken van de business bij het managen van de externe dienstverlener. Architectural planning and design. In alle drie modellen wordt een aandachtsgebied genoemd welke gericht is op architectuur. Het doel van dit aandachtsgebied is door inzichten in technologische- , leveranciers- en marktontwikkelingen te anticiperen op deze ontwikkelingen. Het anticiperen op deze ontwikkelen zorgt volgens Willcocks dat de organisatie voortdurend werkt vanaf een effectieve en efficiënte IT platform zonder dat grote investeringen vereist zijn in omvangrijke migratietrajecten. Het gaat hierbij zowel om hardware- als softwarematige zaken. De IT architectuur en infrastructuur wordt gevormd door het ontwikkelen van een visie over een geschikt technische platform en door het formuleren van de bijbehorende richtlijnen die zorgen voor de benodigde integratie en flexibiliteit van IT diensten (Willcocks, 2010). Er zullen trendanalyses gemaakt moeten worden van technologische ontwikkelingen. Beulen (2011) geeft verder aan dat de huidige architectuur een belangrijke rol speelt in deze planningsactiviteit en dat daarom ook de leveranciers hierbij betrokken moeten worden. Richtlijnen moeten ervoor zorgen dat deze activiteit ook op de lange termijn goed wordt uitgevoerd. Deze richtlijnen kunnen dan gebruikt worden om individuele projecten en investeringvoorstellen te beoordelen. Deze richtlijnen worden vaak onderdeel van de organisatie IT strategie. Dit aandachtsgebied moet onderscheiden worden van het tactische aandachtsgebied innovatie management. Het aandachtsgebied innovatie management is gericht op het onderzoeken en ontwikkelen van potentieel van nieuwe technologieën, methodes en business modellen. Het aandachtsgebied architectural planning and design heeft als doel het ontwerpen van de architectuur van het platform, hetgeen dus als een strategisch activiteit wordt beschouwd (Jong, 2010). Making technology and process work. Zowel in het model van Willcocks als in het model van Beulen wordt het aandachtsgebied making technology work genoemd. Willcocks heeft hier process aan toegevoegd. Dit aandachtsgebied is gericht op het snel aanpakken en zorgen voor oplossingen van problemen die kunnen ontstaan met het technische platform. Het gaat hierbij voornamelijk om problemen die kunnen ontstaan door het niet naar tevredenheid vervullen van de wensen van de business als gevolg van de standaard technische oplossingen die worden geboden. Essentiële elementen van dit aandachtsgebied is het hebben van kennis over informatie technologie en de betrokkenheid van de externe diensverlener. De externe dienstverlener moet bijdragen aan de kennis over IT mogelijkheden en risico’s. De cliëntorganisatie dient mensen te hebben die infrastructuur en bedrijfsapplicatie goed begrijpen, zodat er

101


snel technisch vooruitgang kan worden geboekt. Verantwoordelijke voor deze activiteiten zullen in staat moeten zijn om claims van leveranciers over problemen en voorgestelde oplossingen te beoordelen en zo nodig ook te kunnen challengen. IT Portfolio Management. Het aandachtsgebied IT Portfolio Management komt alleen voor in het model van Jong (2010). Het doel van IT Portfolio Management is het ontwerpen en afstemmen van services en functionaliteit met de business. IT Portfolio management betreft volgens Jong (2010) een strategisch aandachtsgebied met een focus op de business en vertaalt de business wensen in IT strategie. IT Portfolio Management bestaat uit Applicatie Portfolio Management en Service Portfolio Management. Concreet heeft dit proces als output de strategie voor de servicecatalogus (‘welke diensten willen wij leveren en hoe?’) en het applicatielandschap (‘welke functionaliteiten/applicaties willen wij leveren en hoe?’). Hoewel het aandachtsgebied niet direct wordt genoemd in de modellen van Willcocks en Beulen lijken de kenmerken van dit aandachtsgebied wel voor te komen bij andere activiteiten (IS/IT Leadership en Relationship Building). Beulen et al omschrijven als onderdeel van de dimensie de relatie de activiteit: het ondubbelzinnig definiëren van IT diensten en service levels rekening houdend met de relatie en afhankelijkheden tussen de verschillende diensten.

De volgende aandachtsgebieden worden op tactisch organisatieniveau onderscheiden: Informed Buying. Het aandachtsgebied informed buying komt zowel voor in het model van Willcocks als in het model van Beulen. Volgens Willcocks et al. (2010) is de verantwoordelijke voor dit aandachtsgebied de meest prominente rol binnen IT na de rol van de CIO. Informed buyers analyseren en benchmarken voortdurend de externe markt van IT dienstverlening. Zij zijn ook verantwoordelijk voor de selectie van een sourcing strategie (van 5 – 10 jaar) voor het vervullen van de wensen van de business en oplossingen voor technologische issues (Willcock et al. 2010). Informed buyers leiden ook het tenderproces, de contracten de service management processen (Willcock, 2010). Informed buyers hebben volgens Willcocks et al. (2010) diepgaande kennis van de vendoren over o.a. hun strategieën, financiële kracht, sterkten en zwakten voor de verschillende sectoren, producten en regio’s. Informed buyers moeten ook een goede relatie onderhouden met IT leveranciers, zorgen voor een transparant tenderproces en open communicatie (Beulen et al., 2011). Een belangrijk aspect hierbij is de bereidheid om de externe dienstverlener ook zijn aandeel van zijn winst te gunnen (Beulen et al., 2011). Formulating Information Needs. Het aandachtsgebied formulating information needs komt alleen voor in het model van Beulen. Dit aandachtsgebied is gericht op het formuleren van de informatiebehoefte van de (business) interne organisatie. Dit aandachtsgebied kan dan ook als tegenhanger worden beschouwd van informed buying wat op de externe markt gericht is. In de visie van Beulen et al. (2011) is, in tegenstelling tot de visie van Willcocks et al. (2010), dit dan ook geen onderdeel van informed buying. Voor het formuleren van de informatiebehoefte is zowel technische expertise als ook business specifieke kennis nodig. Dit betreft dan ook het terrein van de subject experts. Beulen et al. noemen als onderdeel van de dimensie uitbestedend bedrijf een heldere demand management structuur op tactisch niveau met als eindverantwoordelijke de information manager die rapporteert aan zowel de CIO als de business. Onderdeel hiervan is het onderhouden van een goede relatie met de business waardoor ook snel gereageerd en ervoor gezorgd kan worden dat de dienstverlening op niveau en up-to-date blijft. Beulen et al. (2011) noemen verder ook het onderhouden van kennis over business en IT. Innovation Management. Het aandachtsgebied innovation management komt voor in het model van Jong (2010) en in het model van Beulen. Het doel van innovation management is het ontwikkelen van potentieel van nieuwe technologieën, methodes en business modellen (bijvoorbeeld offshoring of e-business). Jong et

102


al. (2010) zien twee belangrijke taken van innovation management: (1) het vertalen van IT strategieën in concrete plannen die geïmplementeerd kunnen worden op operationeel niveau (business pull); en (2) het leveren van informatie over innovatieve ontwikkelingen en kansen op de markt / leverancier aan ITArchitecture Management (technology push). Jong et al. (2010) geven aan dat innovation management raakvlakken heeft met IT-Architecture, echter zijn er volgens de onderzoekers twee belangrijke verschillen. Innovation management is in tegenstelling tot IT-Architecture geen strategisch proces. Een tweede belangrijke verschil is dat architectuur gericht is op het ontwerpen van een technisch platform (technische focus) en dat innovation management naast een technische innovatie ook kan bestaan uit business innovatie (business focus). Beulen et al. (2011) noemen als onderdeel van de dimensie leverancier het opzetten van innovatiemanagement teams en het toewijzen van innovatie managers aan klanten als één van de managementactiviteiten. De klanten hebben op deze wijze sparringpartners voor het bespreken van het potentieel van nieuwe technologische ontwikkelingen. Contract Management. In het model van Beulen en in het model van Willcocks komt het aandachtsgebied contract monitoring voor. Een soortgelijke activiteit komt ook voor in het model van Jong, namelijk contract management. Het aandachtsgebied contract monitoring (Willcocks et al., 2010; Beulen et al., 2011) is enerzijds gericht op het opstellen en onderhouden van een robuust contract en anderzijds het monitoren van de prestaties van de externe dienstverlener ten opzichte van de afspraken in het contract. Hierbij dient niet alleen gekeken te worden naar de huidige contractpositie van het bedrijf maar moet ook de toekomstige contractpositie (Willcocks et al., 2010; Beulen et al., 2011). Hiermee wordt bedoeld dat er niet alleen gekeken moet worden of de performance van de externe dienstverleners ten opzichte van het contract on track is maar ook of deze onderhevig aan ontwikkelingen in performance standaarden op de markt van IT dienstverlening ook on track blijft. Het hebben van goede (periodieke) rapportage over Key Performance Indicatoren (KPI) is een vereiste om het contract goed te kunnen monitoren (Beulen et al., 2011). Beulen et al. (2011) omschrijven als onderdeel van de dimensie de relatie het structuren van contract in lagen. Het contract bestaat volgens de onderzoekers uit relatief stabiele aspecten en componenten die frequenter wijzigen. Volgens de auteurs moet er dan ook gekozen worden voor een structuur met framework agreements, service agreements en service level agreements. Het managen van variations worden door Willcocks et al. (2010) ook genoemd als één van de belangrijke governance elementen (zie tabel 2-5). Willcocks et al. (2010) zien dit element echter niet als core competence. Variation management heeft volgens de onderzoekers als doel om documenten (contracten) actueel te houden zodat toekomstige deals altijd gebaseerd zijn op de dan huidige situatie. Een formeel proces moet ervoor zorgen voor het initiëren van aanpassingen, uitvoering en monitoring (Willcocks et al., 2010). Hierbij gaat het om zaken zoals: een wijziging in een IT systeem; een wijziging in service levels; de wens van de organisatie om bepaalde services weer te insourcen; een wijzing in de verwachte vraag; een wens om de prijzen aan te passen en een wijziging in de organisatie zelf. Beulen et al. (2011) noemen ook het definiëren van een procedure voor prijsaanpassingen als managementactiviteit. Bij het aandachtsgebied contract management gaat het volgens Jong et al. (2010) om zaken zoals het opzetten van het contract, het onderhouden van het contract en het aanpassen van het contract bij wijzigingen van (business) wensen. Ook het evalueren van het contract maakt volgens Jong et al. (2010) onderdeel uit van contract management. De beschrijvingen van het aandachtsgebied contract monitoring (Willcocks et al., 2010; Beulen et al., 2011) en contract management (Jong et al. (2010)) komen sterk overeen. Jong et al maken echter onderscheid tussen de administratieve taak t.a.v. het contract en de taak gericht op het dagelijks controleren van de prestaties van de externe dienstverlener t.o.v. het contract. Deze laatste taak is in het model van Jong onderdeel van het aandachtsgebied performance management. In de modellen van Willcocks en Beulen zijn de administratieve taak en de meer dagelijkse controle taak samengevoegd in één activiteit (contract

103


monitoring). In dit onderzoek is er voor gekozen om het model van Jong te volgen en de taken te splitsen in twee afzonderlijke activiteiten. Performance management. Het aandachtsgebied performance management komt in principe alleen voor in het model van Jong. In het model van Jong is deze als afzonderlijke activiteit beschreven. In het model van Willcocks en Beulen maakt de performance management taak, net zoals de administratieve taken t.a.v. het contract, onderdeel uit van contract monitoring. Echter volgens Jong et al. (2010) is contract monitoring gericht op contracten en meer administratief van aard. Performance management is daarentegen gericht op services en functionaliteiten en het meten van prestaties hiervan. Performance management vergelijkt de ontvangen services en functionaliteiten ten opzichte van het contract en de wensen van de business en roept contract management aan ingeval van discrepanties en/of noodzakelijk aanpassingen in het contract. Performance management kan dan ook beschouwd worden als een aandachtsgebied met day-to-day activiteiten. Rapportage is één van de kern activiteiten binnen dit aandachtsgebied. Het doel van dit aandachtsgebied is dus het evalueren van de geleverde prestatie ten opzichten van de afspraken in het contract en het meten in hoeverre er is voldaan aan de wensen van business (interne organisatie). Audit processes. Het aandachtsgebied audit processes wordt in het model van Beulen genoemd als onderdeel van de dimensie leverancier. Op zich opvallend dat deze niet wordt genoemd als onderdeel van de dimensie cliëntorganisatie. De onderzoekers geven aan dat een externe dienstverlener door het uitvoeren van audits inzicht kan geven in de wijze waarop hun IT service delivery processen zijn opgezet. Het opzetten van audit processen draagt volgens de onderzoekers bij aan het identificeren van de belangrijkste risico’s. Beulen et al. (2011) onderscheiden drie aandachtsgebieden voor audits: internal controls, compliance en calculatie. Volgens de onderzoekers hebben sommige externe dienstverleners ook juridische verplichtingen die over zijn gegaan van cliëntorganisatie naar de externe dienstverlener. Deze verplichtingen betreffen volgens de onderzoekers vaak zaken op het gebied van informatiebeveiliging (voor de financiële wereld) en integriteit van data (voor de farmaceutische industrie). Willcocks et al. (2010) noemen reviews, audits en assessments als belangrijke elementen van de governance (zie tabel 2-5). De onderzoekers benaderen dit aandachtsgebied echter vanuit de cliëntorganisatie. De onderzoekers benadrukken dat een cliëntorganisatie dient te controleren of zij ook krijgt waarvoor zij betaald. Volgens Willcocks et al. (2010) moeten de review typen en audits gespecificeerd worden opgenomen in het contract (governance charter) om ervoor te zorgen dat de organisatie onbelemmerd toegang heeft en geen verrassende toeslagen krijgt. Bij governance gaat het volgens Willcocks et al. (2010) niet alleen over het controleren van de prestaties van de externe dienstverlener maar ook over de effectiviteit van het management van de interne organisatie. In tabel 2-7 zijn een aantal voorbeelden van reviews, audits en assessments opgenomen.

104


Internal

Service provider

Focus

Review object Compliance with the contract, SLA, and other governing documents. Cost and service performance relative to the agreement, but also relative to industry norms. Source data and calculations of KPIs and any other information for which the organization is relying upon the supplier to accurately generate. Degree the supplier’s obligations to the organizational meet current needs and expectations. The supplier’s risk management and controls over service operations and costs Continuous improvement initiatives implemented. User and other stakeholder satisfaction with services. The degree the organization is meeting its obligation to the supplier Progress toward achievement of the objectives/business case for the outsourcing initiative Determination of ongoing value for money Efficient use of the supplier’s resources (i.e., use of non-peak windows, extraneous labor, ad hoc services) Effectiveness of the contract management function and network Improvements initiatives implemented

Tabel Reviews, audit en assessment activiteiten retained organization (Willcocks et al., 2010)

Willcocks et al. (2010) beschrijven als onderdeel van het aandachtsgebied contract management een aantal audit taken. Het doel van deze taken is volgens de onderzoekers om te beoordelen in hoeverre er wordt voldaan aan de afspraken in het contract. De onderzoekers zijn van mening dat een audit in het kader van de jaarrekening of een SAS70 audit het minimum is waar een externe dienstverlener in zou moeten voorzien. De cliëntorganisatie moet ervoor zorgen dat de audit doelstellingen en programma’s voldoen aan de assurance behoefte en wensen van de cliëntorganisatie. De frequentie van de audits is volgens de onderzoekers afhankelijk van de complexiteit en waarde van het contract. De onderzoekers onderscheiden twee typen audits die een cliëntorganisatie zelf zou moeten uitvoeren: (1) compliance audit inzake het contract: niet aannemen dat de leverancier zich aan de afspraken in het contract houdt maar ervoor zorgen door deze hierop te controleren en hierover te rapporteren; (2) verificatie van de in rekening gebrachte kosten en gerapporteerde KPIs. Het gaat hierbij niet zozeer om de review van facturen maar het periodiek auditten van brondata waar deze op is gebaseerd. Dit geldt ook voor KPI’s. Performance rapportage kunnen (bewust of onbewust) geen juiste weergave geven van de werkelijkheid. Door het periodiek auditten van brondata die gebruikt wordt voor performance reporting kan ervoor gezorgd worden dat de organisatie ook krijgt waarvoor zij betaald heeft. Samenvattend kunnen er in totaal dus vier type audits worden onderscheiden: (1) audit gericht op effectiviteit van internal controls van de cliënt organisatie; (2) audit gericht op de effectiviteit van de internal controls van de externe dienstverlener; (3) compliance audit; en (4) verificatie van de in rekening gebrachte kosten en gerapporteerde KPIs. Risk Management. Het aandachtsgebied risk management komt alleen voor in het model van Jong (2010). Het doel dit aandachtsgebied is het identificeren en mitigeren van risico’s. Volgens Jong (2010) is risico management een verticaal proces met verantwoordelijkheden op verschillende niveaus. Risico management is omvangrijk en bestaat volgens de onderzoekers uit verschillende onderdelen: capaciteit management, beschikbaarheid management, informatiebeveiliging, privacy en compliancy en business continuity management (Jong et al. 2010). In het model van Willcocks (2010) wordt risk management niet direct genoemd als kerncompetentie. Wel wordt het beheersen van risico’s door de auteurs gezien als onderdeel van één van de vier fundamentele taken (tabel 2-6), ensuring technical capability. Verder geven de auteurs aan dat risicobeoordeling een belangrijk onderdeel is van een contract management strategy van een organisatie. De mitigerende maatregelen die als gevolg van de initiële risicobeoordeling zijn vastgesteld dienen volgens de auteurs periodiek opnieuw beoordeeld te worden om ervoor te waken dat de mitigerende maatregelen effectief blijven. Hiernaast zullen ook nieuwe risico’s in deze beoordeling betrokken moeten worden. Naast het identificeren van risico’s zullen volgens de onderzoekers de risico’s ook gekwantificeerd moeten

105


worden om prioriteiten vast te kunnen stellen voor het treffen van maatregelen. Tenslotte moeten in het risicobeoordelingsproces ook de key controls geïdentificeerd worden om de risico’s te kunnen mitigeren. In het model van Beulen (2011) wordt risk management niet als fundamentele taak of kerncompetentie genoemd. De auteurs onderkennen echter wel dat het uitbesteden van IT gepaard gaat met risico’s voor de organisatie (zie ook paragraaf 2.3.1). De externe dienstverlener is dan ook volgens de onderzoekers verantwoordelijk voor het opzetten van processen en procedures zoals ISO, ITIL en CMM om de risico’s te minimaliseren. De cliëntorganisatie zou hiernaast volgens de onderzoekers er verstandig aan doen om overeenkomsten af te sluiten welke een audit of een beoordeling van de geleverde dienstverlening door haar of derde mogelijk maakt. Engagement Management. Het aandachtsgebied engagement management komt voor in het model van Jong. In het model van Willcocks en Beulen komt het aandachtsgebied contract facilitation voor met vrijwel dezelfde kenmerken. Deze activiteiten kunnen worden samengevoegd. Het doel van contract facilitation is het garanderen van het succes van bestaande uitbestedingscontracten voor IS/IT dienstverlening (Beulen et al., 2011). Volgens Beulen et al. (2011) worden outsourcingrelaties en contracten alsmaar complexer. Het is daarom van belang dat potentiële problemen en conflicten snel worden ontdekt en rechtvaardig, rekeninghoudend met de zakelijke overeenkomsten en lange termijn relatie worden opgelost. De behoefte aan deze rol komt volgens Willcocks et al. (2010) vaak later in de uitbesteding en groeit naarmate problemen zich blijven voortslepen doordat deze niet goed worden aangepakt. De rol betreft echter niet alleen die van een ‘probleemoplosser’ (Willcocks et al., 2010). Contract Facilitation is voornamelijk een coördineren aandachtsgebied en bestaat uit het managen van verwachtingen t.a.v. leverancieroverkomsten van zowel interne als externe partijen (Willcocks, 2010). Beulen et al. (2011) noemen als onderdeel van de dimensie leverancier ook het zorgen voor de betrokkenheid van het senior management in het partnerschap als één van de managementactiviteiten. Hierbij gaat het om het zorgen voor korte ‘lijnen’ tussen CIO, business partners en het senior management van de externe dienstverlener. De korte lijnen zorgen onder meer voor een snelle reactie op problemen of andere zaken. Tevens kan het zorgen voor een versterking van het vertrouwen als men elkaar kent en ook bereid is om informatie met elkaar te delen. In het model van Jong (2010) wordt het aandachtsgebied engagement management omschreven als het managen van de relatie met de leverancier. De onderzoekers geven verder geen specifieke kenmerken van dit aandachtsgebied. Jong et al. (2010) geven wel aan dat contract facilitation gericht is op de governance van de outsourcing relatie. Het aandachtsgebied bewaakt het evaluatieproces (zie contract management) gericht op dienstverlening, contract versus de business requirements, met als doel risico’s te beperken. Volgens Willcocks et al. (2010) zou een relatie het balans moeten zijn van twee extreme typen: power-based relaties en een relatie slechts gebaseerd op vertrouwen. Ongeachte de karakteristieken (vertrouwen of macht) van de relatie, het succes op de lange termijn wordt bepaald door wijze waarop de relatie wordt gemanaged. De onderzoekers geven aan dat uitbestedingscontracten niet als ‘kompas’ gebruikt kunnen worden voor de weg naar succesvolle resultaten. Uitbestedingscontract dienen volgens de onderzoekers als ‘wapen’ beschouwd te worden die ingezet worden ingeval van slecht functionerende relatie. Hoe belangrijk de onderzoekers de relatie ook vinden, een goede governance structuur kan volgens de onderzoekers niet ontbreken. Relaties bestaan tussen mensen, niet tussen organisaties en mensen verlaten organisaties. Zonder een goede governance structuur zou er te veel vertrouwd moeten worden op ongeschreven regels. Ongeschreven regels kunnen moeilijk gebruikt worden als bewijs en hebben de neiging om te wijzigen in de tijd door verschillende mensen die hierbij betrokken raken. Beulen et al. (2011) noemen als onderdelen van de dimensie de relatie: faciliteren van voortdurend bouwen aan vertrouwen, zorgen voor vertrouwen tussen key stafleden, het meten van vertrouwen en het afstemmen van codes in het kader van onderwerpen op het gebied van Maatschappelijk Verantwoord Ondernemen.

106


Escalation Management. Het aandachtsgebied escalation management lijkt alleen voor te komen in het model van Jong (2010). Het doel van escalation management is het managen van issues, variations en disputes. Escalatie management moet niet verward worden met het ITIL proces incident management. Volgens Beulen (in Jong et al. 2010) bestaat er een nauwe relatie tussen beide processen. Het verschil is echter dat incident management gericht is op het service delivery proces en escalation management gericht is op het relationele proces. Jong et al. (2010) onderscheiden twee typen escalaties: horizontale escalaties en verticale escalaties. Horizontale escalaties zijn escalaties op hetzelfde niveau voor bijvoorbeeld additionele informatie of kennis/expertise vanuit een ander team. Verticale escalaties zou parallel kunnen lopen aan incidenten maar bestaat uit meer dan alleen incidenten zoals algemene prestatie issues of contractuele issues. Het managen van issues, disputes en variations worden ook door Willcocks et al. (2010) genoemd als belangrijke governance elementen (zie tabel 2-5). Willcocks et al. (2010) beschouwen deze elementen echter niet als core competence. Bij issue management gaat het om duidelijkheid over de wijze waarop problemen door beide partijen geëscaleerd kunnen worden, de wijze waarop dit vastgelegd en bewaakt wordt en welke goedkeuring nodig is voor het afsluiten van een registratie (Willcocks et al., 2010). Bij dispute management is een bepaald probleem geëscaleerd tot een conflict. Bij dit soort conflicten gaat het vaak om interpretatie of perceptie verschillen en niet zo zeer over feiten. De activiteiten binnen dispute management zijn vergelijkbaar aan issue management. Er dient een formeel proces te zijn voor escalatie, vastlegging en oplossen van conflicten (Willcocks et al., 2010). Variation management is reeds beschreven bij het aandachtsgebied contract management. Vendor Development. Het aandachtsgebied vendor development komt zowel voor in het model van Beulen als in het model van Willcocks. Dit aandachtsgebied is net zoals engagement management gericht op het investeren in de relatie met de externe dienstverlener, echter wel met een andere focus. De bijhorende taken en verantwoordelijkheden van dit aandachtsgebied zijn ook anders dan die van engagement management. Het aandachtsgebied wordt om deze redenen hier afzonderlijk beschreven. De switching kosten van leveranciers zijn hoog (Willcocks et al., 2010; Beulen et al., 2011). Het is daarom van belang voor een cliëntorganisatie om de bijdrage (added value) van hun externe dienstverleners aan de business te maximaliseren (Willcock et al., 2010; Beulen et al., 2011). Dit betekent dat er verder gekeken moet worden dan de huidige afgesproken dienstverlening en de informatiebehoefte van de business. Er zal ook gekeken moeten worden naar de ontwikkelingen in de behoeften en de wijze waarop externe dienstverleners hier ook op termijn aan kunnen bijdragen. Het idee is om een win-win situatie te creëren waarin de opbrengsten van de externe dienstverleners stijgen door het leveren van diensten die zorgen voor ook meer business benefits. Naast het onderhouden van een goede relatie met de huidige externe dienstverlener zullen er ook relaties onderhouden moeten worden met andere potentiële externe dienstverleners (Beulen et al., 2011). Cliëntorganisaties doen er goed aan om IT services als portfolio’s te managen, hetgeen indien nodig het makelijker maakt om van externe dienstverlener te kunnen switchen (Beulen et al, 2011). Beulen et al. (2011) noemen als onderdeel van de dimensie de relatie het opzetten van procedures voor het verplaatsen van verantwoordelijkheden. De onderzoekers geven aan dat contracten op een bepaald moment echt eindigen en dat het vanuit het oogpunt van continuïteit van de dienstverlening van belang is om hier op voorbereid te zijn. Een aspect van de ‘overstap ‘ procedure zou zijn om te zorgen voor goede documentatie van alle activiteiten die door een nieuwe dienstverlener uitgevoerd moeten worden. Financial Management. Het aandachtsgebied financial management komt alleen voor in het model van Jong (2010). Jong et al. (2010) vonden geen theoretische onderbouwing van dit aandachtsgebied maar stelden deze vast op basis van het praktijkonderzoek. Het doel van financial management is volgens de auteurs het budgetteren van de huidige situatie en innovaties, het funden van projecten en het alloceren van

107


kosten aan de business. De auteurs stellen dat dit aandachtsgebied voor een belangrijk deel niet gerelateerd is aan het uitbestedingscontract. Het is duidelijk wat de onderzoekers hiermee bedoelen. Volgens de onderzoekers gaat het hierbij om taken als het analyseren van de verwachte vraag en aanbod, aangezien budgetten hierop gebaseerd worden. Ook het rapporteren aan de strategische processen waar de besluiten worden genomen tot investeren of desinvesteren wordt als onderdeel van financial management genoemd. In relatie tot het uitbestedingscontract noemen de onderzoekers het financieel onderhouden van het contract als onderdeel van financial management. De onderzoekers geven hier geen duidelijk omschrijving van behalve dat het betalen van boetes of bonussen hier onderdeel van uitmaakt. Programme and Project Portfolio Management. Het aandachtsgebied programme and project portfolio management wordt alleen in het model van Jong (2010) genoemd. Het doel van dit aandachtsgebied is het managen van programma’s en projecten met als doel business en IT afstemming te verbeteren. De onderzoekers geven geen nadere omschrijving van deze activiteit aangezien projecten niet in scope waren van hun onderzoek. Setting up, maintaining and certifying IT delivery processes. Het aandachtsgebied setting up, maintaining and certifying IT delivery processes wordt alleen in model van Beulen genoemd. Dit betreft een activiteit waar de leverancier voor verantwoordelijk is. Deze activiteit is gericht op het zorgen voor de continuïteit van de dienstverlening in lijn met de service overeenkomsten. Voor certificering voor infrastructuur bestaan management richtlijnen ontwikkeld door de International Organization for Standardization (ISO). Zo zijn er ook richtlijnen voor applicatieontwikkeling. Certificering speelt een belangrijke rol in de selectie van leveranciers. ISO, CMM en BS7799 bijvoorbeeld zijn belangrijke certificaten voor outsourcing en offshore outsourcingrelaties. Beulen et al. (2010) noemen als onderdeel van het domein de leverancier ook het ontwerpen en implementeren van organisatorische elementen vanuit de externe dienstverlener, opzetten van procedures voor het verplaatsen van verantwoordelijkheden en het meten en monitoren van de performance van de eigen organisatie. Naast kerncompetenties voor de cliëntorganisatie hebben Willcocks et al. (2010) ook 12 competenties gedefinieerd voor de externe dienstverlener. Deze competenties kunnen samengevoegd worden tot drie kerncompententies: (1) delivery competency, (2) transformation competency en (3) relationship competency. De kerncompetentie delivery heeft veel overeenkomsten met het aandachtsgebied genoemd door Beulen et al. (2011). Willcocks et al. (2010) omschrijven deze als de mogelijkheid en bereidheid van de externe dienstverlener om te voldoen aan de dagelijkse operationele behoefte van de klant. Deze kerncompetentie bestaat volgens de onderzoekers uit een aantal competenties: business management, domain expertise, behavior management, sourcing, program management en governance. Investigating and developing the potential of new technologies. Het aandachtsgebied investigating and developing the potential of new technologies komt alleen voor in model van Beulen. Dit betreft een aandachtsgebied waar de externe dienstverlener verantwoordelijk voor is. Door het onderzoeken van het potentieel van nieuwe technologieën en het delen van kennis met cliënten, kan een externe dienstverlener een bijdrage leveren aan de concurrentiepositie van haar cliënten. Dit wordt door de onderzoekers technology push genoemd. Beulen et al. (2011) noemen als onderdeel van het domein de leverancier ook het doorvoeren van wijzigingen in de service processen om drastische verbeteringen in targets te kunnen realiseren. De kerncompetentie transformation competency voor de externe dienstverlener (Willcocks et al., 2010) heeft veel overeenkomsten met dit aandachtsgebied van Beulen. Bij deze kerncompetentie gaat het om in hoeverre de externe dienstverlener in staat is om radicale verbeterde diensten te leveren in termen van kosten en kwaliteit. Deze kerncompetentie bestaat uit de volgende competenties: leadership, behavior management, sourcing, process improvement, technology exploitation, program management en customer development capabilities.

108


De volgende aandachtsgebieden worden op operationeel organisatieniveau onderscheiden: Maintaining relationship with the tenderer. Het aandachtsgebied maintaining relationship with the tenderer komt alleen voor in model van Beulen. Om de relatie te onderhouden met de tenderer moeten externe dienstverleners een sterke contactinterface opzetten. Dit is meestal een combinatie van accountmanagement en contract management. Account management is gericht op het bouwen van en onderhouden van de relatie met de klant. Dit bestaat uit het bouwen van een netwerk aan relaties binnen de cliëntorganisatie als ook het geïnformeerd blijven over de ontwikkelingen in de industrie. Contract management is gericht op het optimaliseren van contractuele afspraken tussen de externe dienstverlener en de cliënt. Beulen et al. (2011) noemen als onderdeel van de dimensie de leverancier ook het managen van het account door het onderhouden van een netwerk aan relaties in de cliëntorganisatie en het optimaliseren van contractuele overeenkomsten tussen externe dienstverlener en cliënt. De kerncompetentie relationship competency voor externe leveranciers (Willcocks et al., 2010) heeft veel overeenkomsten met het aandachtsgebied genoemd door Beulen. Bij deze kerncompetentie gaat het om in hoeverre de externe leverancier in staat is en bereidt is om zich te verenigen met de waarden, doelen en behoeften van de klant. Deze kerncompetentie bestaat uit de volgende competenties: leadership, customer development, planning and contracting, organizational design, governance en program management. Managing IT professionals. Het aandachtsgebied managing IT professionals komt alleen voor in model van Beulen. Een belangrijk aspect van dit aandachtsgebied is het zorgen voor voldoende ontwikkeling en groei mogelijkheden voor de betrokken professionals. Vanuit een cliëntorganisatie is het wenselijk dat de betrokken staf niet te vaak en te sterk wijzigt om zo kennis te behouden. Dit is volgens de onderzoekers zeker van belang als het ook managementtaken betreffen. Beulen et al. (2011) noemen als onderdeel van de dimensie de leverancier ook het motiveren en inspireren van uitvoerend IT personeel voor het leveren van hoge kwaliteit diensten. De kerncompetentie delivery en tranformation van Willcocks hebben beide veel raakvlakken met deze activiteit. Creating a skills base. Ook dit aandachtsgebied komt alleen voor in het model van Beulen. De externe dienstverlener moet ervoor zorgen dat er mensen beschikbaar zijn met de juiste kennis en vaardigheden om aan de contractafspraken te kunnen voldoen en te blijven voldoen. Als onderdeel van het aandachtsgebied service delivery management noemen Beulen et al. het identificeren, rekruteren en behouden van competent IT staf om zo aan de behoefte van de klant te kunnen blijven voorzien. Deze activiteit zou zowel als onderdeel van de kerncompetentie delivery als voor transformation van Willcocks kunnen worden beschouwd.

109

Appendix III: Analyse ITO organisatierollen

Appendix III: Analyse ITO organisatierollen In deze appendix wordt de analyse gepresenteerd van de organisatierollen van de cliëntorganisatie in relatie tot de organisatierollen van de externe dienverlener. Chief Information Officer (CIO). CIO is volgens Beulen et al. (2011) eindverantwoordelijke voor de IT dienstverlening en voor het ontwikkelen en implementeren van de organisatie IS en IT strategie. CIO informeert de externe dienstverlener (IT director & account manager aan de kant van de externe dienstverlener) over de strategie. De CIO is ook verantwoordelijk voor het aandachtsgebied business systems thinking. In zijn rol als ambassadeur voor IT, informeert de CIO ook business managers over het potentieel van nieuwe ICT ontwikkelingen. CIO zorgt samen met de information manager en business manager ervoor dat in de organisatie (business – IT) goed wordt samengewerkt (relationship building). Business Manager. De business manager is volgens Beulen et al. (2011) eindverantwoordelijke voor de uitvoering van de business processen. De business manager is betrokken bij het aandachtsgebied business systems thinking en relationship building. Information Manager. De information manager is verantwoordelijk voor de IT dienstverlening en de implementatie van de organisatie IS en IT strategieën. De information manager is de contactpersoon van de business divisies die hun informatiebehoefte definiëren. De information manager is op strategisch niveau uitvoerder van de aandachtsgebieden business systems thinking, architecture planning, making technology work (Beulen et al., 2011). Op tactisch niveau is de information manager eindverantwoordelijk voor het formuleren van de informatiebehoefte van de business en dient hij op de hoogte te zijn over ontwikkelingen op de markt van IT dienstverlening. Tevens zal de information manager ook goede relaties moeten onderhouden met de IT leverancier (Beulen et al., 2011). Jong et al. (2010) voegen hier nog aan toe dat de information manager ook (eind)verantwoordelijk is voor Risk Management. De information manager werkt hiervoor samen met de externe dienstverlener (account manager). De information manager wordt vanuit de organisatie door alle andere rollen ondersteund, m.u.v. de CIO aan wie hij rapporteert. Zij zullen hoge risico’s moeten rapporteren aan de information manager. De information manager is eindverantwoordelijk voor performance management. Deze taak heeft hij gedelegeerd aan de service manager en de delivery supervisor die de dagelijkse performance management uitvoeren. Finance manager. De rol van de finance manager wordt alleen beschreven in het model van Jong (2010). De finance manager valideert de ontvangen facturen en controleert of deze overeenstemming is met het contract en de overeengekomen prijzen. De finance manager wordt ondersteund door de service manager, delivery supervisor en de delivery manager (externe leverancier) door het geven budgetvoorstellen en performance informatie. De finance manager is ook verantwoordelijk voor de doorbelasting aan de business. De finance manager rapporteert aan de CIO. Business analist. De business analist is de linking pin met de business en helpt bij het vertalen van wensen in informatiebehoefte (Beulen et al., 2011; Jong et al., 2010). De business analist implementeert de IS en IT strategie en rapporteert aan de information manager. De information manager informeert bij de Business analyst over de innovatie wensen (business pull) en bij de leverancier voor technische innovaties (technology push). Service manager. In het model van Jong (2010) wordt er ten aanzien van de aandachtsgebieden performance management en escalation management onderscheid gemaakt tussen 2 rollen: de rol van de

110


service manager en de rol van de delivery supervisor. Hoewel de taken niet heel erg verschillen is er toch één belangrijk verschil en dat betreft de focus. De service manager is gericht op de business. De delivery supervisor is gericht op de leverancier (Jong et al., 2010). De service manager is verantwoordelijk voor de kwaliteit van de dienstverlening in relatie tot de Service Level Agreements. De service manager zorgt ervoor dat dienstverlening in overeenstemming is met de behoefte vanuit de business (day-to-day performance management). De service manager is samen met de service delivery supervisor verantwoordelijk voor escalatie management, aangezien aan hun wordt gerapporteerd en zij de eerste personen zijn in het escalatiepad. Service Delivery Supervisor /Delivery supervisor. De (service) delivery supervisor is verantwoordelijk voor het managen de externe dienstverlener en als het nodig is de interne IT afdeling. De delivery supervisor bewaakt dat de externe leverancier de diensten verleent zoals contractueel is overeengekomen (Beulen et al. 20011; Jong et al. 2010). De delivery supervisor rapporteert aan de information manager. Innovation manager. De rol van de innovation manager wordt alleen beschreven in het model van Jong (2010). De informatie manager is verantwoordelijk voor innovatie managent maar delegeert deze taak aan de innovation manager die een functionele lijn heeft met de IT architect en portfolio manager. De innovation manager is verantwoordelijk voor het verkennen en implementeren van innovaties op zowel business als technologisch gebied binnen de grenzen van de geformuleerde strategie. De innovation manager wordt ondersteund door service manager en delivery supervisor door hem te informeren hoe nieuwe technologieën toegepast kunnen worden. Purchaser (Beulen & Jong) Contract manager (Willcocks). De purchaser ondersteunt de information manager en de contract manager (externe leverancier) bij het selecteren en managen van externe IT leveranciers en indien van toepassing het managen van de interne IT afdeling. De purchaser vertegenwoordigd zowel de belangen van de IS afdeling als die van de business. De purchaser rapporteert niet aan verantwoordelijken binnen IS (Beulen et al. 2011). In tegenstelling tot Beulen is volgens Jong (2010) de purchaser op tactisch niveau zowel eindverantwoordelijk als verantwoordelijk voor de uitvoering van contract management zaken. De purchaser wordt hierbij ondersteund door de finance manager, service manager en delivery supervisor. De service manager en delivery supervisor informeren de purchaser indien het contract aangepast moet worden. De service manager en delivery supervisor managen het contract op dagbasis, maar de owner van het contract is de purchaser (Jong et al. 2010) De contract manager is volgens Willcocks (2010) het middelpunt van het contract management netwerk. Willcocks beschouwd contract management als een netwerk van individuen die een bepaalde rol vervullen voor IT-outsourcing. De contractmanager moet volgens de onderzoekers over een aardige set aan skills beschikken (zie tabel 2-9). De contractmanager zal ook overzicht moeten hebben over de set aan skills die nodig zijn om de outsourcing in zijn geheel kunnen managen. De contract manager heeft twee directe lijnen. Eén met de SLA manager welke verantwoordelijk is voor het managen van de individuele business units SLA’s. En één KPI manager die KPI specialisten aanstuurt, welke op hun beurt weer de portfolio van KPI’s managen voor alle business units. De contract manager is ook gesprekspartner voor Legal, Audit, Finance en Quality Assurance. De onderzoekers geven aan dat er niet één beste structuur voor het contract management netwerk, maar dat deze uniek is voor elke organisatie. Het succes van het contract management netwerk functie wordt volgens de onderzoekers bepaald door duidelijke definiëring van taken en verantwoordelijkheden en uiteraard juiste invulling hiervan.

111


Contract management skill set Financial skills:

People skills:

Process skills

Specialist skills

- Accounting - Cost management - Pricing - Invoicing and payment - Tax - Insurances formation

- Collaborative negotiation - Formal communications - Interpersonal skills - Liaison/networking - Inter-party relationship Management - Organizational behaviour and change management

- Administrative - Performance mnt, - Planning and forecasting - Problem/issue mnt, - Project management - Quality management - Re-engineering - Reporting

- Auditing - Commercial and legal - Negotiation - Contract law - Risk management - Technical skills

Tabel Vaardigheden voor contractmanagement (Willcocks, 2010)

In onderstaande tabel is een overzicht opgenomen van de verantwoordelijkheden, aandachtsgebieden en rollen gebaseerd op het model van Beulen aangevuld met het model van Jong.

112


S

A

I R R R A/R S A/R S S R R

S S S S A/R S

I

A A A A/R C

I

S

S

I

S

S

C

S

C

I S S S C S

S

S S

C S

S S R R S

I C C C

C C I

C S R

S

S

C S

R

R

R

S

S S R R S

C S S

C S S S

S S S A/R

A

IT professional

Competence manager I C C

S R

A/R R

Process manager

Service delivery managr

Contract manager

Account manager

IT-director

Innovation Manager

I S

S S S

C C S

Finance manager

C

Service Manager

Business Analyst

Purchaser

R S S R R A A A

Service del. supervisor

A A/R A/R A A

supply management

Information manager

S

CIO

Business systems thinking (B) Leadership (B) Relation building (B) Architecture planning (B) Making technology work (B) Formulating information needs (B) Informed buying (B) Contract facilitation (B) Contract monitoring (B), Contract Management (J) Vendor development (B), Engagement Management (J) Financial Management (J) Innovation Management (J) Escalation Management (J) Performance Management (J) Risk Management (J) Setting up, maintaining and certifying IT delivery process (B) Investigating the potential of new technologies (B) Maintaining relations with the tenderer (B) Managing IT professionals (B) Creating a skills base (B)

Rollen demand management Business manager

Aandachtsgebieden

R

S

(S)

A A

R R

S

S

113

Bijlage

Bijlage 1: Schematisch overzicht Wft (Rijksoverheid, 2013) Deel 1 Wft

Deel 2 Wft

Deel 3 Wft

Deel 4 Wft

Deel 5 Wft

Algemeen deel

Markttoegang financiële ondernemingen

Prudentieel Toezicht financiële ondernemingen

Gedragstoezicht financiële ondernemingen

Gedragstoezicht Financiële Markten

AMvB

AMvB 4

AMvB 5

AMvB 8

AMvB 9

Besluit bekostiging financieel toezicht

Besluit Markttoegang financiële ondernemingen Wft

Besluit prudentiële regels Wft

Besluit Gedragstoezicht financiële ondernemingen Wft (Bgfo)

Besluit melding zeggenschap en kapitaalbelang in uitgevende instellingen

AMvB 2

AMvB 4a

AMvB 6

AMvB 10

Besluit definitiebepalingen Wft

Besluit Reikweidtebepalingen Wft

Besluit prudentiële maatregelen, beleggerscompensatie en depositogarantie

Besluit marktmisbruik Wft

AMvB 3

AMvB 7

AMvB 11

Besluit boetes Wft

Besluit prudentieel toezicht financiële groepen

Besluit openbare biedingen

114

Bijlage

Bijlage 2: Artikelen Wft per fase ITO (Puijenbroek, 2008)

Analyse

Fase

Onderwerp

Wft

Verbod uitbesteden

Artikel 27,28 Bpr / BGfo

(Concretisering) open normen Wft -

Risicoanalyse

Artikel 29 Bpr

-

Contractmanagement

Transitie

Contract

Selectie

-

-

Contract

-

Beoordelen uitvoering

indien uitbesteding een belemmering kan vormen voor een adequaat toezicht op de naleving van de wet bepaalde taken en werkzaamheden die het dagelijks beleid bepalen (vaststellen van het beleid en het afleggen van verantwoording) indien afbreuk wordt gedaan aan de kwaliteit van haar onafhankelijke interne toetsing als bedoeld in artikel 17, vierde lid (art. 28) instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van de risico’s die samenhangen met het uitbesteden van werkzaamheden instelling draagt zorg voor een systematische analyse van risico’s die samenhangen met de uitbesteding van werkzaamheden instelling werkt beleidsuitgangspunten ter beheersing van uitbestedingrisico’s nader uit in AO procedures/maatregelen en integreert deze in de systemen en de dagelijkse werkzaamheden van alle relevante geledingen

Geen specifieke. regels Wft

Artikel 31 Bpr

Uitgebreide lijst verplichte onderwerpen voor de overeenkomst afhankelijk van de serviceorganisatie - de onderlinge informatie-uitwisseling, met inbegrip het beschikbaar stellen van informatie voor de toezichthouder - mogelijkheid om te allen tijde wijzigingen aan te brengen in de wijze waarop de uitvoering van de werkzaamheden door de derde geschiedt; - de verplichting voor de derde om de financiële onderneming in staat te stellen om te blijven voldoen aan het bij of krachtens de wet bepaalde - mogelijkheid toezichthouders om onderzoek ter plaatse te doen of te laten doen bij de derde - de wijze waarop overeenkomst wordt beëindigd

Geen specifieke. regels Wft

Artikel 30 Bpr

Financiele onderneming dient naast toereikende procedures en maatregelen ook te beschikken over - deskundigheid - over voldoende informatie (van de externe dienstverlener) om de uitvoering van de op structurele basis uitbestede werkzaamheden te kunnen beoordelen.

115

Bijlage

Bijlage 3: Raamwerk regieorganisatie IT-outsourcing

REGIEORGANISATIE IT-OUTSOURCING Demand Management

Informeren business over het potentieel van IT


Clientorganisatie

Ontwerpen & implementeren organisatorische elementen


Bevorderen samenwerking tussen business en IT

Managen van interne/externe verwachtingen t.a.v. uitbestedingscontract



Opstellen en onderhouden van kaders voor beleid en procedures

Budgetteren van de huidige situatie en innovaties

Alloceren van kosten aan de business

Compliance Management

Monitoren, testen en rapporteren inzake naleving wet- & regelgeving en interne regels

Onderhouden relaties met externe partijen (o.a. toezichthouders)

Definiëren procedure voor het managen van issues, variations en disputes (focus op relationele proces)

Managen relatie met de externe dienstverlener (governance outsourcing relatie)

Borgen klanttevredenheid over IT dienstverlening

Adviseren inzake naleving weten regelgeving, alsmede het werken volgens de normen en regels die de organisatie zelf heeft opgesteld.

Functions Periodiek beoordelen effectiviteit mitigerende maatregelen

Financial Management Financial management rapportages

Onderhouden kennis op tactisch niveau over IT & business ontwikkelingen

Formuleren informatiebehoefte business

Vertalen ‘visie IT platform’ in richtlijnen

Identificeren & implementeren key controls

Identificeren van IT-outsourcing risico’s: cost control, management control, demand management, priority, confidentiality, information requirements definition, business knowledge, business dynamics, innovation, vendor lock-in.

Risk Management

Managen van programma’s en projecten ter verbetering van afstemming business en IT

Analyseren en benchmarken markt van IT dienstverlening Periodiek onderzoeken van ontwikkelingen in de behoefte van de business en de wijze waarop de externe dienstverlener hier ook op termijn aan kan bijdrage

Vendor Development

Definiëren van procedure voor het overstappen naar andere externe dienstverlener

Auditen van effectiviteit stelsel van controle maatregelen externe dienstverlener

Onderhouden van relaties met potentiële externe dienstverleners

Opzetten & onderhouden van het outsourcing contract

Auditen van effectiviteit GRC regieorganisatie


Innovation Management Informeren business over innovatieve ontwikkelingen, kansen op de markt (technoly push)

Definiëren van een procedure voor (prijs)aanpassingen

Contract Management

Auditing

Kwantificeren IToutsourcing risico’s

Innovation Managemeent Programme & Project Portfolio Management

Ontwikkelen visie geschikt IT platform


Informed Buying

Leiden van tender-, contract-, en service management processen

Zorgen dat issues, variations en disputes snel en rechtvaardig worden opgelost rekening houdend met de lange termijn relatie

Relationship Management

Intern zorgen voor een organisatie met voldoende kennis over IT oplossingen


Architectural Planning & Design

Opzetten servicecatalogus met applicaties/functionaliteiten/ ondersteunende diensten en service level afspraken

Onderhouden kennis op strategisch niveau over IT & business ontwikkelingen

Vendor Selecteren van Managementsourcing strategie

Analyseren ontwikkelingen huidige en toekomstige business IT behoefte

Afstemmen servicecatalogus met de business

IS/IT Leadership


Snel aanpakken van problemen met IT oplossing / specifieke wensen business / beoordelen & ‘challengen’ van claims van de business of voorgestelde oplossingen van externe dienstverlener

Strategic Management

Periodiek onderzoeken betrouwbaarheid source data, berekening KPI’s e.d. Periodieke evaluatie & rapportage naleving contract,SLA e.d. door externe dienstverlener Periodieke rapportage prestatie externe dienstverlener & mate waarin business behoefte worden vervuld

Monitoren prestaties externe dienstverleners t.o.v. contract en ontwikkelingen in de markt van performance standaarden


Externe Dienstverlener

Ontwikkelen visie over ondersteuning huidige toekomstige business / herstructurering bedrijfsprocessen

Ontwerpen & implementeren IS/IT strategie

Dagelijks evalueren van prestaties services en functionaliteiten t.o.v. SLA’s

Periodiek evalueren van de mate waarin wordt voldaan aan de behoefte van de business

116

Bijlage

Bijlage 4: Toelichting raamwerk regieorganisatie IT-outsourcing Aandachtsgebieden Strategisch Tactisch niveau niveau

Indicatoren / managementactiviteiten Bron literatuur

#

Strategisch management 01 02 03 04

1

2

3

05 06

Ontwikkelen van een duidelijke organisatie IS/IT strategie Implementeren van organisatie IS/IT strategie Informeren van de business over het potentieel van IT/IS Ontwerpen van organisatorische elementen zoals governance, processen en bemensing waaronder - Ondubbelzinnig definiëren verantwoordelijkheden cliënt, externe dienstverlener en externe dienstverleners onderling - Opzetten van steering organization (overlegstructuren) op strategische, tactisch en operationeel niveau - Bewaken van samenhang tussen de verschillende overlegstructuren - Definiëren van cliënt - externe dienstverlener interface voor het aanleveren van wensen Implementeren van organisatorische elementen Onderhouden van de organisatorische elementen

07 08 09 10

Ontwikkelen van een visie over een geschikt technisch platform Vertalen van deze visie in richtlijnen die zorgen voor de nodige integratie en flexibiliteit van IT diensten Analyse van de ontwikkelingen in de huidige en toekomstige business wensen Maken van trendanalyse van technologische ontwikkelingen

11

Ontwerpen van een servicecatalogus (welke applicaties/functionaliteiten/ondersteunende diensten worden er geleverd en hoe) voor de business - Ondubbelzinnig definiëren van IT diensten en service levels rekening houdend met de relatie en afhankelijkheden tussen de verschillende diensten (Beulen) Afstemmen van de servicecatalogus met de business

Beulen et al. (2011) Willcocks et al. (2010)

IS/IT Leadership

Architectural planning and design

Beulen et al. (2011) Jong et al. (2010) Willcocks et al. (2010) Jong et al. (2010) Beulen et al. (2011)


12

Managen van de vraag 4


Beulen et al. 2011) Willcocks et al. (2010)

5

Making technology and process work


6


Beulen et al. (2011)

13 14 15 16 17 18 19 20 21 22 23

Ontwikkelen van een visie over ondersteuning van de huidige en toekomstige business Ontwikkelen van een visie over herstructurering van bedrijfsprocessen door gebruik van moderne IT Onderhouden van kennis op strategisch niveau over IT ontwikkelingen en over de markt waarin de organisatie opereert Onderhouden van de relatie op strategisch niveau met business managers Snel aanpakken van problemen die kunnen ontstaan met het technische platform (niet oplosbaar door andere units) Identificeren van oplossingen voor wensen waar de standaard oplossing niet in voorziet Onderhouden kennis over informatie technologie ontwikkelingen Intern zorgen voor mensen die de infrastructuur en bedrijfsapplicaties goed begrijpen voor het zo nodig kunnen beoordelen/challengen van claims of voorgestelde oplossingen voor problemen van de externe dienstverlener Onderhouden van kennis over IT en business ontwikkelingen Onderhouden van een goede relatie met de business op tactisch niveau Formuleren van de informatiebehoefte van de business

117

Bijlage

Managen van het aanbod 7

Informed Buying


8

Vendor Development

Beulen et al. (2011) Willcocks et al (2010)

9

Contract Management

Beulen et al. (2011) Jong et al. (2010) Willcocks et al. (2010)



10

24 25 26 27

Voortdurend analyseren en benchmarken van de externe markt van IT dienstverlening Selectie van een sourcing strategie voor het vervullen van de wensen van de business en oplossingen voor technologische issues Leiden van het tenderproces, de contracten de service management processen Zorgen voor diepgaande kennis over externe dienstverleners o.a. hun strategieën, financiële positie, sterkten en zwakten voor de verschillende sectoren, producten en regio’s

28

Periodiek onderzoeken van de ontwikkelingen in de behoeften van de business en de wijze waarop de externe dienstverlener hier ook op termijn aan kan bijdrage Onderhouden van relaties met potentiële externe dienstverleners Definiëren van een formele procedure voor het overstappen naar een andere externe dienstverlener Opzetten, onderhouden en aanpassen van het uitbestedingscontract - Structureren van het contract in lagen: raamwerk afspraken, service afspraken en service level afspraken Opzetten van een procedure voor prijsaanpassingen gedurende de outsourcingslevenscyclus Monitoren van prestaties van externe dienstverleners t.o.v. uitbestedingscontract en ontwikkelingen in de markt van performance standaarden Periodieke evaluatie en rapportage of de externe dienstverlener zich aan de afspraken houdt in het contract, SLA, en andere governance documenten (compliance)

29 30 31 32 33 34

35 36 37

Dagelijks evalueren van prestaties van services en functionaliteiten t.o.v. service level afspraken met externe dienstverleners Meten van de mate waarin business wensen worden vervuld (mogelijk bijstellen van service level afspraken) Rapportage prestatie externe dienstverlener

38 39

Leveren van informatie over innovatieve ontwikkelingen en kansen op de markt / externe dienstverleners aan activiteiten op strategisch niveau (technology push) Vertalen van IT strategieën in concrete plannen die geïmplementeerd kunnen worden (business pull)

40

Managen van programma’s en projecten met als doel business en IT afstemming te verbeteren

41 42 43 44 45 46 47 48

Ontwikkelen van kennis over IT en haar potentieel bij eindgebruikers Bevorderen van de samenwerking tussen gebruikers en IT specialisten Ondersteunen van de identificatie van wensen van de business Zorgen voor ownership bij eindgebruikers Benoemen van IT portfolio managers in de business Betrekken van de externe dienstverlener bij productontwikkeling Betrekken van de business bij het managen van de relatie met de externe dienstverlener Borgen van de klanttevredenheid over IT dienstverlening

49 50

Definiëren van een formele procedure voor het managen van issues, variations en disputes met een focus op het relationele proces Definiëren van een procedure voor situaties die niet afgedekt worden door het contract

Managen van innovaties 11


12

Programme and Project Portfolio Management

Jong et al. (2010) Beulen (2011)

Jong et al. (2010)

Managen van de relatie

13

14




Jong et al. (2010) Willcocks et al. (2010)

118

Bijlage


15


51

Zorgen dat problemen/conflicten snel en rechtvaardig worden opgelost (rekening houdend met zakelijke overeenkomsten/lange termijn relatie)

52 53 54 55 56 57 58 59 60 61

Managen van de relatie met de externe dienstverlener (governance van de outsourcing relatie) Managen van verwachtingen t.a.v. uitbestedingscontract van zowel interne als externe partijen Bewaken van het evaluatieproces gericht op de dienstverlening Zorgen voor een overleg(structuur) op senior management niveau tussen CIO, business managers en senior managers externe dienstverlener Zorgen voor voldoende vertrouwen op persoonlijk niveau tussen key staff leden (zowel cliënt organisatie als die van de externe dienstverlener) Zorgen voor voldoende informele communicatie momenten voor het voorbespreken van nieuwe ideeën of oplossingen Zorgen voor overzichtelijke en duidelijke rapportage over de dienstverlening van de externe dienstverlener Zorgen voor duidelijke feedback van de cliënt organisatie op de performance van de externe dienstverlener Periodiek meten van vertrouwen en opzetten van vervolgactie indien nodig Afstemmen van codes in het kader van Maatschappelijk Verantwoord Ondernemen

62 63 64 65 66

Adviseren van senior management inzake compliance (ontwikkelingen) Opstellen en onderhouden van kaders voor beleid en procedures Creëren van awareness voor compliance Monitoren, testen en rapporteren inzake compliance Managen van contacten met externe partijen (o.a. toezichthouders)

67 68 69 70 71

Identificeren van IT-outsourcings risico’s: (1) cost control, (2) management control, (3) demand management, (4) priority, (5) confidentiality, (6) information requirements definition, (7) business knowledge, (8)business dynamics, (9) innovation, (10) vendor lock-in Kwantificeren van IT-outsourcings risico’s risico’s Identificeren van key controls; Implementeren van key controls Periodiek beoordelen van effectiviteit van de mitigerende maatregelen

72 73 74 75 76

Budgetteren van de huidige situatie en innovaties Funden van projecten Alloceren van kosten aan de business Zorgen voor Financial management rapportage Financieel onderhouden van het contract zoals het betalen van boetes en bonussen

77 78 79

Auditen van de effectiviteit van governance, risk management en internal controls van de regie organisatie Auditen van de effectiviteit van het stelsel van controle maatregelen van de externe dienstverlener relevant voor de afgenomen dienstverlening Periodiek onderzoeken betrouwbaarheid source data, berekening KPIs en andere informatie waarvan de cliënt organisatie afhankelijk is van de externe dienstverlener om deze accuraat te genereren

Functions 16

17

Compliance Management

BIS (2005)

Risk Management

Jong et al. (2010) Willcocks et al. (2010)

18

Financial Management

Jong et al. (2010)

19

Auditing


119

Bijlage

Bijlage 5: Raamwerk 3LoD taken en randvoorwaarden Taken -

1st LoD Operational management/ business or front office/ business line management

-

2nd LoD

-

Risk Management, Compliance en Controllership functies/ Staffuncties

-

-

-

3rd LoD

-

Internal audit -

-

Randvoorwaarden

Zorg dragen voor het geheel van maatregelen dat redelijke zekerheid moet bieden dat de door het management gestelde doelen worden bereikt. Inventariseren risico’s, beoordelen risicoprofiel en toepassen risicomanagementstrategie. Leiden van de ontwikkeling en implementatie van interne richtlijnen en procedures. Toezicht op naleving richtlijnen en procedures. Monitoren falende controls, ineffectieve processen en onverwachte gebeurtenissen.

-

Ondersteunen van het management bij de ontwikkeling en implementatie richtlijnen, procedures en controls voor het managen van risico’s en issues (advies en training). Monitoren van de implementatie van effectieve risk management maatregelen, naleving van weten regelgeving en het tijdig oppakken van tekortkomingen door de eerste LoD (challengen). Periodiek beoordelen van de deugdelijkheid en effectiviteit van interne controls, kwaliteit van de input van de interne controls, nauwkeurigheid en volledigheid van rapportages (testing). Ontwerpen, onderhouden en verder ontwikkelen van een operational risk framework (inclusief het meten van operational risk, rapportage en verantwoording in risk committees).

-

Beoordelen of de interne beheersmaatregelen in opzet, bestaan en werking effectief zijn. Daarbij ziet zij onder meer op de kwaliteit en effectiviteit van het functioneren van de governance, het risicobeheer en de beheersprocessen binnen de bank. Beoordelen van de mate waarin de 1st LoD en 2nd LoD voldoen aan risicomanagement en control doelstellingen. Rapporteren over de bevindingen aan het bestuur en de auditcommissie. Periodiek uitwisselen van informatie met de externe accountant en auditcommissie. In het kader van deze informatie-uitwisseling is ook de risicoanalyse en het auditplan van de interne auditfunctie en van de externe accountant onderwerp van overleg. Ten minste jaarlijks het initiatief nemen om met de DNB en de externe accountant in een vroegtijdige fase elkaars risicoanalyse en bevindingen en auditplan te bespreken. Toezicht houden op opvolging van opmerkingen en de naleving van aanbevelingen. Zowel vanuit eigen interne onderzoeken als uit rapportages van de externe accountant.

-

-

-

-

-

Door het topmanagement vastgestelde organisatiedoelstellingen, strategie voor het behalen van deze doelstellingen en governance structuur. Door het topmanagement bepaalde risicofilosofie en risk appetite als basis voor de wijze waarop risico en controle worden bezien en geadresserd door de in de onderneming werkzame personen.

Functies bestaande uit toereikend aantal medewerkers met risk management expertise (en business kennis) om effectief de verantwoordelijkheden uit te kunnen voeren. Een zekere mate van functionele onafhankelijkheid: o Controlerende functies gescheiden van de uitvoerende (risico genererende) functies, functiescheiding (kleinere organisatie). o Een controletechnische gescheiden functie van de uitvoerende (risico genererende) functies met onafhankelijke rapportagestructuur (grotere organisaties).

Binnen de organisatie werkzame functie die onafhankelijk is gepositioneerd. (Niet betrokken bij de ontwikkeling, implementatie en onderhoud van risico management maatregelen / risk management framework). Het hoofd interne audit rapporteert aan de voorzitter van het bestuur en heeft een rapportagelijn naar de voorzitter van de auditcommissie. Handelend conform internale standaarden voor internal auditing.

120

Bijlage

Bijlage 6: Interviewvoorbereiding praktijkonderzoek Onderstaande e-mail is verstuurd naar de respondent naar aanleiding van het telefonisch contact waarin een afspraak is gemaakt voor het interview _____________________________________________________________________ Beste < naam > Naar aanleiding van ons telefonisch contact bevestig ik de gemaakte afspraak voor het interview over het beheersen van IT-outsourcing en de rol van ‘Three Lines of Defence’ gedachte hierbinnen. Het interview zal plaatsvinden op < datum > 2013 van tot op het kantoor van te . Het doel van het interview is om een beeld te vormen over de beheersing van IT-outsourcing binnen < naam organisatie > en de wijze waarop 3LoD hierbinnen is vormgegeven. In de bijlage treft u informatie aan over de resultaten van mijn literatuurstudie en als voorbeeld de interviewvragen die aan bod kunnen komen. Mocht u op voorhand nog vragen hebben dan ben ik te bereiken op 06 – 30 44 59 45 of per email: [email protected]. Ik zie u graag tegemoet op < dag en datum interview >. Bij voorbaat wil ik u danken voor de medewerking.

Met vriendelijke groet, Amer Ramkoeber MSc _____________________________________________________________________________

121

Bijlage

Introductie tot het onderzoek Achtergrond onderzoeker Ik ben werkzaam als IT auditor bij ABN AMRO N.V. te Amsterdam. Een aantal jaar na de afronding van mijn master opleiding ‘Bedrijfskundige Economie’, ben ik gestart met de Post-Master opleiding ‘IT-Auditing and Advisory’ aan de Erasmus Universiteit. In de zomer van 2012 ben ik gestart met de voorbereidingen van mijn afstudeeronderzoek. De keuze voor een onderwerp op het gebied van IToutsourcing is ingegeven door mijn persoonlijke interesse en ervaringen in de praktijk als zowel Process manager (mijn vorige functie) als IT auditor (huidige functie). Daarnaast hebben ook concrete vragen vanuit de praktijk geleid tot de keuze van dit onderwerp. Aanleiding, doelstelling en vraagstelling Het referaatonderzoek is gericht op de rol van ‘Three Lines of Defence’ in de beheersing van IToutsourcing. De doelstelling van mijn onderzoek luidt als volgt: Het verkrijgen van inzicht over de wijze waarop financiële instellingen in Nederland, in het bijzonder banken, vormgeven aan de implementatie van het ‘Three Lines of Defence’ gedachte voor het beheersen van haar IT uitbesteding aan externe dienstverleners.

Aanpak onderzoek In de wetenschappelijk literatuur is gekeken naar de laatste stand van de wetenschap op het gebied van het onderzoeksthema. Uit een verkenning naar het onderwerp IT-outsourcing governance blijkt dat het aantal wetenschappelijk publicaties beperkt is. In de literatuur en vanuit de praktijk wordt er ook opgeroepen tot meer onderzoek op dit gebied. Zo stelt Platform Outsourcing Nederland (PON) dat veel bedrijven nog steeds worstelen met het inrichten van een juiste governance ten behoeve van de aansturing van (IT) leveranciers (Boardroom IT Strategic Sourcing, 2012). Uit de verkenning naar 3LoD valt op dat de gedachte vanuit de praktijk brede aandacht verdient, maar door de wetenschappelijke wereld nog niet is omarmd. De gedachte blijkt niet universeel te zijn en ook de effectiviteit van 3LoD blijkt niet onomstotelijk aangetoond te zijn. De verkenning van 3LoD vanuit het perspectief van IT-outsourcing is niet eerder beschreven voor zover ik kan nagaan. Om theorie over het onderzoeksthema te kunnen ontwikkelen heb ik in mijn praktijkonderzoek banken geselecteerd van welke bekend is dat zij hun IT (zowel applicatief als IT infrastructuur) geheel of gedeeltelijk hebben uitbesteed en tevens sprake is van (implementatie) van 3LoD. In het praktijkonderzoek wordt specifiek gekeken naar de wijze waarop banken hun governance hebben ingericht voor IT-outsourcing en welke rol 3LoD hierin speelt. Het onderzoek is niet gericht op het verklaren of toetsen van zaken, maar zuiver gericht op het begrijpen en interpreteren.

122

Bijlage

Resultaten literatuurstudie IT-outsourcing In dit onderzoek wordt de volgende definitie van Lacity & Willcocks (2001) gehanteerd: ‘IT outsourcing is defined as a process whereby an organization decides to contract-out or sell the firm’s IT assets, people and/or activities to a third party service provider, who in exchange provides and manages these assets and services for an agreed fee over an agreed period’. IT-outsourcing governance raamwerk Om het praktijkonderzoek te kunnen ondersteunen is op basis van het literatuuronderzoek een IToutsourcing governance raamwerk ontwikkeld. Dit raamwerk omvat de belangrijkste aandachtsgebieden van management activiteiten op het gebied IT-outsourcing governance van de regie organisatie. De rollen en communicatiestromen zijn in dit onderzoek buiten beschouwing gelaten. Retained Organization Demand Management

Strategic Management IS/IT Leadership

Informed Buying

Client Organization

Relation Management Relationship Building

Making Technology & Processes work



Vendor Development

Functions Compliance Management



Financial Management

Risk Management

Auditing


Vendor Organization



Vendor Management

Innovation Innovation Management


Contract Management

Figuur Schematsch overzicht theoretisch raamwerk regieorganisatie IT-outsourcing (afgeleid van o.a. Beulen et al. 2011; Jong et al. (2010); Willcocks et al. (2010)) Lees: Het raamwerk bestaat uit 6 onderdelen en 19 aandachtsgebieden.De aandachtsgebieden zijn in het onderzoek uitgewerkt in 79 managementactiviteiten. Onder het onderdeel ‘Risk Management’ bijvoorbeeld wordt niet een bepaalde afdeling of rol in een organisatie bedoeld maar activiteiten die hier logischerwijs mee samenhangen en dus door verschillende afdelingen kunnen worden uitgevoerd.

Dit raamwerk is ontwikkeld om de governance van IT-outsourcing in de praktijk te kunnen overzien. Het raamwerk wordt slechts gebruikt ter ondersteuning van de interviews. Hierbij wordt benadrukt dat het raamwerk geen normatief doel dient.

123

Bijlage

Interviewopbouw en vragen

Kennismaking (5 min)

In het eerste deel van het interview geeft de onderzoeker een korte introductie van zichzelf en licht het onderzoek en de interview kort toe. Vervolgens wordt de geïnterviewde gevraagd om zichzelf voor te stellen en tevens toe te lichten wat de raakvlakken zijn vanuit de huidige functie met het IToutsourcing en 3LoD onderwerp. Vraag 1 Hoe zou u uw rol binnen de organisatie willen omschrijven en wat is uw betrokkenheid bij de onderwerpen IT outsourcing en 3LoD? Antwoordindicatie Taken, verantwoordelijkheden en bevoegdheden.

IT-outsourcing (10 min)

Dit deel van het interview is gericht op het verkrijgen van inzicht in de IT onderdelen die door de organisatie zijn uitbesteed. Vraag 2 Welke IT objecten zijn door uw organisatie op dit moment uitbesteed? Antwoordindicatie Objecten voor IT-outsourcing: - applicatie outsourcing: uitbesteden van ontwikkeling, ondersteuning en onderhoud van applicaties; - IT infrastructuur outsourcing: uitbesteden van mainframe services, midrange services, desktop services, netwerk services en telecommunicatie services. Vraag 3 Wat zijn de motieven geweest voor de uitbesteding van deze IT objecten? Antwoordindicatie - Motieven voor outsourcing bijvoorbeeld kosten verlagen, kwaliteit, kennis, innovatie etc.

Three Lines of Defence & IT (20 min)

Dit deel van het interview is gericht op het verkrijgen van inzicht in het ontstaan van 3LoD, de wijze waarop dit is ingericht en de status van 3LoD. De onderstaande interview vragen komen in dit deel aan bod: 124

Bijlage

Vraag 4 Wat wordt er onder 3LoD verstaan binnen uw organisatie? En hoe is deze ingericht voor IT? Antwoordindicatie: Definitie/omschrijving van de gedachte; rollen, taken en verantwoordelijkheden van de verschillende Lines of Defence; betrokken afdelingen; informatiestromen. Vraag 5 Wat zijn de motieven geweest voor de implementatie van 3LoD binnen uw organisatie? Antwoordindicatie: Aanleiding implementatie 3LoD; periode opgestart; implementatie aanpak. Vraag 6 Wat is de huidige status van 3LoD voor IT in uw organisatie? Antwoordindicatie: Opzet fase; implementatie afgerond voor bepaalde bedrijfsonderdelen; volledig geïmplementeerd.

IT-outsourcing en 3LoD (30 min)

In dit deel van het interview wordt de regieorganisatie in kaart gebracht en wordt tevens gekeken naar de rol van 3LoD binnen deze organisatie. Om de vragen te ondersteunen wordt gebruik gemaakt van het raamwerk regieorganisatie IT-outsourcing. Terwijl de onderzoeker het raamwerk/aandachtsgebieden toelicht en een omschrijving geeft van de onderliggende management activiteiten wordt de geïnterviewde gevraagd om per aandachstgebied de betrokken afdelingen/rollen in de organisatie toe te lichten. Tevens wordt de geïnterviewde gevraagd om per aandachtsgebied de rol van 3LoD hierin toe te lichten. Onderstaande interview vragen komen in dit deel aanbod: Vraag 7 Kunt u aan de hand van het raamwerk aangeven welke functionele onderdelen betrokken zijn bij de regie en kunt u tevens ook aangeven wat de status is van 3LoD voor de regieorganisatie IT-outsourcing? Antwoordindicatie: Aandachtsgebied Business Systems Thinking

Aanwezig

Waar belegd (functionele onderdelen/ rollen) of waarom niet belegd?

Ja/Nee

Ontwikkelen visie bijvoorbeeld: - bij centrale afdeling Architectuur & Governance; of - MT IT-organisatie

Voorbeeld Risk Management …

Ja/Nee Ja/Nee

Information Security Management afdeling ….

3LoD Verdedigingslinie(s) 1e lijn 2e lijn

1e

2e / 2e / 3e

125

Bijlage

Vraag 8 Zijn er functionele onderdelen betrokken die niet voorkomen in het raamwerk en kunt u tevens ook voor deze onderdelen aangeven wat de status is van 3LoD? Overige aandachtsgebieden … … …

Aanwezig

Waar belegd of waarom nog niet belegd?

Ja/Nee Ja/Nee Ja/Nee

Verdedigingslinie 1e / 2e / 3e 1e / 2e / 3e 1e / 2e / 3e

Opinie geïnterviewde over het onderzoeksthema (10 min)

In het laatste deel van het interview wordt geïnterviewde gevraagd naar zijn mening van het onderzoeksthema. Tevens wordt de onderzoeker gevraagd naar feedback op het onderzoek Vraag 9 Vindt u het vraagstuk t.a.v. 3LoD en IT-outsourcing relevant? Antwoordindicatie: - Versterken de modellen elkaar; sluiten ze elkaar uit of sluiten ze op elkaar aan Vraag 10 Heeft u nog vragen of opmerkingen naar aanleiding van het interview?

Afsluiting

Na het interview worden afspraken gemaakt over de terugkoppeling van observaties uit het interview. Tevens worden er afspraken gemaakt over de wijze waarop de informatie van de praktijkorganisatie verwerkt wordt in het onderzoeksrapport.

126

Bijlage

Bijlage 7: Raamwerk regieorganisatie IT-outsourcing & 3LoD

REGIEORGANISATIE IT-OUTSOURCING Informeren business over het potentieel van IT

Demand Management

Strategic Management

IS/IT Leadership


Ontwerpen & implementeren organisatorische elementen

Opzetten servicecatalogus met applicaties/functionaliteiten/ ondersteunende diensten en service level afspraken


Managen relatie met de externe dienstverlener

Onderhouden kennis op tactisch niveau over IT & business ontwikkelingen

Risk Management Zorg dragen voor het geheel van maatregelen dat redelijke zekerheid moet bieden dat de door het management gestelde doelen worden bereikt

Definiëren procedure voor het managen van issues, variations en disputes (focus op relationele proces)

Management Control

Monitoren falende controls, ineffectieve processen en onverwachte gebeurtenissen

Risk Management Toezicht op naleving richtlijnen en procedures

Ontwerpen, onderhouden en verder ontwikkelen van risk control framework

Periodiek beoordelen van de effectiviteit van interne controls, input en output self assessments (testing)

Inventariseren risico’s, beoordelen risicoprofiel en toepassen risicomanagement strategie Leiden van de ontwikkeling en implementatie van interne richtlijnen en procedures

Risk Oversight & Risk Assurance Challengen implementatie van risk management maatregelen, naleving wet- & regelgeving en interne regels en tijdig oppakken van tekortkomingen

Risk Oversight

Innovation Managemeent Managen van programma’s en projecten ter verbetering van afstemming business en IT

Risk Assurance

Beoordelen of de interne beheersmaatregelen in opzet, bestaan en werking effectief zijn met aandacht voor de kwaliteit en effectiviteit van het functioneren van governance, risicobeheer en beheersprocessen van zowel de clientorganisatie als de externe dienstverlener

Ondersteunen management bij de ontwikkeling en implementatie richtlijnen en controls (advies)

Formulating Information Needs Formuleren informatiebehoefte business


Managen van interne/externe verwachtingen t.a.v. uitbestedingscontract

Intern zorgen voor een organisatie met voldoende kennis over IT oplossingen

Snel aanpakken van problemen met IT oplossing / specifieke wensen business / beoordelen & ‘challengen’ van claims van de business of voorgestelde oplossingen van externe dienstverlener

sourcing strategie

Vertalen ‘visie IT Informed Ontwikkelen visie Leiden van tender-, platform’ in geschikt IT platform contract-, en service Buying richtlijnen management processen Zorgen dat issues, variations en disputes Analyseren en benchmarken markt snel en rechtvaardig worden opgelost van IT dienstverlening rekening houdend lange termijn relatie


Relationship Building Borgen klanttevredenheid over IT dienstverlening


Analyseren ontwikkelingen huidige en toekomstige business IT behoefte


Vendor ManagementSelecteren van

Relationship Management

Bevorderen samenwerking tussen business en IT

Onderhouden kennis op strategisch niveau over IT & business ontwikkelingen

Afstemmen servicecatalogus met de business




Periodiek onderzoeken van ontwikkelingen in de behoefte van de business en de wijze waarop de externe dienstverlener hier ook op termijn aan kan bijdrage

Vendor Development

Definiëren van procedure voor het overstappen naar andere externe dienstverlener

Opzetten & onderhouden van het outsourcing contract

Toezien op samenspel 1st en 2nd LoD voor het voldoen aan risicomanagement en controldoelstellingen

Periodieke rapportage prestatie externe dienstverlener & mate waarin business behoefte worden vervuld

Definiëren van een procedure voor (prijs)aanpassingen

Contract Management

Periodieke evaluatie & rapportage naleving contract,SLA e.d. door externe dienstverlener

Informeren business over innovatieve ontwikkelingen, kansen op de markt (technoly push)

Onderhouden van relaties met potentiële externe dienstverleners

Monitoren prestaties externe dienstverleners t.o.v. contract en ontwikkelingen in de markt van performance standaarden

Performance Management Periodiek evalueren van de mate waarin wordt voldaan aan de behoefte van de business

Externe Dienstverlener

Clientorganisatie

Ontwikkelen visie over ondersteuning huidige toekomstige business / herstructurering bedrijfsprocessen

Ontwerpen & implementeren IS/IT strategie

Dagelijks evalueren van prestaties services en functionaliteiten t.o.v. SLA’s

127

128

Managen van IT outsourcing & 3LoD

Recommend Documents