Rapport Risicoanalyse uitbesteding systeembeheer Onderlinge Verzekeringsmaatschappij voor Kunst- en Antiekzaken (OVKA)
Plaats Datum Opdrachtgever Opgesteld door
Groningen 01-04-09 J. Bakker M. Jansen 012023457 (studentnummer)
[email protected] [email protected]
Voorbeeld Risicoanalyse bij uitbesteding
2/11
OVKA versie d.d. 18-5-2009
1 Inleiding .......................................................................................................... 3 1.1 OVKA......................................................................................................... 3 1.2 Aanleiding risicoanalyse................................................................................ 3 1.3 Onderwerp van de risicoanalyse..................................................................... 4 1.4 Gehanteerde werkwijze ................................................................................ 4 1.5 Opbouw van het rapport ............................................................................... 5 2 Beschrijving risicobeleid.................................................................................. 6 2.1 Beleid, visie en missie .................................................................................. 6 2.2 Algemene organisatiedoelen.......................................................................... 6 2.3 Risicohouding.............................................................................................. 6 2.4 Risicodoelen ............................................................................................... 6 2.5 Risicostrategie inzake uitbesteding systeembeheer ........................................... 6 3 Risicoinventarisatie en -analyse ...................................................................... 7 4 Maatregelen..................................................................................................... 9 5 Conclusies en aanbevelingen ......................................................................... 10 5.1 Conclusies ................................................................................................ 10 5.2 Aanbevelingen .......................................................................................... 10 Bijlagen ............................................................................................................ 11 A Literatuurlijst............................................................................................... 11 B Gebruikte bronnen ....................................................................................... 11
© Noordhoff Uitgevers
Marco Gerritsma & Roel Grit
www.zomaakjeeenrisicoanalyse.noordhoff.nl
Voorbeeld Risicoanalyse bij uitbesteding
3/11
1 Inleiding 1.1 OVKA Voor u ligt het rapport Risicoanalyse uitbesteding systeembeheer. OVKA is een onderlinge verzekeraar, zonder winstoogmerk, voor kunst- en antiekzaken. OVKA is een fictieve verzekeraar. Deze casus is ontstaan uit praktijkervaring bij verschillende verzekeraars in combinatie met de nodige fantasie. OVKA biedt de volgende verzekeringen aan: - Handelsvoorraadverzekering. Deze verzekering dekt alle soorten schade aan en diefstal van de handelsvoorraad. - Opstalverzekering (ook wel brandverzekering). Deze verzekering zorgt voor dekking tegen brandschade. - Inventarisverzekering. Deze verzekering dekt alle soorten schade aan en diefstal van de bedrijfsinventaris. Kernactiviteiten van OVKA zijn het afsluiten van verzekeringen, het geven van beveiligingsadviezen en het afhandelen van schades. Ondersteunende processen zijn financiële administratie, systeembeheer, beleggen en compliance. Compliance is het voldoen aan in- en externe regelgeving. De inkomsten bestaan uit premies, opbrengst beleggingen en overige inkomsten. De uitgaven bestaan uit exploitatiekosten, herverzekeringspremie, uitbetaalde schaden en overige kosten. Het bestuur bestaat uit vier leden en bepaalt het beleid. De directeur bereidt het beleid mede voor en zorgt voor uitvoering. Het personeelsbestand bestaat uit: - 1 directeur - 1 buitendienstmedewerker/schaderegelaar - 4 binnendienstmedewerkers - 1 administrateur - 1 systeembeheerder. De buitendienstmedewerker handelt kleine schades af. Alle schades boven € 5.000 worden afgehandeld door een extern bureau. OVKA heeft de ondersteunende processen, met uitzondering van het financiële proces en systeembeheer, uitbesteed. De organisatie maakt gebruik van het softwaresysteem Oase. Dit is een beproefd systeem met een grote groep gebruikers.
1.2 Aanleiding risicoanalyse OVKA overweegt om systeembeheer uit te besteden aan Computer Support. Computer Support ondersteunt de systeembeheerder. Onder uitbesteding wordt verstaan het door een onafhankelijke derde op structurele basis laten leveren van diensten, goederen of faciliteiten die deel uitmaken van de bedrijfsprocessen van de organisatie. De motieven om tot uitbesteding systeembeheer over te gaan zijn efficiëntie (uitbesteding is goedkoper dan zelf doen) en onvoldoende deskundigheid binnen de eigen organisatie (de systeembeheerder heeft zijn ontslag ingediend en er is nog geen vervanger aangesteld). Het uitbesteden van een bedrijfsproces brengt risico's met zich mee. Dit rapport is een hulpmiddel voor adequate risicobeheersing. De grootte van een risico kan worden gedefinieerd als de kans dat het zich voordoet maal het gevolg als het zich voordoet. Risico's vormen een bedreiging voor de doelstellingen van de organisatie. Adequaat risicomanagement kan ervoor zorgen dat de kans op deze risico's en/of de impact ervan, wordt geminimaliseerd. Het is hiervoor noodzakelijk de risico's in kaart te brengen en te analyseren, zodat vervolgens passende maatregelen kunnen worden genomen.
© Noordhoff Uitgevers
Marco Gerritsma & Roel Grit
www.zomaakjeeenrisicoanalyse.noordhoff.nl
Voorbeeld Risicoanalyse bij uitbesteding
4/11
Computer Support heeft een offerte uitgebracht om het gehele systeembeheer te verzorgen. Er zijn ook offertes opgevraagd bij twee andere leveranciers. Er is nog geen keuze gemaakt. Eerst moet op basis van een risicoanalyse worden vastgesteld of uitbesteding van ICT verantwoord is.
1.3 Onderwerp van de risicoanalyse De risicoanalyse heeft betrekking op het bedrijfsproces systeembeheer. Bij uitbesteding inzake systeembeheer gaat het om de volgende zaken: - ondersteuning van gebruikers; - beheer van de IT-infrastructuur; - advisering over de IT-infrastructuur; - levering van hard- en software; - installatie en configuratie van hard- en software.
1.4 Gehanteerde werkwijze Het volgende stappenplan is gebruikt. Er is gekozen voor het stappenplan van Marco Gerritsma en Roel Grit. Dit stappenplan staat beschreven in het boek Zo maak je een risicoanalyse (verschijnt in september 2009). - Stap 1: Voorbereiding In de eerste stap is bepaald wat het onderwerp is van de risicoanalyse en wie erbij betrokken zijn. - Stap 2: Bepaal het risicobeleid Het risicobeleid is vastgesteld. De organisatie hanteert een behoudend risicobeleid. - Stap 3: Inventariseer huidige situatie De huidige werkwijze waarop systeembeheer is uitgevoerd, is in kaart gebracht. - Stap 4: Analyseer huidige situatie Doel van het analyseren van risico's is het bepalen van de rangorde van de risico's, waardoor duidelijk wordt welke risico's de meeste aandacht vereisen. De grootte van een risico wordt bepaald door de kans te vermenigvuldigen met de impact (het gevolg). Er is gekozen voor een kwantitatieve analyse met behulp van kans- en gevolgklassen en risicofactoren. - Stap 5: Formuleer maatregelen Per risico is nagegaan of er aanvullende maatregelen nodig zijn. De kosten en baten van aanvullende maatregelen zijn niet bepaald. De kosten van de te nemen maatregelen zijn overzichtelijk. Het betreft onder andere het opstellen van een Service Level Agreement, calamiteitenplan, enzovoort. Hiervoor zijn sjablonen beschikbaar op de website www.zomaakjeeenrisicoanalyse.noordhoff.nl. - Stap 6: Stel het rapport Risicoanalyse op Het rapport Risicoanalyse is opgesteld aan de hand van de checklist die hoort bij het boek Zo maak je een risicoanalyse. Een belangrijk onderdeel van het rapport is het risicoregister. Doel van het analyseren van risico's is het bepalen van de rangorde van de risico's. Hiervoor zijn verschillende methoden. - Kwantitatief in risicobedragen: de onderlinge vergelijking van risico's in geldbedragen per jaar. - Kwantitatief met risicofactoren: de onderlinge vergelijking van risico's gaat met behulp van kansklassen, gevolgklassen en risicofactoren. - Sommige risico's laten zich zeer lastig uitdrukken in getallen of geldbedragen en lenen zich eigenlijk alleen voor een kwalitatieve inschatting. Bij de kwantitatieve methoden geldt de formule: Risico = Kans × Gevolg
© Noordhoff Uitgevers
Marco Gerritsma & Roel Grit
www.zomaakjeeenrisicoanalyse.noordhoff.nl
Voorbeeld Risicoanalyse bij uitbesteding
5/11
Er is gekozen voor een kwantitatieve analyse met behulp van kans- en gevolgklassen en risicofactoren. Dit is gedaan omdat de exacte bedragen en kansen niet te bepalen zijn, maar we wel een zo accuraat mogelijke schatting willen maken van de risico's. Kansklassen Kansscore 1
Kans in % 10%
2 3 4 5
30% 50% 70% 90%
Omschrijving
Toelichting
minder dan of 1 keer per 10 jaar 1 keer per 5-10 jaar 1 keer per 2-5 jaar 1 keer per 1-2 jaar 1 keer of meer per jaar
Zeer onwaarschijnlijk Onwaarschijnlijk Waarschijnlijk Mogelijk Vrijwel zeker
Gevolgklassen Gevolg is de maximale schade die ontstaat als het risico zich voordoet. De bepaling van de gevolgklassen is afhankelijk van de organisatie. Er is gekozen voor de volgende gevolgklassen. Gevolgscore 1 2 3 4 5
Schade Schade < € 50.000 € 50.000 < Schade < € 600.000 € 600.000 < Schade < € 1.500.000 € 1.500.000 < Schade < € 3.750.000 Schade > € 3.750.000
Toelichting: - Een schade lager dan € 50.000 heeft een beperkte impact op de organisatie. - Een schade groter dan € 600.000 zorgt ervoor dat er verlies wordt geleden (als uitgangspunt is hierbij genomen het begrote resultaat voor 2009). - Een schade groter dan € 3.750.000 zorgt ervoor dat het eigen vermogen volledig verdwijnt (het eigen vermogen per 31 december 2008 is € 3.750.000).
1.5 Opbouw van het rapport Hoofdstuk 1 geeft een beschrijving van de kaders en achtergronden van dit rapport. Het tweede hoofdstuk geeft een beschrijving van de organisatie. Zaken die aan de orde komen, zijn onder andere visie, missie, doelen en strategie op het gebied van risicobeheersing. Hoofdstuk 3 bevat de inventarisatie en analyse van de risico's. Op basis hiervan worden maatregelen geformuleerd in hoofdstuk 4. In het laatste hoofdstuk volgen conclusies en aanbevelingen naar aanleiding van de risicoanalyse en een planning voor het vervolg.
© Noordhoff Uitgevers
Marco Gerritsma & Roel Grit
www.zomaakjeeenrisicoanalyse.noordhoff.nl
Voorbeeld Risicoanalyse bij uitbesteding
6/11
2 Beschrijving risicobeleid 2.1 Beleid, visie en missie Het risicobeleid is onderdeel van het algemene beleid van een organisatie en wordt daarvan afgeleid. Het algemene beleid staat beschreven in het strategisch beleidsplan. Het bevat de organisatiedoelstellingen en de strategie om deze doelstellingen te behalen. Het risicobeleid is leidraad voor hoe wij met risico's willen omgaan en de mate van bereidheid om risico's te aanvaarden.
2.2 Algemene organisatiedoelen De algemene organisatiedoelen staan beschreven in het strategisch beleidsplan en in onderliggende plannen zoals het automatiseringsplan.
2.3 Risicohouding Uit missie en aard van de organisatie (waaronder: geen winstoogmerk) kan afgeleid worden dat de houding ten opzichte van risico’s van nature behoudend is.
2.4 Risicodoelen Ons risicobeleid is behoudend. Wij hebben geen winstoogmerk en wij nemen geen onverantwoorde risico's.
2.5 Risicostrategie inzake uitbesteding systeembeheer Er worden alleen bedrijfsprocessen uitbesteed als er waarborgen van de leverancier zijn dat het proces op beheerste wijze wordt uitgevoerd.
© Noordhoff Uitgevers
Marco Gerritsma & Roel Grit
www.zomaakjeeenrisicoanalyse.noordhoff.nl
Voorbeeld Risicoanalyse bij uitbesteding
7/11
3 Risicoinventarisatie en -analyse De risicoanalyse is conform de beschreven werkwijze uitgevoerd. De risico's die samenhangen met het uitbesteden van systeembeheer zijn geïnventariseerd. Per risico is bekeken welke maatregelen moeten worden genomen om dit risico te beperken. Vervolgens is de risicoscore berekend ná toepassing van de genomen maatregelen (zogenoemde nettorisicoscore). De uitkomsten van de risicoanalyse staan in het volgende risicoregister.
6
1
1
1
1
2
2
Opdrachtnemer biedt 3 onvoldoende waarborgen voor de continuïteit van de ITinfrastructuur Opdrachtnemer biedt 1 onvoldoende waarborgen voor de continuïteit van de ITinfrastructuur in geval van een calamiteit Exclusiviteit, d.w.z. het risico op 3 ongeautoriseerde toegang door zowel personeel als derden tot informatie (data of programma's), waardoor functiescheiding niet gewaarborgd kan worden en (vertrouwelijke) informatie ongeautoriseerd kan worden gebruikt
2
6
3
4
© Noordhoff Uitgevers
Risicoscore
2
Exitstrategierisico. Dit is het risico dat het contract niet opgezegd kan worden in geval van wanprestatie
Gevolgscore
Risicoscore
3
Risico Onvoldoende kwaliteit leverancier bij uitbesteden bedrijfsprocessen Bovenmatig uitbesteden
Kansscore
Gevolgscore
Nettorisico
Kansscore
Brutorisico
2
1
2
Geen. Er is geen sprake van 1 bovenmatig uitbesteden Systeembeheer hoort niet tot de kernactiviteiten van de opdrachtgever Neem in de overeenkomst op 1 dat de opdrachtgever de overeenkomst onder bepaalde (van tevoren overeengekomen en nauwkeurig omschreven) omstandigheden kan beëindigen en de activiteiten zelfstandig kan voortzetten of elders kan onderbrengen Stel een Service Level 1 Agreement op
1
1
1
1
2
2
3
Stel een calamiteitenplan op en stem dit af met de opdrachtnemer
1
1
1
12
Zorg, in overleg met de opdrachtnemer, voor logische toegangsbeveiliging Stel een procedure op inzake aanmaak en wijziging van accounts
1
4
4
Marco Gerritsma & Roel Grit
Te nemen maatregelen Stel een Service Level Agreement op
www.zomaakjeeenrisicoanalyse.noordhoff.nl
Voorbeeld Risicoanalyse bij uitbesteding
8/11
3
Opdrachtnemer geeft onvoldoende service
3
1
3
Opdrachtnemer besteedt diensten uit aan een derde en deze derde handelt onzorgvuldig of frauduleus
2
3
6
Opdrachtnemer beschikt niet over voldoende deskundig personeel Opdrachtnemer heeft onvoldoende personeel waardoor de continuïteit van de dienstverlening in gevaar komt als er een of meerdere personeelsleden vertrekken
3
2
6
2
2
4
© Noordhoff Uitgevers
Marco Gerritsma & Roel Grit
Risicoscore
1
Gevolgscore
Risicoscore
3
Risico Opdrachtnemer gaat onzorgvuldig om met gegevens van de opdrachtgever
1
1
Vraag voor het aangaan van 1 de overeenkomst referenties op Maak afspraken over het serviceniveau ( Service Level Agreement) Opdrachtnemer mag geen 1 diensten uitbesteden aan derde zonder voorafgaand overleg en goedkeuring door de opdrachtgever Maak afspraken over service ( 1 Service Level Agreement)
1
1
3
3
2
2
Maak afspraken over inzet personeel van opdrachtnemer ( Service Level Agreement)
2
2
Kansscore
Gevolgscore
Nettorisico
Kansscore
Brutorisico
Te nemen maatregelen Opdrachtnemer dient zich te 1 houden aan privacyreglement van de opdrachtgever (laat de opdrachtnemer hiervoor tekenen)
1
www.zomaakjeeenrisicoanalyse.noordhoff.nl
Voorbeeld Risicoanalyse bij uitbesteding
9/11
4 Maatregelen De te nemen maatregelen zijn opgenomen in het risicoregister (zie hiervoor).
© Noordhoff Uitgevers
Marco Gerritsma & Roel Grit
www.zomaakjeeenrisicoanalyse.noordhoff.nl
Voorbeeld Risicoanalyse bij uitbesteding
10/11
5 Conclusies en aanbevelingen 5.1 Conclusies De organisatie maakt gebruik van het softwaresysteem Oase. Dit is een beproefd systeem met een grote groep gebruikers. Er zijn drie risico's die een schade kunnen veroorzaken van meer dan € 600.000. Het risico met de hoogste brutorisicoscore is Exclusiviteit, dat wil zeggen het risico op ongeautoriseerde toegang door zowel personeel als derden tot informatie (data of programma's), waardoor functiescheiding niet gewaarborgd kan worden en (vertrouwelijke) informatie ongeautoriseerd kan worden gebruikt. Voor een aantal risico's geldt dat de nettorisicoscore gelijk is aan de brutorisicoscore. Hiervoor kunnen feitelijk twee verklaringen zijn: de genomen maatregelen hebben geen effect gehad of de maatregelen hebben wel effect gehad, maar de nieuwe situatie valt nog steeds binnen dezelfde kans- en gevolgklassen.
5.2 Aanbevelingen De volgende aanbevelingen worden gedaan: - Maak op basis van het geformuleerde risicobeleid en het risicoregister een afweging of uitbesteding van systeembeheer verantwoord is. - Zet de voor- en nadelen van uitbesteding systeembeheer tegen over elkaar. - Vergelijk salariskosten systeembeheerder met kosten uitbesteding. - Bepaal, in geval besloten wordt tot uitbesteding, criteria om leveranciers te beoordelen.
© Noordhoff Uitgevers
Marco Gerritsma & Roel Grit
www.zomaakjeeenrisicoanalyse.noordhoff.nl
Voorbeeld Risicoanalyse bij uitbesteding
11/11
Bijlagen A Literatuurlijst - Grit, R. & Gerritsma, M. (2009), Zo maak je een risicoanalyse. Groningen: Noordhoff Uitgevers. - Grit, R. (2008), Zo maak je een informatieplan. Groningen: Noordhoff Uitgevers. - Grit, R., (2008), Informatiemanagement. Groningen: Noordhoff Uitgevers.
B Gebruikte bronnen - strategisch beleidsplan OVKA; - informatieplan OVKA.
© Noordhoff Uitgevers
Marco Gerritsma & Roel Grit
www.zomaakjeeenrisicoanalyse.noordhoff.nl