Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Referaat
Het winnen van vertrouwen in IT Outsourcing relaties
Erasmus Universiteit Rotterdam School of Accounting & Assurance (ESAA) Postinitiële opleiding Internal Auditing & Advisory Naam: Studentnr: Email: Naam: Studentnr: Email: Begeleider ESAA: E‐mail: Versie: Datum: Plaats:
drs. ing. Youri Lau 282521
[email protected]
ir. Evan Oei 363355
[email protected]
Prof. dr. E.W. (Egon) Berghout EMITA CISA
[email protected] 1.0 4/12/2013 Rotterdam
Gebruik met bronvermelding toegestaan 1 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Voorwoord Deze scriptie ‘het winnen van vertrouwen in IT Outsourcing relaties’ is tot stand gekomen door een wederzijdse samenwerking tussen Youri Lau (KPMG) en Evan Oei (KPN), tweedejaars studenten aan de Post Executive Master IT Auditing opleiding aan de ESAA Erasmus Universiteit (2011 – 2013). Dit onderzoek is opgesteld om studenten en professionals een theoretische verkenning en nieuwe inzichten te bieden om een groter vertrouwen te realiseren binnen het domein van IT Outsourcing. Relevante onderwerpen die in deze scriptie worden aangehaald zijn gerelateerd aan IT Outsourcing, Klant‐Leverancier relatie, Projectmanagement en Informatiebeveiliging. De belangrijkste determinanten voor een succesvol uitbestedingsrelatie worden ontcijferd. Om dit te realiseren worden daarbij verwante aspecten en kritieke succesfactoren om vertrouwen te vergroten binnen een uitbestedingsrelatie aan het licht gebracht en geanalyseerd. Gedurende ons onderzoek werd ons de mogelijkheid geboden om via Finext (multidisciplinair advies bureau in o.a. IT en Risico Management advies) vijf organisaties te interviewen om gegevens te verzamelen met behulp van een enquete onderzoek bij het bedrijf. Op basis van de theoretische verkenning en toetsing bij vijf bedrijven is een conceptueel raamwerk ontwikkeld en getoetst. Dit conceptueel raamwerk omvat de belangrijkste conceptgebieden, aspecten en kritieke succesfactoren. Met dit raamwerk is getracht het proces van hoe vertrouwen in een IT Outsourcing relatie te bereiken, identificeren en beschrijven. Wij willen in eerste instantie onze familie, geliefden en vrienden bedanken voor de mentale support en begrip tijdens het schrijven van deze scriptie. Daarnaast zijn wij Finext erg dankbaar voor het beschikbaar stellen van de laptops en het mede mogelijk maken van het vergaren van informatie uit de praktijk middels het realiseren van de interviews. Een speciaal dankwoord ook aan onze scriptiebeleider professor dr. Egon Berghout EMITA CISA, die ons gedurende het gehele proces door continue ondersteuning en feedback heeft begeleid en geïnspireerd. Tenslotte wil ik alle geïnterviewde personen bedanken die dit onderzoek tot een goed einde hebben gebracht. 2 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Samenvatting Er wordt in toenemende mate gebruik gemaakt van uitbesteding van IT diensten. Om bij uitbesteding aan zowel de verwachtingen van klant en leverancier te voldoen is vertrouwen van groot belang. Het doel van deze scriptie is om het proces van hoe vertrouwen in IT Outsourcing relaties te bereiken, te identificeren en te beschrijven. De centrale vraagstelling luidt als volgd: ‘Hoe kan vertrouwen in een bestaande IT Outsouring relatie worden vergroot?‘ Als startpunt is het artikel van Lacity, Khan, Yan en Willcocks (2010) gebruikt. Dit artikel bood een goede eerste indruk van wat er allemaal is geschreven over IT Outsourcing, aangezien daarin zo’n 164 empirische artikelen binnen 50 journals tussen 1992 en 2010 zijn doorzocht. Dit artikel biedt een overzicht van artikelen tot aan jaar 2010 dat zich beraamt over vraagstukken als: wat is IT Outsourcing, waarom bedrijven IT uitbesteden, wat zijn de risico’s bij IT Outsourcing, wat zijn de succesfactoren bij IT Outsourcing? Veel genoemde kernwoorden in dit artikel zijn daarbij hergebruikt om een search query te ontwikkelen in de wetenschappelijke databases. De uiteindelijke versie van de search query is opgenomen in bijlage 1 ‘Literature Search Tree’. Deze search query is toegepast in ABI/INFORM, waarbij ook selectie parameters vooraf zijn ingesteld als taal = Engels, Peer Reviewed (aangevinkt), Source Type = Scholarly Journals en gepubliceerd vanaf 1994 tot heden. Op basis van deze search query is daaruit als resultaat in totaal 14.938 artikelen naar voren gekomen. Als vervolgens van dit totaal alleen naar full‐text artikelen kijken dan is het totaal 13.011 artikelen. Het totaal van 13.011 artikelen is daarna door ons nader bestudeerd voor de totstandkoming van het theoretische kader van deze scriptie. Het merendeel van de 13.011 artikelen zijn van wezenlijk belang geweest voor de vorming van het theoretische kader, omdat er een goede logische opbouw van versterkende aspecten voor een groter vertrouwen in een IT Outsourcing relatie kan worden afgeleid. Deze logische opbouw van aspecten van vertrouwen is ook toegepast voor de vorming van het theoretische kader in deze scriptie, waarbij er wordt begonnen met het uitleggen van IT Outsourcing in het algemeen en vervolgens dieper wordt ingegaan op de verschillende aspecten als risico, key succes factoren, management, project succes, vertrouwen, contract, cultuur en governance. De vaak terugkerende onderwerpen in de artikelen over IT Outsourcing en het management van de IT Outsourcing relatie kunnen worden geschaard onder de categorieën: Risico’s, Key Succes Factoren en Management. Het onderzoek is vooral gericht op de categorie ‘Management’, omdat er een sterke overtuiging is dat het vertrouwen binnen de klant leverancier relatie kan worden vergroot door na te gaan welke management aspecten van belang zijn om een groter vertrouwen te wekken en hoe deze aspecten het vertrouwen in IT Outsourcing relaties elkaar kan versterken. Het verwachte eindresultaat is een conceptueel raamwerk van de belangrijkste aspecten en kritieke succesfactoren te ontwikkelen die belangrijk zijn voor het proces om vertrouwen te bereiken in IT Outsourcing relaties. Het gepresenteerde raamwerk voor vertrouwen steunt daarbij erg op de gedachte van ‘controle is goed, maar vertrouwen is beter’. De toepasbaarheid van dit conceptueel raamwerk wordt ook getoetst middels de aflegging van vijf interviews zowel vanuit een klant perspectief als vanuit een leverancier perspectief. Daarbij zijn vanuit de klantzijde een drietal bedrijven benaderd en vanuit de leverancier zijde een tweetal bedrijven benaderd. Uit ons onderzoek kan worden geconcludeerd dat een groter vertrouwen binnen een klant‐ leverancier relatie kan worden gerealiseerd door meer aandacht te besteden op de conceptgebieden uit het door ons ontwikkelde raamwerk, resp. Cultuur, Contract Management en Security.
3 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
1) Cultuur heeft een grote impact op het vertrouwen binnen een relatie, omdat het erg belangrijk is om bewust te zijn van culturele verschillen die gaan over hoe medewerker interacties met elkaar en hoe ze interpreteren en waarnemen. De onderliggende managementaspecten die onder cultuur vallen zijn: Communicatie, Leiderschap, Context en Kennisdeling en Samenwerking. Communicatie: Het aspect communicatie is van essentieel belang om een groter vertrouwen te realiseren, omdat bij de juiste inzet van communicatie en mix van communicatiemiddelen (face 2 face, ppt, emails) zodoende informatie zowel door de ontvanger als de zender op de juiste manier wordt gecommuniceerd en geïnterpreteerd. Informatie uit de organisatie moet eenvoudig te interpreteren zijn. Daarnaast leidt de inzet van frequente communicatie tot meer interactie tussen de klant en de leverancier. Interactie kan worden gekenmerkt door tijdigheid, waarde, regelmaat, kwaliteit en inhoud. Met name in het begin van de relatie tussen de organisatie en de IT Outsourcing provider heeft het regelmatig uitwisselen van informatie een versterkende werking op een goede relatie opbouw. Spoedige aanneming van het contract vereist een goede communicatie. Uitwisseling van informatie helpt beide delen aan: het bereiken van verwachtingen en tevredenheid, conflicten vermijden, oplossingen te vereenvoudigen, de onzekerheid te verminderen, en te zorgen voor flexibiliteit. Context: Bij het aspect context wordt verstaan de hoeveelheid informatie die nodig is bij het maken van een beslissing in een bepaalde situatie. Het is daarom van essentieel belang de juiste communicatiemiddel te gebruiken. Bijvoorbeeld om te communiceren met teamleden is het gemakkelijker om zoveel mogelijk verbale communicatie te gebruiken. Maar soms is het noodzakelijk om technologie voor communicatie te gebruiken zoals web conference, e‐mail en PowerPoint presentaties. Een effectieve aanpak is om te telefoneren of web conference in plaats van e‐mail, hoewel de organisatie ook moet inzien dat er culturele kwesties en verschillen aan kleven bij gebruik van dit soort communicatiemiddelen om misverstanden te voorkomen. Leiderschap: Probeer begrip te krijgen voor het verschil in culturele kwesties en verschil in inzicht binnen het uitbestedingstraject. Houd je strikt aan de project procedures en wijk daar in eerste instantie niet te veel van af. Besteedt tijd aan het opleiden/ begeleiden van je medewerkers. Zorg ervoor dat iedereen zowel klant als leverancierszijde binnen het IT Outsourcing project aangehaakt blijft. Laat zien wie de leider is. Kenmerkende gedragsuitingen in leiderschap zijn geconstateerd waardoor een groter vertrouwen wordt ervaren tussen beide partijen zijn: betrokkenheid en vertrouwen, tevredenheid en verwachtingen, samenwerking en conflict, en de kracht van synergie en afhankelijkheid. Deze kunnen gelijktijdig optreden in de relatie. Betrokkenheid leidt tot vertrouwen, en vertrouwen leidt tot inzet, en samen resulteert het in bereiken van succes. Kennisdeling en Samenwerking: Bouw een vertrouwensrelatie op met je leverancier binnen het IT Outsourcing project op basis van enerzijds vertrouwen dat het wel goed komt (positief denken) en anderzijds op rapportering van de voortgang van de leverancierprestaties. Creëer een win‐win situatie tussen de klant en leverancier. Opeenvolging van de gemaakte afspraken gedurende de voortgangsrapportages geleverd door de leverancier. Wees alert op mogelijkheden van opportunistisch gedrag aan weerszijden van de IT Outsourcing relatie als informatie bewust door de leverancier of klant wordt achtergehouden.
4 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
2) Contract Management heeft een grote impact op het vertrouwen, omdat een gestructureerd proces van afsluiting van een overeenkomst tot aan het beheren van het contract tussen de klant en de leverancier erg belangrijk is. De onderliggende managementaspecten die onder contract management vallen zijn: Geschreven en Psychologisch contract, Contractperiode en Minimalisatie van onzekerheid. Geschreven en psychologisch contract: Een duidelijke afbakening van de dienstverlening en een gedetailleerde resultaatgerichte contract biedt voordelen als bescherming tegen de veranderingen van de externe (environmental) factoren zoals wet‐ en regelgeving en maakt het makkelijker de geleverde prestaties te meten tegen de contractafspraken. Een gezonde balans tussen een geschreven en een psychologisch contract moet gevolgd worden, omdat een eenzijdig geschreven contract juist opportunistisch gedrag bevordert. De eisen en voorwaarden zijn inmiddels vastgelegd, waardoor een groter kans bestaat dat men tussen de mazen van de wet gaat zitten en minder op vertrouwen wordt gesteund. Contractperiode: Houdt de contractsduur zo kort mogelijk met de optie voor verlenging (rollover approach). Als gevolg hiervan wordt de IT Outsourcing provider gedwongen zich te richten op de verwachtingen daadwerkelijk te bereiken. ‐ Minimalisatie van onzekerheid: Vanwege de onzekerheden die bij IT Outsourcingtrajecten met zich meebrengen is enige vorm van flexibiliteit in het contract wel gewenst. Een rollover contract (middel‐lange termijn contract < 3 jaar met optie tot verlenging) zou kunnen worden gebruikt om enige flexibiliteit te geven terwijl nog steeds aan de eisen worden voldaan. Risico’s en onzekerheid kunnen worden geïnterpreteerd als de kans op schade als gevolg van onzekerheid. Een resultaatgerichte overeenkomst kan daarbij een oplossing zijn om de risico’s te mitigeren en onzekerheid te minimaliseren, doordat de beloningen voor beide partijen afhankelijk worden gemaakt door wederzijdse prestaties. Aanvullend hierop is het verstandig om de nodige tijd te besteden in het ontwerp van een service level agreement (SLA). Een SLA omvat immers elk aspect van het uitbestede werk. 3) Security heeft een grote impact op het vertrouwen, omdat de beveiliging van gegevens en informatie van vitaal belang is voor elke organisatie. Het toestaan van een IT Outsourcing provider om belangrijke informatie te beheren kan ernstige gevolgen hebben. Security omvat onder andere hoe de organisatie de provider kan vertrouwen bij het overhandigen van gevoelige gegevens. Security kan worden onderverdeeld in: Administratieve beveiliging en Technische beveiliging. ‐ Administratieve beveiliging: Dit heeft betrekking op de organisatie en haar actoren en omvat het proces in het creëren van een informatiebeleid. o Pas gedeelde projecteigenaarschap toe. o Biedt gericht onderwijs in het opleiden van medewerkers in Security Management voor meer bewustzijn. o Het opleiden van medewerkers om meer bewustzijn te kweken voor Security Management moet vooraf geschieden, voordat medewerkers binnen het IT Outsourcing traject in aanraking komen met uitwisseling van bedrijfsgevoelige informatie. o Implementeer een centraal beleid voor Security Management. ‐ Technische beveiliging: Dit heeft betrekking op het netwerk / communicatie beveiliging en de toegang o Authenticatie: Bepaal de authenticiteit van gebruikers, computers en middelen. Gebruik certificaten en wachtwoorden. o Integriteit: Het verzamelen en onderhouden van correcte informatie. Met zekerheid kunnen stellen dat veranderingen/wijzigingen van informatie volledig gelogd zijn. 5 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
o
o
o
o
Toegangscontrole: Regelt de gebruikerstoegang tot IT‐systemen, de mogelijkheid om alle log activiteiten van de gebruiker te traceren. Dit zorgt ervoor dat de gebruikers toegang worden verleend aan IT‐ systemen of de toegang worden geweigerd conform de regels rondom geautoriseerde toegang. Vertrouwelijkheid: Informatie waaronder berichten, vervoer, en gegevensverbinding in de dienstverlening communicatiesystemen worden vertrouwelijk behandeld. Vertrouwelijkheid wordt bereikt door het versleutelen van data bij opslag of bij de overdracht van informatie. Onweerlegbaarheid (non‐repudiation): Wordt toegepast in verband met elektronisch document uitwisseling. Gecertificeerd document, die erkent de inhoud van het document. Bij geschil, onweerlegbaarheid van beveiliging kan het bewijs leveren. Onweerlegbaarheid is bereikt door bijvoorbeeld het verifiëren van een digitale handtekening. Beschikbaarheid: Zorgt ervoor dat bevoegde personen toegang hebben wanneer dat nodig is.
Tot slot hopen wij in deze scriptie het vertrouwen in een IT Outsourcing relatie weten te concretiseren.
6 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Inhoudsopgave 1. Introductie ........................................................................................................................................... 9 1.1 De problematiek van IT Outsourcing ............................................................................................. 9 1.2 Centrale Probleemstelling ........................................................................................................... 10 1.3 Doelstelling van het onderzoek ................................................................................................... 10 1.4 Onderzoeksopzet ......................................................................................................................... 11 1.5 Rolverdeling ................................................................................................................................. 12 1.6 Onderzoeksaanpak ...................................................................................................................... 12 1.7 Afbakening ................................................................................................................................... 13 1.8. Methode van Onderzoek ............................................................................................................ 14 1.9 Onderzoekskader ........................................................................................................................ 15 1.10 Verwachte resultaten van ons onderzoek ................................................................................ 16 1.11 Opbouw van de scriptie ............................................................................................................. 17 2. IT Outsourcing ................................................................................................................................... 18 2.1 Definitie van IT Outsourcing ........................................................................................................ 18 2.2 Motivaties voor IT Outsourcing ................................................................................................... 19 2.2.1 Kostenbesparing ................................................................................................................... 19 2.2.2 Hogere kwaliteit in de dienstverlening ................................................................................ 20 2.2.3 Concentratie op de kernactiviteiten .................................................................................... 20 2.3 De uitdaging van een IT Outsourcing traject ............................................................................... 20 2.3.1 De problemen en oorzaken van het mislukken van een IT Outsourcing traject .................. 21 2.4 Kritieke succesfactoren in een IT Outsourcing relatie ................................................................. 22 2.5 Samenvatting ............................................................................................................................... 23 3. IT Outsourcing relatie en vertrouwen ............................................................................................... 25 3.1 De introductie van de conceptgebieden in een IT Outsourcing relatie ...................................... 25 3.2 De versterkende vertrouwensaspecten in een IT Outsourcing relatie ....................................... 25 3.3 Cultuur ......................................................................................................................................... 26 3.3.1 Communicatie ...................................................................................................................... 26 3.3.2 Leiderschap .......................................................................................................................... 27 3.3.3 Context ................................................................................................................................. 27 3.3.4 Kennisdeling en samenwerking ............................................................................................ 28 3.3.4.1 Klant – Leverancier relatie ................................................................................................. 28 3.3.5 Samenvatting van het conceptgebied ‘Cultuur’ ................................................................... 29 3.4 Contract Management ................................................................................................................ 31 3.4.1 Geschreven contract versus Psychologisch contract ........................................................... 31 3.4.2 Contractperiode ................................................................................................................... 32 3.4.3 Het minimaliseren van onzekerheid..................................................................................... 33 7 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
3.4.4 Samenvatting van het conceptgebied ‘Contract Management’ .......................................... 33 3.5 Security ........................................................................................................................................ 34 3.5.1 Technische beveiliging .......................................................................................................... 34 3.5.2 Administratieve beveiliging .................................................................................................. 35 3.5.3 Samenvatting van het conceptgebied ‘Security’ .................................................................. 35 3.6 Vertrouwen ................................................................................................................................. 36 3.7 Samenvatting – De drie conceptgebieden van Vertrouwen ....................................................... 39 4. Het ontwerp van een Conceptueel Raamwerk ................................................................................. 42 4.1 Conceptueel Raamwerk .............................................................................................................. 42 4.2 Toepasbaarheid van het Conceptueel Raamwerk ...................................................................... 47 4.3 Analyse bevindingen Theorie vs Praktijk ..................................................................................... 48 4.3.1 Verslag van de vijf interviews ................................................................................................... 48 4.3.2 Samenvatting van de bevindingen Theorie vs Praktijk ............................................................ 51 5. Conclusie van het Conceptueel Raamwerk ....................................................................................... 53 5.1 Deelvragen................................................................................................................................... 54 5.2 Centrale vraagstelling .................................................................................................................. 57 5.3 Aanbeveling tot vervolgonderzoek ............................................................................................. 60 Bijlage 1 – Literature Search Tree ......................................................................................................... 61 Bijlage 2A – Bronnenmatrix ABI/ INFORM ............................................................................................ 62 Bijlage 2B – Bronnenmatrix Google Scholar .......................................................................................... 66 Bijlage 3 – Interview verslagen .............................................................................................................. 68 Referenties ............................................................................................................................................ 75
8 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
1. Introductie In de laatste decennia is er veel geschreven over de trend van ‘IT Outsourcing’. Bij het besluit om IT uit te besteden komt veel kijken zoals een leverancier selectie, pakket van eisen, RFI (Request for Information), RFP (Request for proposal), het afsluiten van de IT overeenkomst en ten slotte het managen van de klant‐leverancier relatie. Het uitbestedingsproces is hierdoor complex en een nauwe klant‐leverancier relatie is daardoor van cruciaal belang. In deze scriptie zullen wij ons richten op het managen van een goede IT Outsourcing relatie tussen klant en leverancier. Bij het verder lezen zal eerst het probleemgebied van IT uitbestedingen kenbaar worden gemaakt in paragraaf 1.1. Naast de problematiek van IT Outsourcing wordt de lezer bekendgemaakt met de belangrijkste aspecten van een succesvolle uitbestedingsproject, namelijk: de kritieke succesfactoren (KSF), risico’s en management. Vervolgens zal aansluitend de centrale probleemstelling bekend worden gemaakt (paragraaf 1.2) en algemene doelstelling van het onderzoek (paragraaf 1.3).
1.1 De problematiek van IT Outsourcing In de afgelopen decennia hebben organisaties zich voornamelijk gericht op bedrijfsactiviteiten waar ze goed in zijn, ‘hun core business’. De ‘non core business’ activiteiten zijn daarbij vaak uitbesteed aan andere organisaties, waarvoor een contract tussen opdrachtgever en opdrachtnemer is opgesteld (Mahnke, Mikkel en Vang, 2005). Veel organisaties wenden zich tot uitbesteding van non‐ core business activiteiten om voordelen te behalen als kostenreductie, betere kwaliteit van de dienstverlening, hogere externe deskundigheid en reductie van de risico’s (Mahnke, Mikkel en Vang, 2005; Bahli en Rivard, 2005; Barthelemy, 2003; Chen, Lin, en Tu, 2002; Kern en Willcocks, 2000). Hoewel organisaties zoeken naar gemeenschappelijke voordelen zijn er altijd risico’s verbonden aan een IT uitbestedingtraject (Asif Pasha, 2005). Zelfs als organisaties bewust alle risico’s inzichtelijk hebben gemaakt, kunnen IT managers nog steeds geen volledige garantie geven voor succesvolle IT Outsourcing relatie. In de literatuur worden risico’s genoemd zoals het afschuiven van verantwoordelijkheid van de in‐house IT dienstverlening, niet halen van de doelstellingen, vendor lock‐in, geen culturele fit, wantrouwen en demotivatie binnen eigen personeel door mogelijk banenverlies en verlies van controle over de informatie assets. (Dean en Yunus, 2000; Brooks, 2006; Mathew, 2011). Door vooraf een risicoanalyse uit te voeren wordt een beter inzicht verschaft van de veelvoorkomende valkuilen in een IT Outsourcing relatie (Wiener, 2006). Daarnaast kan een IT Outsourcing traject worden gezien als een project, waarbij voor het mitigeren van risico’s organisaties eerst moeten begrijpen welke gemeenschappelijke succesfactoren (KSF) van belang zijn om de kans op een succesvol IT Outsourcing relatie te vergroten (Wiener, 2006; Brandes, Brege en Lilliecreutz, 1997). Gezien de aangegeven risico’s is het van essentieel belang dat het relatiemanagement en contact tussen de klant en de leverancier goed verloopt. Volgens Nassimbeni, Sartor en Dus (2012) gaat er heel veel mis binnen IT Outsourcing en enkele voorbeelden daarbij zijn: de chemie kan ontbreken tussen de klant en de leverancier, de organisatie raakt bepaalde competenties en kennis kwijt door uitbesteding van IT activiteiten en IT Outsourcing kan leiden tot verlies van flexibiliteit. Een van de cruciale aspecten binnen de IT Outsourcing relatie is een goede balans te vinden in de informatie uitwisseling tussen de klant en de leverancier en vice versa. Het opbouwen van wederzijds vertrouwen en een goede planning en verdeling van de activiteiten binnen de IT Outsourcing relatie zijn daarbij belangrijke ingrediënten voor een goede samenwerking (Volery en Mensik, 1998). 9 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Van IT managers wordt ook steeds meer verwacht dat ze naast goede communicatie, management ‐ en leiderschapskwaliteiten ook over sociale intelligentie beschikken. Vooral bij uitbesteding van activiteiten van technische aard zoals IT, die de innovatiekracht van een organisatie kunnen beïnvloeden, is het belangrijk dat er managers zijn die de uitgebreide kennis en intelligentie van externe partners benutten. Daarnaast zorgt een optimale uitwisseling van informatie en heldere communicatielijnen, dat meer tijdige en nuttige bijdrage aan de gang zijnde technologische ontwikkelingsactiviteiten wordt geleverd en problemen sneller worden opgelost (Jonash, 1996; Usoro, Sharratt, Tsui, en Shekhar, 2007).
1.2 Centrale Probleemstelling In de intro van onze scriptie is al kort stilgestaan dat het managen van een goede IT Outsourcing relatie steeds belangrijker wordt bij de uitbesteding van IT activiteiten aan een IT leverancier. Om het relatiemanagement tussen klant en leverancier in goede banen te leiden willen wij de component ‘Vertrouwen’ nader onderzoeken. De volgende onderzoeksvraag en behorende deelvragen staan daarbij centraal. Onderzoeksvraag Hoe kan vertrouwen in een bestaande IT Outsourcing relatie worden vergroot? Deelvragen: Wat is IT Outsourcing? Waarom wordt IT uitbesteed? Wat zijn de huidige problemen en uitdagingen in IT Outsourcing? Wat zijn de risico’s van IT Outsourcing? Wat zijn de kritieke succesfactoren voor een succesvol IT Outsourcing relatie? Wat is vertrouwen? Welke aspecten zijn belangrijk om goed relatiemanagement tussen klant en leverancier te onderhouden?
1.3 Doelstelling van het onderzoek Het doel van dit onderzoek is om het proces van hoe vertrouwen in IT Outsourcing relaties te bereiken, te identificeren en te beschrijven. Het verwachte eindresultaat is een conceptueel raamwerk van kritieke succesfactoren te creëren die belangrijk zijn voor het proces om vertrouwen te bereiken in IT Outsourcing relaties. Het nog te presenteren conceptueel raamwerk wordt gebruikt om meer bewustwording te wekken van hoe je vertrouwen in IT Outsourcing relaties kan vergroten, dat uiteindelijk leidt tot een succesvolle IT Outsourcing relatie. De beoogde lezersdoelgroep kan het conceptueel model gebruiken voor:
Het succes van hun bestaande IT Outsourcing relatie te meten door te kijken naar factoren als prestaties en vertrouwensband binnen de IT Outsourcing relatie. Het ontwikkelde conceptueel raamwerk bundelen met in verleden uitgevoerde en toekomstige wetenschappelijke onderzoeken. Het bundelen en combineren van deze onderzoeken kunnen leiden tot een "totale" IT Outsourcing oplossing met vele voordelen, waaronder kosteneffectieve verwerking, efficiëntere aanpak van contractonderhandeling, betere communicatie en management van automatiseringscontracten.
10 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
1.4 Onderzoeksopzet Deze scriptie is geschreven door twee postdoctorale studenten Youri Lau (KPMG) en Evan Oei (KPN) ter afronding van de postdoctorale opleiding Executive Master in IT Auditing. Sinds juni dit jaar zijn zij gaan samenwerken om een onderzoek te starten naar het winnen van vertrouwen binnen een IT Outsourcing traject. Beide heren hebben vanuit hun ervaringen in Enterprise Risico Management veel te maken gehad met het afsluiten van automatiseringscontracten. Op basis van hun ervaringen in hun eigen werkomgeving en klantencontact is opgevallen, dat het aspect vertrouwen nog sterk wordt onderbelicht bij het managen van een goede klant‐leverancier relatie in de praktijk. Volgens Beulen, Tiwari en Heck (2011) is uit een uitgebreide empirische studie gebleken dat bepaalde actoren als kennisdeling, vertrouwen en governance een positieve invloed hebben om de verantwoordelijkheid van bepaalde IT diensten over te hevelen van klantzijde naar de leverancierszijde. De drie geïdentificeerde managementaspecten vereisen een aanzienlijke gezamenlijke en gecoördineerde inspanning van opdrachtgever en dienstverlener. Het bereiken van een hoog niveau van gezamenlijke inspanning is uitdagend vanwege de verschillen in motivatie, organisatiecultuur en verwachtingen aan beide uiteinden. Als startpunt is het artikel van Lacity, Khan, Yan en Willcocks (2010) gebruikt. Dit artikel gaf daarbij een goede eerste indruk van wat er allemaal is geschreven over IT Outsourcing, aangezien daarin zo’n 164 empirische artikelen binnen 50 journals tussen 1992 en 2010 zijn doorzocht. Dit artikel geeft in een notendop een overzicht van artikelen tot aan jaar 2010 dat zich beraamt over vraagstukken als:
Wat is IT Outsourcing? Waarom bedrijven IT uitbesteden? Wat zijn de risico’s bij IT Outsourcing? Wat zijn de succesfactoren bij IT Outsourcing?
Veel genoemde kernwoorden in dit artikel zijn daarbij hergebruikt om een search query te ontwikkelen in de wetenschappelijke databases. De eerste voorzet van de opbouw van de search query is gedaan door Evan. Vervolgens is de uiteindelijke versie van de search query nader tot stand gekomen, nadat we beide in discussie gingen om na te denken welke trefwoorden nog ontbraken in de query. De uiteindelijke versie van de search query is opgenomen in bijlage 1 ‘Literature Search Tree’. Deze search query is toegepast in ABI/INFORM, waarbij ook selectie parameters vooraf zijn ingesteld als taal = Engels, Peer Reviewed (aangevinkt), Source Type = Scholarly Journals en gepubliceerd vanaf 1994 tot heden. Op basis van deze search query is in bijlage 1 ‘Literature Search Tree’ te zien dat daaruit als resultaat in totaal 14.938 artikelen zijn gevonden. Van dit totaal is vervolgens alleen naar full‐text artikelen gekeken, wat een totaal van 13.011 artikelen omvat. Het totaal van 13.011 artikelen is vervolgens door ons nader bestudeerd voor de totstandkoming van het theoretische kader van deze scriptie. De uiteindelijk gebruikte bronnen voor het theoretische kader van ons onderzoek is terug te vinden in resp. bijlage 2A Bronnenmatrix ABI/INFORM en bijlage 2B Bronnenmatrix Google Scholar. In beide bronnenmatrices is een onderscheid aangebracht tussen empirische en non‐empirische studie bronnen. Deze uitgebreide theoretische verkenning in de bestaande literatuur fungeert als een stevig theoretisch fundament van ons onderzoek om de aspecten van een groter vertrouwen in een IT Outsourcing relatie zichtbaar te maken in de vorm van een conceptueel theoretisch raamwerk.
11 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Het onderzoek wordt afgesloten door de gevonden theoretische concepten rondom aspecten van vertrouwen in een IT Outsourcing relatie middels vijf interviews bij vijf verschillende bedrijven te valideren. Daarbij zijn drie bedrijven bereid gevonden vanuit een klant perspectief en twee bedrijven vanuit een leverancier perspectief deel te nemen aan een face‐to‐face interview. De insteek van de interviews is om een totaal beeld te realiseren van zowel theorie versus praktijk en klantperspectief versus leveranciersperspectief. De bevindingen opgedaan bij de interviews kunnen daarbij een goede aanvulling bieden op de bestaande theoritische concepten rondom vertrouwen in een IT Outsourcing relatie.
1.5 Rolverdeling Gedurende de literatuur verkenning en het schrijven van deze scriptie is er een evenwichtige balans in de rolverdeling gerealiseerd, waarin wij beide ons volledig hebben ingezet om te streven naar een goed en volledig onderzoeksresultaat. Daarnaast voelen we ons beide verantwoordelijk en aansprakelijk voor alle geschreven stukken van deze scriptie en tevens voor de gemaakte conclusies en bevindingen tijdens de gehele onderzoekscyclus. Zo is bijvoorbeeld in het bestuderen van het totaal van 13.011 artikelen een evenwichtige inspanning geweest, doordat Youri de even paginanummers uit de zoekresultaten pakt en Evan de oneven paginanummers. In totaal zijn er 651 paginanummers met een maximum van 20 artikelen per pagina. Daarnaast heeft de een soms een voorzet gedaan en de ander de rol van reviewer op zich genomen. Uiteindelijk zijn 74 artikelen uit het zoekresultaat in ABI/INFORM verwerkt in deze scriptie. Daarnaast is ook Google Scholar geraadpleegd en zijn er nog 23 artikelen toegevoegd. Voor de totstandkoming van deze scriptie zijn dus in totaal 96 artikelen gebruikt. Bij het bestuderen van deze artikelen is een goede beeldvorming ontstaan welke aspecten, risico’s en kritieke succesfactoren relevant zijn voor een goede klant‐leverancier relatie binnen IT Outsourcing. Hieruit is een bronnenmatrix gebouwd, die een overzicht van auteurs weergeeft en wat zij hebben geschreven (zie bijlage 2A‐ Bronnenmatrix ABI/INFORM en bijlage 2B – Bronnenmatrix Google Scholar). De gezamelijke verkenning van de gevonden bronnen uit de search query heeft ertoe geleid tot de ontwikkeling van een conceptueel raamwerk voor het vergroten van vertrouwen binnen in een bestaande IT Outsourcing relatie. Dit conceptueel raamwerk is vervolgens getoetst met de praktijk, aangezien wij vijf bedrijven via Finext Risk en Control BV (Management Consultancy Organisatie) hebben benaderd voor een interview. In totaal zijn vijf interviews afgelegd, waarbij ook hier een evenwichtige rolverdeling is gerealiseerd tussen facilitator en notulist.
1.6 Onderzoeksaanpak Het doel van ons onderzoek is inzicht te verschaffen in hoe je vertrouwen in een IT Outsourcing relatie kan inzetten, dat uiteindelijk leidt tot een gezonde en succesvolle relatie tussen de klant en de leverancier. Op basis van een uitgebreide verkenning van de bestaande literatuur zijn een aantal veel terugkerende onderwerpen tegengekomen die impact hebben op de IT Outsourcing relatie, zie figuur 1. De vaak terugkerende onderwerpen in de artikelen over IT Outsourcing en het management van de IT Outsourcing relatie kunnen worden geschaard onder de categorieën: Risico’s, Key Succes Factoren en Management. Vervolgens is een synthese opgesteld. Met synthese wordt bedoeld een samenstelling van nauw verwante aspecten gevonden in de literaire studie, die gerelateerd zijn aan ‘vertrouwen’ en ‘IT Outsourcing’ en hoe deze aspecten het vertrouwen in een IT Outsourcing relatie elkaar kan versterken. Aan de hand van de synthese hebben we een search query gemaakt en op verschillende databases toegepast. Op basis van het aantal bruikbare zoekresultaten hebben we ons 12 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
alleen gericht op ABI/INFORM Database en onze search query alleen geoptimaliseerd om de beste zoekresultaten terug te krijgen. Uit de synthese zijn een aantal key aspecten geïdentificeerd zoals cultuur, contract management en security. Deze key aspecten zullen uiteindelijk ook in het te ontwerpen raamwerk terugkomen. De laatste cruciale stap is de kritieke succes factoren binnen elk aspect te begrijpen. Dit helpt om een algemeen denken van hoe vertrouwen in een IT Outsourcing relatie te bereiken binnen de conceptgebieden cultuur, contract management en security en hoe deze gebieden elkaar positief beïnvloeden. De drie conceptgebieden gepresenteerd in het raamwerk zullen daarnaast worden getoetst door middel van interviews. Voor de interviews zullen IT managers of contract managers of service delivery managers uit vijf verschillende bedrijven worden uitgenodigd deel te nemen. Vanuit klantzijde resp. twee telecom providers en een logistieke dienstverlener (wegenwacht) en vanuit leverancierzijde resp. een groot IT dienstverlener en een grote consultancy bureau. In de interviews zal nagevraagd worden wat hun ervaringen zijn van een goedlopend en een slechtlopend IT uitbestedingsproject. Op basis van deze interviews kan enerzijds worden bevestigd of de gepresenteerde conceptgebieden, aspecten en kritieke succesfactoren ook daadwerkelijk in de praktijk van toepassing zijn en anderzijds wellicht een waardevolle aanvulling vormen van nieuwe inzichten. Uitgebreide verkenning van literatuur onderzoek Veel besproken Creëert basis voor onderwerpen Bevestigt IT Outsourcing relatie Samenstelling van nauw Contribueert verwante aspecten Synthese Identificeert Aspecten, concepten, aandachtsgebieden Genereert toetst Ontwerp Raamwerk Identificeert Identificeert Kritieke Succes Factoren Figuur 1: Onderzoeksaanpak
Gekaderd literatuur onderzoek op basis van search query Identificeert Vertrouwen
Interviews
= Fase = Resultaat
1.7 Afbakening De doelstelling van ons onderzoek is vertrouwen te winnen binnen de IT Outsourcing relatie tussen de opdrachtgever en de IT Outsourcing provider vanuit de planningsfase tot aan afronding van het uitbestedingtraject. Met andere woorden dit verwijst naar een project lifecycle van de beslissing mbt uitbesteding van IT diensten tot aan het officiële akkoord door het hoger management voor het 13 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
beëindigen van het uitbestedingtraject door het behalen van de projectdoelstellingen. Bij het beëindigen van het uitbestedingproject wordt als eindresultaat een projectsucces of projectfalen geconstateerd. Deze scriptie richt zich niet op het faciliteren van de beslissing om wel of niet IT te outsourcen.
1.8. Methode van Onderzoek Als methode van onderzoek is eerst begonnen met een literatuur verkenning. Als startpunt is het artikel van Lacity, Khan, Yan en Willcocks (2010) gebruikt. Dit artikel gaf daarbij een goede eerste indruk van wat er allemaal is geschreven over IT Outsourcing, aangezien daarin zo’n 164 empirische artikelen binnen 50 journals tussen 1992 en 2010 zijn doorzocht. Dit artikel biedt ons niet alleen inzicht in hoe complex IT Outsourcing is, maar stimuleert ook ons bewustzijn dat een uitbestedingtraject kan worden vergeleken met een project. De kans op een succesvol uitbestedingtraject of project wordt vergroot, naarmate er meer rekening wordt gehouden met aspecten als kritieke succesfactoren, risico’s en management. In het bijzonder het derde deelgebied ‘Management’ in uitbestedingtrajecten zal nader worden verkend, omdat ten opzichte van de andere twee deelgebieden deelgebied ‘Management’ de meest invloedrijke factor is te sturen op vertrouwen en controle in een IT Outsourcing relatie. Vervolgens is een synthese opgesteld. Met synthese wordt bedoeld een samenstelling van nauw verwante aspecten gevonden in de literaire studie, die gerelateerd zijn aan ‘vertrouwen’ en ‘IT Outsourcing’ en hoe deze aspecten het vertrouwen in een IT Outsourcing relatie elkaar kan versterken. Aan de hand van de synthese hebben we een search query gemaakt en op verschillende databases toegepast. Op basis van het aantal bruikbare zoekresultaten hebben we ons alleen gericht op ABI/INFORM Database en onze search query alleen geoptimaliseerd om de beste zoekresultaten terug te krijgen. Uit de synthese zijn een aantal key aspecten geïdentificeerd zoals cultuur, contract management en security. Hierna wordt een korte omschrijving van de drie genoemde aspecten gegeven, die meespelen om een succesvol uitbestedingstraject of project te realiseren. In tabel 1 is bij elk aspect een overzicht van auteurs weergegeven. Tabel 1: Inventarisatie van de gebruikte bronnen rondom de drie belangrijkste deelgebieden Deelgebied
Literatuur
Kritieke Succes Factoren (1)
Wiener, 2006; Kadiyala en Samaddar, 2005; Willcocks, Fitzgerald en Feeny, 1995; Brandes, Brege en Lilliecreutz, 1997; Barthelemy, 2003; Gottschalk en Solli‐Saether, 2005.
Risico’s (2)
Chen, Lin, en Tu, 2002; Kern en Willcocks, 2000; Dean en Yunus 2000; Asif Pasha, 2005; Mathew, 2011.
Management (3)
Hoecht en Trott, 2006; Kakabadse en Kakabadse, 2005; Kadiyala en Samaddar, 2005; Jonash, 1996.
14 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Kritieke Succesfactoren (KSF) Het eerste deelgebied, de kritieke succesfactoren (KSF) specificeren de belangrijkste indicatoren om een gezonde IT Outsourcing relatie met succes te verwezenlijken. Het deelgebied ‘KSF (1)’ moet worden overwogen om te begrijpen wat de organisatie moet nastreven. Deze factoren beschrijven de voorwaarden waaraan moet worden voldaan om de kans op succes in IT Outsourcing projecten te vergroten (Aggestam en Söderström, 2005; Wiener, 2006). Risico’s Het tweede deelgebied risico’s tonen de valkuilen die moeten worden vermeden. De risicofactoren (2) is het tegenovergestelde van de kritieke succesfactoren. Risico's tonen de valkuilen die de organisatie moet vermijden om zijn doelstellingen te bereiken. Bij het proces van toekennen van doelstellingen en risico’s bij uitbestedingtrajecten is het ook erg van belang dat er van te voren is nagedacht hoe de doelstellingen uiteindelijk zijn behaald. Management Het derde deelgebied management geeft aan hoe de kritieke succesfactoren worden behaald, terwijl de risico’s worden vermeden. Management (3) is het proces van het plannen, organiseren, leiden, coördinatie en controle van het project naar de KSF (1) en tegelijkertijd het vermijden van de risico's (2). Indien aan een van de deelgebieden niet wordt voldaan, dan neemt de kans op niet behalen van de projectdoelstellingen toe. De pijl in het model toont aan dat de drie deelgebieden gezamenlijk het projectresultaat beïnvloeden. ‘Projectfalen’ treedt op wanneer de project doelen niet worden bereikt. Met ‘projectfalen’ wordt bedoeld als de verwachtingen van het project niet worden gehaald, of als er een duidelijke scheiding is tussen de organisatie en de IT Outsourcing provider, waardoor slechte communicatielijnen en onduidelijke escalatiepaden ontstaan en beide partijen niet meer op een lijn zitten. Succes op het project wordt behaald wanneer aan de verwachtingen van het project wordt voldaan. Op basis van de geschetste centrale onderzoeksvraag en deelvragen (paragraaf 1.2) zullen wij dit in een onderzoekskader plaatsen, waardoor de centrale vraag en deelvragen in verband worden gebracht met de andere onderdelen als onderzoeksobject, onderzoeksaspecten, doelstelling en gekozen referenties.
1.9 Onderzoekskader Hieronder is het onderzoekskader gepresenteerd (zie figuur 2). Dit onderzoekskader kan worden gezien als een samenvattend geheel van wat er in voorgaande paragrafen is behandeld. Zo ziet men in het onderzoekskader de samenhang tussen centrale onderzoeksvraag, deelvragen, doelstelling van het onderzoek en gebruikte referenties.
15 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Referenties Interviews (opdrachtgevers, IT managers, Service Delivery Manager) Bestaande contracten van Telecom en Verzekering bedrijven Literatuur onderzoek, zie bronnen matrix bijlagen 2A en 2B Figuur 2: Onderzoekskader
Onderzoeksvragen
Onderzoeksaspecten
1. Hoe kan vertrouwen in een bestaande IT Outsourcing relatie worden vergroot?
2. Wat is IT Outsourcing?
3.Waarom wordt IT uitbesteed? 4. Wat zijn de huidige problemen in IT Outsourcing contracten
5. Wat zijn de risico’s van IT Outsourcing?
6.Wat zijn de kritieke succesfactoren voor een succesvol klant en leverancier relatie
Uitbesteden core en non core business activiteiten buyer –supplier relatie Principle Agent theorie (Informatie‐ en kennis uitwisseling) organisatie‐theorie (cultuur, leiderschap) Contractmanagement (SLA), Leverancier prestaties, korte termijn en lange termijn contracten, schriftelijk of psychologisch contract Vertrouwen (loyaliteit, management van verwachtingen, relatie opbouw
Doelstellingen Het doel van dit onderzoek is om het proces van hoe vertrouwen in IT Outsourcing relaties te bereiken, te identificeren en te beschrijven.
7.Wat is vertrouwen? 8.Welke aspecten zijn belangrijk om goed relatiemanagement tussen klant en leverancier te onderhouden
Onderzoeksobject IT Automatiseringscontracten voor IT Outsourcing activiteiten, waarbij aspecten als control en vertrouwen worden meegenomen
1.10 Verwachte resultaten van ons onderzoek Het verwachte eindresultaat is een conceptueel raamwerk van kritieke succesfactoren en handvatten aan te reiken, die belangrijk zijn voor het proces om vertrouwen te bereiken in IT Outsourcing relaties. Een organisatie die bijvoorbeeld hun IT activiteiten gaan uitbesteden kunnen dit conceptueel raamwerk gebruiken om inzicht te krijgen in hoe een groter vertrouwen binnen een IT Outsourcing relatie te verwezenlijken. Vooral het opwekken van vertrouwen aan weerszijden binnen de IT Outsourcing relatie zal het succes van een uitbestedingcontract volgens ons onderzoek gaan vergroten. Dit conceptueel raamwerk beperkt zich tot een aantal perspectieven bij verschillende uitbestedingsituaties rondom IT Outsourcing. Het conceptueel raamwerk zal de volgende situaties dekken:
Hoe komt een automatiseringscontract tot stand? Hoe bouw je een vertrouwensrelatie op tussen de klant en leverancier Hoe vermijdt je conflicten tussen de klant en leverancier? Hoe om te gaan met de culturele kwesties aan weerszijden van de IT Outsourcing relatie?
Het conceptueel raamwerk zal een aantal conceptgebieden, aspecten en kritieke succesfactoren identificeren die uiteindelijk leiden tot een groter vertrouwen in een IT Outsourcing relatie. 16 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Dit conceptueel raamwerk zal worden gepresenteerd in hoofdstuk 5, waarin ook de positieve verbanden tussen de conceptgebieden nader worden beschreven. Daarnaast zal dit raamwerk ook op volledigheid worden getoetst door ervaringen in de praktijk. Dit wordt gedaan op basis van interviews van een viertal bedrijven. Vanuit klantzijde drie bedrijven uit het bedrijfsleven (2x telecom bedrijf en 1x logistieke dienstverlener) en vanuit leverancier zijde een grote nationaal –en internationaal opererende IT dienstverlener.
1.11 Opbouw van de scriptie In hoofdstuk 1 werd stilgestaan met de problematiek van het opbouwen van een goede IT Outsourcing relatie. Om een stevige basis te ontwikkelen voor een goede IT Outsourcing relatie zijn drie belangrijke deelgebieden geïntroduceerd die het uitbestedingtraject positief kunnen beïnvloeden, resp. KSF (1), Risico’s (2) en Management (3). Daarnaast is de centrale onderzoeksvraag en de onderliggende vragen kenbaar gemaakt aan de lezer. Vervolgens zijn aan bod gekomen: doelstelling van het onderzoek, onderzoeksopzet, rolverdeling, onderzoeksaanpak, afbakening, methode van onderzoek en verwachte resultaten van ons onderzoek. Afsluitend van hoofdstuk 1 treft men het onderzoekskader aan, wat functioneert als een samenvattend geheel van wat er eerder is besproken. Zo ziet men in het onderzoekskader het samenhangend geheel van centrale onderzoeksvraag, doelstelling van het onderzoek en gebruikte referenties. In hoofdstuk 2 wordt gestart met het eerste deel van het theoretische kader, waarbij nader wordt ingegaan op het begrip ‘IT Outsourcing. Daarnaast worden hier nog een aantal andere gerelateerde onderwerpen ter sprake gesteld als de motivatie om uit te besteden, het mislukken van IT uitbestedingtrajecten en daarmee ook de succesfactoren en de oorzaken van het falen. Hoofdstuk 3 omvat het tweede deel van het theoretische kader. Hierin worden een drietal conceptgebieden geïntroduceerd die een sterke bijdrage kunnen leveren het vertrouwen in een IT Outsourcing relatie te vergroten. Onze verkenning in de bestaande literatuur, waarin is geput uit eerdere publicaties van theoretische en empirische onderzoeken heeft ertoe geleid dat er drie conceptgebieden (resp. Cultuur, Contract Management en Security) zijn geïdentificeerd om een goede IT Outsourcing relatie te realiseren gebaseerd op vertrouwen. Bij elk conceptgebied wordt een nadere toelichting gegeven welke onderliggende aspecten ook rekening mee moet worden gehouden. Tevens wordt in elk conceptgebied de kritieke succesfactoren genoemd indien men de geïdentificeerde aspecten opvolgt. Daarna wordt nader ingegaan op wat wordt verstaan onder ‘vertrouwen’ in een IT Outsourcing relatie en welke definitie van ‘vertrouwen’ vervolgens wordt gehanteerd in de rest van ons scriptie. Dit hoofdstuk eindigt met een samenvatting waarin een schematisch overzicht wordt gegeven over de besproken conceptgebieden en onderliggende aspecten en hoe dit sterk bijdraagt tot een groter vertrouwen binnen de IT Outsourcing relatie. Dit schematisch overzicht fungeert tevens als een eerste inzicht in het te presenteren conceptueel raamwerk. In hoofdstuk 4 zal het conceptueel raamwerk worden geïntroduceerd. Hierin zullen de relaties van de verschillende conceptgebieden en de kritieke succesfactoren van elk subgebied nader worden beschreven. Daarnaast zal toegelicht worden hoe het conceptueel raamwerk kan worden toegepast bij uitbesteding projecten. In hoofdstuk 5 zal ons conceptueel raamwerk op toepasbaarheid worden getoetst door een vooraf opgestelde vragenlijst. Deze vragenlijst zal bij een x aantal bedrijven worden voorgelegd. Op basis van de uitkomsten van deze vragenlijst zullen de bevindingen hierin worden beschreven. In hoofdstuk 6 zal ten slotte de eindconclusie van ons onderzoek worden beschreven.
17
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
2. IT Outsourcing In dit hoofdstuk staat de definitie van ‘IT Outsourcing’ centraal en wordt er een theoretische verkenning gedaan in de bestaande literatuur. Zo zal in paragraaf 2.1 een aantal definities van IT Outsourcing worden weergegeven. Dit biedt inzicht hoe verschillende auteurs tegenover uitbesteding en in het bijzonder uitbesteding van IT gerelateerde activiteiten aankijken. In paragraaf 2.2 staan de beweegredenen van organisaties om te gaan uitbesteden centraal. Vervolgens in paragraaf 2.3 wordt stilgestaan waarom IT uitbestedingen nog steeds niet succesvol verlopen. In deze paragraaf worden een aantal uitdagingen en een aantal oorzaken genoemd die sterk verband houden met het mislukken van een IT Outsourcing traject. In paragraaf 2.4 wordt een aantal kritieke succesfactoren binnen de IT Outsourcing relatie beschreven die de tevredenheid door zowel de klant als leverancier verhoogt.
2.1 Definitie van IT Outsourcing Verschillende auteurs hebben de definitie van IT Outsourcing op verschillende manieren gedefinieerd. Deze paragraaf behandelt eerst de omschrijving van Outsourcing door te kijken naar de verschillende definities, die verschillende auteurs in de gevonden literatuur hanteren. Vervolgens zal een algemene definitie van IT Outsourcing worden gehanteerd specifiek voor IT gerelateerde activiteiten, die voor de rest van ons onderzoek zal gelden. De volgende vetgedrukte woorden zijn de sleutelwoorden die worden gebruikt voor de algemene definitie. Definities uit de literatuur: “Outsourcing is the act of transferring some of an organization's recurring internal activities and decision rights to outside providers, as set forth in a contract.” (Greaver, 2013) Dit is een vrij algemene definitie van outsourcing. De interne activiteiten van een organisatie worden overgedragen aan een derde partij. Trefwoorden: Outsourcing en intern. “IT Outsourcing means handling over the management of some or all of an organization’s information technology, information systems, and related services to a third party.” (Willcocks, Fitzgerald en Feeny, 1995) Deze definitie is specifieker in termen van informatietechnologie outsourcing. Het bepaalt ook het beheer van een aantal diensten dat wordt overgedragen aan een derde partij. Trefwoorden: IT Outsourcing, diensten en derden. “IT Outsourcing can be broadly defined as the practice of turning over part or all of an organization’s IT functions to external service providers.”(Chen, Lin, en Tu, 2002) De definitie is kort en bevat IT Outsourcing als een dienst aan een externe leverancier. Trefwoorden: IT Outsourcing en externe leverancier. “Outsourcing is a phenomenon in which a user organization (client) transfers property or decision rights over information technology (IT) infrastructure to an external (vendor) organization.” (Loh en Venkatraman 1992b) Deze definitie gaat specifiek over de organisatie eigendommen en beslissing rechten. Trefwoorden: transfer eigendom en beslissing recht.
18 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Hierboven is een opsomming van definities van IT Outsourcing door verschillende auteurs gegeven. Daaruit valt af te leiden dat alle definities min of meer gaan over het overhandigen van een dienst aan een externe leverancier die anders in‐house zouden worden behandeld. De trefwoorden uit voorgaande definities van IT Outsourcing worden overgenomen en samengevoegd tot een rijkere algemene definitie. Deze luidt als volgt: IT Outsourcing is het proces van levering van functioneel beheer en technisch beheer door een externe dienstverlener die anders een in‐house service zou zijn. Deze algemene definitie van IT Outsourcing wordt gehanteerd om het specifieker te maken voor ons onderzoek, omdat:
IT wordt gezien als hulpmiddel om nieuwe aanverwante technologieën te verbinden, op te slaan, en diverse informatie die het menselijk doel steunt (Ackoff, 1999) te ondersteunen. IT Outsourcing wordt daarbij gezien als een georganiseerd project, dat gebaseerd is op een contract. Binnen dit contract is de hoofdtaak van de IT Outsourcing provider in het vervullen van de wensen en verwachtingen van de opdrachtgever. Deze algemene definitie ons zal helpen doelgericht de relatie en het vertrouwen tussen een organisatie en de outsourcing provider te identificeren. Binnen de relatie gaat het daarbij om het uitbesteden van IT gerelateerde zaken. Onder ‘IT gerelateerde zaken’ wordt bedoeld de uitbesteding van activiteiten binnen het IT domein zoals functioneel applicatie beheer, technische beheer en Business Proces Outsourcing (BPO).
2.2 Motivaties voor IT Outsourcing In deze paragraaf ligt de nadruk op de vraag waarom een organisatie IT activiteiten wil uitbesteden en beschrijft de verschillende voordelen. Natuurlijk zijn er vele andere voordelen te behalen met IT Outsourcing, maar de meest besproken redenen om uit te besteden zijn (Embleton en Wright, 1998; Lacity, Willcocks en Rottman, 2008; Beije, Mol, en van Tulder, 2005; Ying, 2000):
Kostenbesparing Hogere kwaliteit in de dienstverlening Concentratie op de kernactiviteiten
2.2.1 Kostenbesparing Om concurrerend op de markt te blijven, moeten organisaties hun kosten verlagen (Embleton en Wright, 1998; Lacity, Willcocks en Rottman, 2008). Een belangrijke motivatie voor IT Outsourcing is een dienst te overhandigen aan een provider die hetzelfde kan met dezelfde inspanningen voor een lagere kostprijs (Lei‐da en Khali, 2002). Ontwikkeling en onderhoud van software is kostbaar en tijdrovend (Fulford en Love, 2004). Hier zijn een aantal kostenreductie factoren die Kakabadse en Kakabadse (2005) hebben geïdentificeerd:
Lagere voorraadkosten: Managers willen uitbesteden om hun voorraadkosten te verlagen. Grote voorraden kosten geld om te beheren. Als iemand anders dit kan doen, zou hoge kostenbesparingen worden bereikt. Verbeter productieproces: Hoewel de organisatie een geweldig product of dienst heeft, kunnen er complicaties zijn bij het productieproces. Productie incidenten en problemen nemen tijd en kost geld. Outsourcing kan een oplossing zijn als een provider de dezelfde inspanning met dezelfde kwaliteit en gedurende een kortere tijd kan uitvoeren.
19 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Verminder het management tijd: In sommige situaties kan management aandacht voor beheer van diensten hoog zijn. Andere aanbieders zouden het werk sneller kunnen doen tegen een lagere prijs.
2.2.2 Hogere kwaliteit in de dienstverlening Tegenwoordig zijn organisaties constant op zoek naar een hoge mate van kwaliteit in IT dienstverlening. Prestatiemeting naar de kwaliteit van de IT dienstverlening zijn belangrijk om concurrerend te blijven op de IT markt (Beije, Mol, en van Tulder, 2005). Slechte prestaties en mindere kwaliteit van de dienstverlening kunnen negatief invloed hebben op het imago van een organisatie. Als bij de organisatie intern de vitale competenties voor IT ontbreekt, dan kan door uitbesteding de kwaliteit van de dienstverlening verbeteren (Beije, Mol en van Tulder, 2005). Daarnaast kiezen organisaties voor uitbesteding van IT diensten in situaties, wanneer competenties binnen de organisatie niet direct aanwezig zijn. Dan kan een andere dienstverlener de benodigde competenties desnoods gaan aanbieden, waardoor tevens weer de kwaliteit van de dienstverlening verhoogd (Ying, 2000).
2.2.3 Concentratie op de kernactiviteiten Klanten worden steeds veeleisender, waardoor organisaties worden gedwongen tot een meer servicegerichte houding. Volgens (Embleton en Wright, 1998) Dit betekent dat organisaties moeten richten op hun kerncompetenties. IT Outsourcing is een oplossing om producten en diensten te kopen buiten het bedrijf. Ying (2000) biedt een aantal factoren in perspectief waarom organisaties richten op hun kerncompetenties:
Verbeter organisatorische druk door nadruk op de kerncompetenties te leggen: Door zich te richten op de kerncompetenties in de organisatie kunnen de onderdelen die zich niet tot de kernactiviteiten behoren uitbesteed worden. Wanneer managers zich niet over de non‐ core diensten hoeven te beramen, kunnen ze hun aandacht volledig richten op de core diensten van hun business. Flexibiliteit verhogen en verandering te vergemakkelijken: Als de organisatie non‐ kernactiviteiten hebben uitbesteed, zullen managers flexibeler worden en makkelijker kunnen aanpassen aan nieuwe mogelijkheden die de organisatie kunnen helpen om concurrerend te blijven op de markt.
2.3 De uitdaging van een IT Outsourcing traject Het uitbesteden van IT diensten wordt door veel klanten gezien als een manier van besparing van de organisatorische kosten en infrastructuur. Een dergelijke opvatting moedigt managers te concentreren op de risico’s en de kritieke succesfactoren van IT Outsourcing, maar het gevaar schuilt dat de risico’s worden genegeerd. Het besluit om uit te besteden brengt namelijk een aantal uitdagingen met zich mee, maar deze zijn grotendeels onverwacht voor de managers, omdat ze niet zichtbaar zijn op korte termijn. Immers, het lijkt contra‐intuïtief maar als de klant IT diensten gaat uitbesteden dan zal de managementinspanningen aan de klantzijde toenemen, de inspanningen om te blijven leren zal ook toenemen, de strategische flexibiliteit zal juist afnemen (Luvison en Bendixen 2010). De managementinspanningen aan de klantzijde zal toenemen, omdat in een IT Outsourcing relatie de manager van de klant vaak niet meer direct verantwoordelijk is, doordat de IT activiteiten niet meer in house plaatsvinden. Dit vergt om meer management inspanning in de vorm van ander soort van leiderschap om regie te houden op de IT provider. Dit vergt daarnaast van de manager aan de 20 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
klantzijde meer inspanning om te blijven leren om de materie van de IT provider te kunnen begrijpen en de kwaliteit van de dienstverlening te kunnen beoordelen. De strategische flexibiliteit bij de klant zal ook afnemen, omdat het goed managen van een IT Outsourcing relatie niet alleen draait om kostenreductie te realiseren. De klant moet immers ook nadenken wanneer daadwerkelijk tot uitbesteden wordt overgegaan hoe zij de nieuwe strategische visie en de nieuwe manier van werken binnen de organisatie en hun eigen personeel zullen moeten gaan inbedden. Dit zorgt eerder voor strategische inflexibiliteit dan strategische flexibiliteit.
2.3.1 De problemen en oorzaken van het mislukken van een IT Outsourcing traject Deze paragraaf richt zich op een aantal meest voorkomende problemen en oorzaken die zich kunnen voordoen in een IT Outsourcing project. Het doel van deze paragraaf is om de potentiële problemen met IT Outsourcing onder de aandacht te brengen. IT Outsourcing vraagt om een strategische beslissing voor een organisatie (Bryson en Ngwenyama, 1999). Organisaties willen concurrerend blijven, managers zijn vaak bezig met herstructurering van hun organisaties. IT Outsourcing kan daarbij een oplossing zijn. Toch moeten sommige delen van een organisatie niet worden uitbesteed. Volgens Godwin (2000) kunnen bij IT Outsourcing projecten de IT functies in een organisatie in twee delen worden gecategoriseerd, resp. standaard non‐core diensten en strategische diensten. Godwin stelt dat standaard non‐core diensten kunnen worden uitbesteed, terwijl strategische diensten beter in‐house moeten blijven. Kakabadse en Kakabadse (2005) zijn in lijn met Godwin (2000) dat core diensten in‐house moet blijven, terwijl non‐core diensten uitbesteed moeten worden. Nassimbeni, Sartor en Dus (2012) hebben verschillende problemen geïdentificeerd dat gepaard gaat met IT Outsourcing. De volgende problemen zijn daarbij door hun genoemd om niet uit te besteden:
De "chemie" kan ontbreken tussen de organisatie en de outsourcing vendor; Het kan risicovol zijn wanneer een organisatie kritieke informatie aan een derde partij overhandigd, hierdoor zeer afhankelijk wordt; De organisatie kan door uitbesteding bepaalde competenties en kennis kwijtraken, doordat bepaalde competenties en kennis uit de organisatie in verloop van tijd vervagen; IT Outsourcing kan leiden tot verlies van flexibiliteit; De organisatie kan haar concurrentievoordeel missen doordat bepaalde informatiedelen alleen de uitbestede partij dit kunnen leveren of de cruciale vertaalslag kunnen maken; Werknemers kunnen minder verplichting van het moreel en de prestaties voelen; Lange termijn kostenbesparingen worden niet gegarandeerd. Problemen met IT Outsourcing zijn ook geïdentificeerd bij het afsluiten van een IT Outsourcing contract en zijn meer van juridische aard. Daarbij moet men denken aan de wettelijke verplichtingen, privacy aspecten, en beperkingen die ontstaan uit IT Outsourcing regelingen. Aansprakelijkheid, bescherming van intellectuele eigendom, veiligheid en vertrouwelijkheid zijn kritieke problemen voor outsourcing. De wettelijke en regelgevende kaders in het automatiseringscontract bieden een zekere mate van zekerheid en vertrouwen in het uitbesteden van bepaalde IT diensten, maar daarnaast ook beperkingen. Met name de beperkingen zoals oneindig uitwisselen van bedrijfsgevoelige informatie zal de besluitvorming over uitbesteding van bepaalde IT diensten beïnvloeden om bepaalde diensten wel of niet uit te besteden (Karyda, Mitrou en Quirchmayr, 2006). Ook al zijn organisaties min of meer bekend met de KSF’s en de risico’s, dan nog mislukken uitbestedingprojecten nog steeds maar al te vaak (Brandes, Brege en Lilliecreutz, 1997). Hierbij zijn de volgende oorzaken voor het mislukken van IT Outsourcing trajecten weergegeven: 21 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Slechte definiëring van het uitbestede proces (Wechsler, 2002; Lacity, Willcocks en Rottman, 2008); Zwakke selectie / leverancier kwalificatie proces (Wechsler, 2002; Lacity, Willcocks en Rottman, 2008); Geen helder contract (Currie en Willcock, 1998; Lee, 1996; Kern en Wilcocks, 2000; Ghosh en Fedorowicz, 2008); Onvoldoende leverancier prestatie metingen (Lacity en Willcocks, 1999; Goo, 2010); Geen realistische verwachtingen van de voordelen (Wechsler, 2002; Lacity, Willcocks en Rottman, 2008); Geringe communicatie (Wechsler, 2002; Joyner, Payne en Raiborn, 2005; Lacity, Willcocks en Rottman, 2008); Medewerkers voelen zich onvoldoende betrokken (Hackney en Hancox, 2000); Gebrek aan leiderschap en controle over de relatie / gedefinieerde verantwoordelijkheden (Wechsler, 2002; Balstrup, Berki, Georgiadou en Siakas, 2005, Lacity, Willcocks en Rottman, 2008); Onvoldoende security beleid en security implementatie (Pfleeger en Pfleeger, 2003; Khalfan, 2004; Stefani, Tsakalidis, Tsaknakis en Vassiliadis, 2006); Geen duurzame relatie opbouw (Wechsler, 2002; Lacity, Willcocks en Rottman, 2008); Achterhouden van informatie aan weerszijden (Kern en Wilcocks, 2000; Wechsler, 2002; Lacity, Willcocks en Rottman, 2008); Onvoldoende begrippen van culturele verschillen en misvertaling in context (Balstrup, Berki, Georgiadou en Siakas, 2005; Khalfan, 2004; Pearcy, Giunipero en Wilson, 2007).
2.4 Kritieke succesfactoren in een IT Outsourcing relatie Volgens Kim en Lee (1999) en Pearcy, Giunipero en Wilson (2007) is er een positieve relatie tussen de kwaliteit van de IT Outsourcing relatie en een succesvolle uitbesteding. In hun onderzoek zijn vijf factoren geïdentificeerd die de kwaliteit van de IT Outsourcing relatie ten goede komt:
Vertrouwen Affiniteit met de business Evenwichtige balans in Benefit‐risk Vermijden van conflicten Wederzijds begrip en betrokkenheid Frequente interactie tussen klant en IT provider
Een succesvolle uitbesteding biedt volgens hun onderzoek een competitieve voordeel voor de opdrachtgever, omdat zij hiermee sneller en op een efficiëntere manier hun bedrijfsdoelstellingen behalen tegen lagere kosten. Volgens Bharadwaj, Saxena en Halemane (2010) kan een succesvolle uitbesteding worden gedefinieerd als een langdurige relatie waarin de klant bereid is om het contract met de IT provider uit te breiden of te verlengen. De klant is daarbij bereid om de omvang van het werk uit te breiden of het bestaande automatiseringscontract te verlengen. Het besluit van de klant om het automatiseringscontract te verlengen of uit te breiden is het gevolg van de hoge kwaliteit, vertrouwen en tevredenheid binnen de IT Outsourcing relatie. Een tweetal succesfactoren zijn daarbij genoemd:
22 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Wederzijds denken in win‐win realisatie (e.g. als de klant meer omzet realiseert door betere dienstverlening dan zal ook meer activiteiten naar de desbetreffende IT provider worden uitbesteed). De managementvaardigheden en people management skills van de IT provider om de afgesproken diensten en afspraken uit te voeren volgens de verwachtingen van de klant.
Met betrekking tot verlenging of uitbreiding van de IT Outsourcing activiteiten zijn ook factoren aangeduid die van toepassing zijn op de leverancier. Factoren als: leveranciers houding, leverancier competenties (kwaliteit van het personeel) en klant in‐house competenties hebben indirect invloed op het besluit om de IT Outsourcing activiteiten bij de bestaande leverancier voort te zetten (Gorla en Lau 2010). Barthelemy (2003) heeft wat werk gedaan over het beheren van harde en zachte kanten van IT Outsourcing. Terwijl de harde kant verwijst naar de ontwikkeling en handhaving van een goed contract, de zachte kant verwijst naar de ontwikkeling van vertrouwensrelaties. Uit zijn resultaten blijkt dat het beheer van de zachte kant een algemeen positief effect heeft op de resultaten IT Outsourcing. Deze geïdentificeerde factoren zijn relevant voor het onderzoek en gepresenteerd in dit onderzoek, want er moet een structuur zijn van hoe je nu eigenlijk vertrouwen kan bereiken. Dit onderzoek behandelt de zachte kant van IT Outsourcing. Als een organisatie de IT Outsourcing provider vertrouwt, dan is die organisatie bereid meer uit te besteden naar de zelfde IT Outsourcing provider (Langfield‐Smith en Smith, 2003). Maar er kan enige terughoudendheid bij de organisatie ontstaan in de eigendom van de activa. Hoe zou de organisatie reageren als er een interne splitsing binnen de IT Outsourcing provider zou optreden? Wat gebeurt er met de middelen die de organisatie dan heeft ingeleverd? Welke back‐up maatregelen heeft de organisatie voor situaties als deze? Door het stellen van dergelijke vragen zal de positie van de opdrachtgever versterken. Dit kan dikwijls door je af te vragen hoe je een goede relatie gebaseerd op vertrouwen kan opbouwen. Volgens Kadiyala en Samaddar (2005) is succes in een IT Outsourcing traject bereikt door het maximaliseren van de betrouwbaarheid en het onderhouden van de relatie. Hun studie richt zich op hoe de flexibiliteit en controle te maximaliseren, en de resultaten ervan vestigde de aandacht op het belang van de kwaliteit van het partnerschap en zijn invloed op het IT Outsourcing succes. Een goed voorbeeldpraktijk van een goed contract is gebaseerd op vertrouwen in plaats van het strikt volgen van een gedetailleerde schriftelijke overeenkomst.
2.5 Samenvatting In dit hoofdstuk is een theoretisch kader neergezet rondom het onderwerp ‘IT Outsourcing;’. Er is daarbij stilgestaan als:
Wat is IT Outsourcing? Waarom wordt IT uitbesteed? Wat zijn de huidige problemen en uitdagingen in IT Outsourcing? Wat zijn de risico’s van IT Outsourcing? Wat zijn de kritieke succesfactoren voor een succesvol klant –en leverancier relatie?
Samenvattend zijn een aantal aspecten aangekaart die de IT Outsourcing relatie ten goede komt zoals: heldere communicatie, management stijl, leiderschap, effectieve samenwerking, wederzijds begrip en gelijk kennisniveau. Al deze aspecten is herhaaldelijk teruggekomen in de uitgebreide literatuur studie en voornamelijk te plaatsen onder de managementvaardigheden van een organisatie. Door rekening te houden met deze aspecten wordt het opportunistisch gedrag aan 23 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
weerszijden van de IT Outsourcing relatie verminderd en wordt een relatie gebaseerd op vertrouwen meer gestimuleerd. Daarom kunnen bovengenoemde aspecten worden gezien als de kritieke succesfactoren die een sterke bijdrage kunnen leveren in het relatiemanagement binnen IT Outsourcing. Op basis van het eerder genoemde conceptueel raamwerk wat leidt tot een projectsucces of projectfalen zijn drie aspecten geïntroduceerd resp. 1. Kritieke Succes Factoren, 2. Risico’s en 3. Management. Een belangrijke veronderstelling na aanleiding van dit hoofdstuk is daarbij dat het deelgebied ‘Management’ een belangrijke rol zal vervullen om vertrouwen in een IT Outsourcing relatie te vergroten.
24 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
3. IT Outsourcing relatie en vertrouwen In hoofdstuk 3 staat het derde deelgebied ‘Management’ centraal. In dit hoofdstuk zal dieper worden ingegaan welke conceptgebieden een aansluiting hebben met het versterken van vertrouwen in een IT Outsourcing relatie. Deze conceptgebieden is het resultaat van de tweede slag van uitgebreide literatuur studie op basis van de search query in ABI/INFORM toegelicht in paragraaf 3.1. Alle conceptgebieden die aansluiting hebben met vertrouwen in een IT Outsourcing relatie zullen geïntroduceerd worden in paragraaf 3.2. Elk conceptgebied zal vervolgens in paragraaf 3.3 tot en met paragraaf 3.7 meer in detail worden beschreven. Elk behandelde conceptgebied eindigt met een beknopte samenvatting. Dit hoofdstuk eindigt met paragraaf 3.8 genaamd ‘Vertrouwen’, waarin inzicht wordt gegeven over de definitie van vertrouwen en welke definitie in ons scriptie wordt gehanteerd. In de definities ziet men karakteristieken in terug die in de eerdere paragrafen staan beschreven.
3.1 De introductie van de conceptgebieden in een IT Outsourcing relatie In deze paragraaf zal een impressie worden gegeven van wat er is geschreven over IT Outsourcing en wat er allemaal bij komt kijken om een IT Outsourcing relatie in goede banen te leiden. Het uitgebreide literatuur onderzoek van Lacity, Khan, Yan en Willcocks (2010) gaf daarbij een goede eerste indruk van wat er allemaal is geschreven over IT Outsourcing, aangezien daarin zo’n 164 empirische artikelen binnen 50 journals tussen 1992 en 2010 zijn doorzocht. Vanuit de bronnen matrix (zie bijlagen 2A en 2B) zijn conceptgebieden geïdentificeerd uit de literatuur. In de bronnenmatrix zijn verticale kolommen toegevoegd, die wij onder een bepaalde categorie hebben aangeduid. Deze categorieën zijn de veelbesproken onderwerpen die we in onze zoektocht hebben gevonden. De categorieën die in de bronnenmatrix zijn opgenomen zijn: IT Outsourcing, relational governance, contract governance, trust, culture, security en kritieke succes factoren. Deze categorieën zijn in onze scriptie omgevormd naar conceptgebieden. Deze conceptgebieden worden in de volgende paragrafen geïntroduceerd en nader in detail beschreven.
3.2 De versterkende vertrouwensaspecten in een IT Outsourcing relatie Volgens Greenberg, Greenberg en Yvonne (2008) zijn vertrouwen en controle belangrijke aspecten in een IT Outsourcing relatie. Hierdoor zullen partners niet opportunistisch gedrag vertonen. Een van de factoren om controle in een IT Outsourcing project te houden is het mitigeren van de risico’s en de kritieke succesfactoren vooraf met de leverancier af te stemmen. Bij het mitigeren van de risico’s en het naadloos aansluiten van de verwachtingen van de klant met het behaalde eindresultaat zijn allerlei factoren te noemen die sterk onder de categorie ‘Management’ is te plaatsen. In de literatuur over vertrouwen en management van een IT Outsourcing relatie zijn de volgende factoren genoemd, die uiteindelijk leiden tot een succesvolle IT Outsourcing relatie tussen de klant en de leverancier: 25 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Cultuur (3.3) o Communicatie (3.3.1) o Leiderschap (3.3.2) o Context (3.3.3) o Kennisdeling en samenwerking (3.3.4) Goed en duidelijk contract management (3.4) o Geschreven en Psychologisch Contract (3.4.1) o Contract periode (3.4.2) o Minimaliseren van onzekerheid tussen klant en leverancier (3.4.3) Security (3.5) o Technische Beveiliging (3.5.1) o Administratieve Beveiliging (3.5.2) Vertrouwen (3.6)
In bijlage 2A ABI/INFORM en bijlage 2B Google Scholar treft men een totaal overzicht van artikelen aan, waarbij duidelijk in kaart is gebracht welke auteurs specifiek onderzoek hebben gedaan naar de bovenstaand opgesomde deelgebieden, die leiden tot een groter vertrouwen in een IT Outsourcing relatie.
3.3 Cultuur Om het vertrouwen in IT Outsourcing relaties te bereiken, is het belangrijk om bewust te zijn van culturele verschillen die gaan over hoe medewerker interacties met elkaar en hoe ze interpreteren en waarnemen. Het begrijpen van elkaars cultuur is belangrijk om te slagen binnen het IT Outsourcing project (Khalfan, 2003). Volgens Alshawaf en Khalfan (2003), wordt algemeen aangenomen dat culturele kwesties invloed hebben op de organisatorische relaties en hun management. De lay‐out voor dit deel begint met het beschrijven over communicatie gevolgd door leiderschap en context.
3.3.1 Communicatie Elke organisatie heeft een andere cultuur met andere verwachtingen (Barthelemy en Geyer, 2001). Volgens Joyner, Payne en Raiborn (2005) heeft de effectiviteit van de communicatie een belangrijke rol om aan de verwachtingen van de opdrachtgever te voldoen. Het is belangrijk dat de informatie kan worden verzonden en in heldere taal uitgelegd kan worden die de klant begrijpt. Om vertrouwen te verhogen moeten medewerkers meer betrokken zijn bij het project en zich bewust zijn van de behoefte aan informatie uitwisseling en het creëren van kennis om de juiste vragen te stellen (Barthelemy en Geyer, 2001). Communicatie gebeurt zowel verbaal als non‐verbaal. Verbale boodschappen bestaan voornamelijk uit woorden, non‐verbale boodschappen bestaan voornamelijk uit toon van de stem, gezichtsuitdrukkingen, en gedrag (Joyner, Payne en Raiborn, 2005). Miscommunicatie in de zin van een verkeerde interpretatie of misopvatting van de ontvanger ontstaat vaak door het verkeerde gebruik van uitdrukkingen of onjuiste plaatsing van werkwoorden. Mensen maken vaak gebruik van non‐verbale berichten, zelfs als ze zich niet bewust zijn van dit verschijnsel, zoals glimlachen in situaties die de ander misschien ongepast vindt. Zowel mondeling als non‐verbale boodschappen betrekken een codering en decodering van een fase. Codering komt voor wanneer de afzender het bericht creëert en het decoderen is het proces als de ontvanger probeert een betekenis aan de boodschap aan te hangen. Het probleem is dat miscommunicatie kan worden voorkomen in de codering of het decodering proces. Het potentiële probleem is hoog wanneer werknemers met een andere culturele achtergrond non‐verbaal communiceren (Joyner, Payne en Raiborn, 2005). Om de 26 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
mogelijkheid om vertrouwen te verhogen in IT Outsourcing relaties, is het verstandig om meer gebruik te maken van verbale communicatie. Volgens Grey, Hall, Oza en Rainer (2004) en Mei‐Ying, Yung‐Chien Weng en I‐Chiao (2012) is communicatie op basis van eerlijkheid tussen de organisatie en de IT Outsourcing provider een belangrijke benadering om een vertrouwde relatie op te bouwen. Volgens Grey, Hall, Oza en Rainer (2006) is de ontwikkeling van wederzijds vertrouwen belangrijk om de medewerkers effectiever samen te werken. Het leidt tot een open communicatie, betere besluitvorming, het nemen van risico, en hogere samenwerking die allemaal uiteindelijk leidt tot een meer tevreden project.
3.3.2 Leiderschap Bij de selectie van een partner is het belangrijk om de culturele problemen te begrijpen. Bijvoorbeeld bij veel organisaties wordt gebruik gemaakt van verschillende werkprocedures of worden beslissingen genomen door het volgen van bepaalde procedures. Het is echter moeilijk een succesvolle relatie op te bouwen als de partner een andere bedrijfscultuur heeft en geen toenadering wordt gezocht om het verschil in perspectieven en procedures gezamenlijk op te lossen. (Alshawaf en Khalfan, 2003; McFadzean, Ezingeard, en Birchall, 2007). Met een IT Outsourcing provider is het belangrijk om gemeenschappelijke perspectieven en aansluitende procedures te hebben en tijd te besteden om medewerkers te betrekken (Hackney en Hancox, 2000). Volgens Balstrup, Berki, Georgiadou en Siakas (2005) moet de leider van alle culturele verschillen begrip hebben en gebruik maken van medewerkers die culturele verschillen en context kunnen vertalen. Het begrijpen van de cultuur is belangrijk om frustratie tussen de twee partijen te voorkomen (Khalfan, 2004). Het is belangrijk om een sterke leider te hebben dat een duidelijk signaal aan de opdrachtgever kan afgeven dat hij de rol van projecteigenaar met succes kan vervullen. Daarnaast dat hij sociaal intelligent genoeg is aan te voelen dat een gezonde relatie tussen de organisatie en de IT Outsourcing provider cruciaal kan zijn om vertrouwen te winnen bij de opdrachtgever (Ang, Koh en Tay, 1999). Volgens Yildiz en Öncer (2012) bevordert leiderschap ook het vertrouwen in de IT Outsourcing relatie te winnen, omdat in tijden van een crisis een organisatie behoefte heeft aan een leider die snel en effectief met de leverancier kan schakelen en een actieplan kan opstellen om samen tot een snelle oplossing te komen. Een effectief balans van leiderschap aan weerszijden binnen de IT Outsourcing relatie heeft tot doel dat in tijden van crisis de sociale intelligentie te hebben om hun positie en hun verantwoordelijkheden in de dialoogvoering te verharden of te verzachten naarmate de situatie verandert.
3.3.3 Context De term context heeft een cultureel kenmerk dat betrekking heeft op informatie aangaande een dienst (Grey, Hall, Oza en Rainer, 2004). Het is de hoeveelheid informatie die nodig is bij het maken van een beslissing in een bepaalde situatie. Wanneer communicatie plaatsvindt in lage context culturen beschikt de ontvanger vaak over weinig inhoudelijke kennis waardoor de zender duidelijk en gedetailleerd moet uitleggen. Dus in hoge context culturen, beschikt de ontvanger over meer inhoudelijke kennis en de boodschapper hoeft daardoor niet zo gedetailleerd te formuleren. Om vertrouwen te verbeteren in IT Outsourcing is de face‐to‐face communicatie benadering het beste middel voor het minimaliseren van onzekerheid maar ook de meest kostbare benadering (Pearcy, Giunipero, en Wilson, 2007). Een alternatief is het gebruik van computer mediated communicatietechnologieën zoals e‐mail, telefonisch vergaderen of videoconferencing. Echter telefoon en videoconferencing geven de IT Outsourcing provider de mogelijkheid om snel te reageren. Vanuit een vertrouwensperspectief is het beter om de telefoon of videoconferencing te 27 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
gebruiken en het gebruik van e‐mails te minimaliseren om misverstanden tot een minimum te beperken (Joyner, Payne en Raiborn, 2005).
3.3.4 Kennisdeling en samenwerking In een zeer concurrerende en snel veranderende omgeving zijn tijdsdruk, effectief leiderschap, en de hoge kwaliteit van de dienstverlening een aantal beperkingen dat organisaties moeten onderhouden om succesvol te concurreren (Gottschalk en Karlsen, 2005). IT diensten in alle organisaties zullen continue nieuwe uitdagingen ervaren. Vanwege de snelle veranderende omgeving waar organisaties in terecht komen worden er hardere deadlines in IT projecten gehanteerd en daarnaast kost het veel tijd en onderzoek om nieuwe kennis te vergaren om aan deze dynamische veranderingen te voldoen. Om concurrerend te blijven is het daarom belangrijk om kennis te delen met andere organisaties. Er is sprake van een win‐win situatie wanneer beide partijen een nauwe relatie hebben die opereert binnen de ‘geest’ van het creëren van een contract (Kern en Willcocks, 2000). Het begrijpen van de relaties in een IT Outsourcing project is erg belangrijk. Sinds het ontstaan van de relatie tussen opdrachtgever en opdrachtnemer is het resultaat een verbintenis of contract, dat een natuurlijk gevolg is van sociale uitwisseling. Het identificeren en het proces beschrijven van hoe vertrouwen te managen is in IT Outsourcing relaties. De verbintenis of het contract tussen opdrachtgever en opdrachtnemer fungeert als een stevig fundament, waarop de opdrachtgever kan voortborduren wanneer het IT Outsourcing project verder wordt uitgerold (Kern, 1997; Kern en Willcocks, 2000). Volgens empirisch onderzoek van Parmigiani en Mitchell (2010) is gebleken dat aanwezigheid van technische expertise bij de klant meerdere dimensies binnen de leverancier prestaties positief beïnvloeden, met inbegrip van samenwerking, prijs, kwaliteit, levering en communicatie. Relationele governance wordt ook door hun aangemerkt als een belangrijke pijler voor betere leverancier prestaties al is dat wel een meer voor de hand liggende manier. Er kan op basis van hun onderzoek worden opgemaakt dat de combinatie van technische expertise, relationele governance, en contractuele afspraken gezamenlijk een positieve invloed hebben op de leverancier prestaties. Dus de klant genereert superieure leverancierprestaties, doordat zij inzien dat ze hun interne technische vaardigheden moeten behouden evenals het toepassen van externe governance mechanismen om goed te blijven communiceren met de IT provider. Volgens Beulen, Tiwari en Heck (2011) is uit een grote empirische studie gebleken dat kennisdeling, vertrouwen en governance een sterke invloed hebben op de overgang van een IT dienst. De drie factoren vereisen een aanzienlijke gezamenlijke en gecoördineerde inspanning van opdrachtgever en dienstverlener. Het bereiken van een hoog niveau van gezamenlijke inspanning is uitdagend vanwege de verschillen in motivatie, organisatiecultuur en verwachtingen aan beide uiteinden. Om deze uitdagingen te beperken, raden ze een stuurgroep commissie aan, waar senior management ondersteunen de opdrachtgever en de dienstverlener aan de juiste focus van de teamleden.
3.3.4.1 Klant – Leverancier relatie Aangezien binnen conceptgebied ‘Cultuur’ het onderliggende aspect kennisdeling en samenwerking van belang is, is het ook relevant de klant‐leverancier relatie te bestuderen. Daarbij is opgevallen dat een aantal governance aspecten van de klant kan leiden tot betere leverancierprestaties en een verhoogd vertrouwen in de IT Outsourcing relatie. Volgens Ahimbisibwe, Nangoli en Tusiime (2012) is uit een grote empirische studie gebleken dat er positieve relaties zijn in de buyer‐supplier relatie, IT provider prestaties en automatiseringscontracten. Ten eerste is er een positief verband tussen vertrouwen in de klant ‐ leverancier relatie en IT leverancier prestaties, omdat naarmate er meer vertrouwen in de relatie is 28 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
er minder naar de gemaakte afspraken in het contract wordt gekeken en meer flexibiliteit aan de IT leverancier wordt geboden om zijn doelen te behalen. Ten tweede is er een positief verband tussen concrete afspraken in een contract en vertrouwen in een klant – leverancier relatie. Een reden is omdat een concreet contract biedt meer mogelijkheden voor de klant om de leverancier te straffen wanneer de prestaties afwijken van wat er is afgesproken. Het contract fungeert daarom als een governance mechanisme om vertrouwen tussen beide partijen op te bouwen, waarbij veel communicatie en nauwe samenwerking wordt toegepast om een goede beheersing van elkaars verwachtingen in het contract te behouden. Ten derde is er een positief verband dat wanneer niet voldoende concrete afspraken in een contract zijn vastgelegd er een grotere kans is voor opportunistisch gedrag. Een reden is dat in situaties wanneer het om ICT problemen gaat buiten de scope van het IT Outsourcing contract, er algemene gedragskenmerken van de IT leverancier in kaart zijn gebracht die worden geassocieerd met berekend inspanningen te misleiden, oneens zijn, verwarren, tegenhouden of verstoren van informatie. Wanneer een buyer‐supplier relatie is aangegaan op basis van strategische samenwerking, dan maakt de klant vaak gebruik van meerdere governance mechanismen om de leverancierprestaties naar hun verwachtingen te sturen. Als governance mechanismen moet men denken aan: leiderschap, management stijl, management rapportage, waarborgen van onafhankelijkheid. Leiderschap is een belangrijke competentie die de klant nodig heeft om binnen de IT Outsourcing relatie de touwtjes in handen te nemen in de situaties waar de klant denkt niet in controle te zijn of niet tevreden is met de leverancierprestaties. Qua management stijl van de klant wordt gekozen voor zowel een strakke aansturing als een mildere aansturing. De mate van aansturing is afhankelijk van de cultuur van de onderneming en type projectleider. Verder is het doorvragen bij de klant, aanvragen van op maat gemaakte management rapportages en meer periodieke rapportages ook een vorm van leiderschap. Het waarborgen van onafhankelijkheid van de leverancier is ook een governance mechanismen die klanten vaak inzetten. Hoewel wel moet worden aangemerkt dat dit mechanisme meer wordt toegepast in IT uitbestedingen, die minder op strategische alliantie berust. Daarbij wordt gebruik gemaakt van eerste rang leveranciers en tweede rang leveranciers. Het gebruik van twee of meerdere IT providers wordt toegepast om de rivaliteit tussen de IT providers te verhogen, zodat zij zich volledig inzetten om hoge prestaties neer te zetten en zich blijven investeren in innovatie van de dienstverlening (Marko, Vesalainen, Elina en Vuorinen, 2006).
3.3.5 Samenvatting van het conceptgebied ‘Cultuur’ Om een groter vertrouwen te bereiken is het aspect communicatie van essentieel belang omdat informatie zowel door de ontvanger als de zender op de goede manier wordt geïnterpreteerd en gecorrigeerd. Informatie uit de organisatie moet eenvoudig te interpreteren zijn. Voor het aspect Context is het van essentieel belang de juiste communicatiemiddel te gebruiken. Bijvoorbeeld om te communiceren met teamleden is het gemakkelijker om zoveel mogelijk verbale communicatie te gebruiken. Maar soms is het noodzakelijk om technologie voor communicatie te gebruiken zoals web conference, e‐mail en PowerPoint presentaties. Een effectieve aanpak is om te telefoneren of web conference in plaats van e‐mail, hoewel de organisatie ook moet inzien dat er culturele kwesties en verschillen aan kleven bij gebruik van dit soort communicatiemiddelen om misverstanden te voorkomen. Binnen het aspect leiderschap zal duidelijk gedefinieerde project procedures en kaders de kans vergroten om de verwachtingen te bereiken dat leidt tot een vertrouwde relatie. 29 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Binnen het aspect ‘Kennisdeling en Samenwerking’ zijn een aantal governance aspecten geïdentificeerd die het vertrouwen en de samenwerking tussen klant en leverancier positief beïnvloeden. De governance mechanismen die in een IT Outsourcing relatie kunnen worden ingezet zijn: leiderschap, management stijl, management rapportage en waarborgen van onafhankelijkheid door een evenwichtige balans in kennisdeling en samenwerking. Zodoende is het inwinnen van vertrouwen in een IT Outsourcing relatie gemakkelijker te bereiken wanneer de organisatie kan omgaan met de culturele verschillen in communicatie, leiderschap, context, kennisdeling en samenwerking. Figuur 3 presenteert de geïdentificeerde kritieke succesfactoren binnen het gebied van cultuur. Communicatie Leiderschap Communiceer zonder verlies van Probeer begrip te krijgen voor informatie naar anderen, probeer het verschil in culturele informatie goed te verzamelen, en kwesties en verschil in inzicht interpreteer de informatie op binnen het dusdanige manier zoals de uitbestedingstraject. oorspronkelijke bron het had bedoeld. Hou je strikt aan de project Betrek alle medewerkers in het project procedures en wijk daar in eerste instantie niet te veel Verspreid de informatie op een verbale van af. manier Besteedt tijd aan het opleiden/ begeleiden van je medewerkers Context Zorg ervoor dat iedereen zowel klant als Pas zoveel mogelijk face‐to‐face leverancierszijde binnen het communicatie toe IT Outsourcing project Gebruik hoogstaande aangehaakt blijft. communicatiemiddelen zoals: telefoon, Laat zien wie de leider is video conferencing. Eventueel als laatste e‐mail Kennisdeling en Samenwerking: Bouw een vertrouwensrelatie op met je leverancier binnen het IT Outsourcing project op basis van enerzijds vertrouwen dat het wel goed komt (positief denken) en anderzijds op rapportering van de voortgang van de leverancierprestaties. Creëer een win‐win situatie tussen de klant en leverancier Navolging van de gemaakte afspraken gedurende de voortgangsrapportages geleverd door de leverancier. Wees alert op mogelijkheden van opportunistisch gedrag aan weerszijden van de IT Outsourcing relatie als informatie bewust door de leverancier of klant wordt achtergehouden. Figuur 3: Kritieke succesfactoren binnen het conceptgebied van cultuur 30 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
3.4 Contract Management In deze paragraaf worden de kritieke succesfactoren binnen het gebied contract beschreven. Deze sectie beschrijft hoe vertrouwen te bereiken bij het maken en beheren van het contract tussen de organisatie en de IT Outsourcing provider. Voorafgaand wordt een beschrijving van het schriftelijke contract gegeven en vervolgens zal de looptijd van de opdracht worden besproken en hoe onzekerheid in het contract te minimaliseren.
3.4.1 Geschreven contract versus Psychologisch contract Het contract is een zeer belangrijk gebied om vertrouwen te bereiken tussen de organisatie en de IT Outsourcing provider. Het contract vermeldt alle eisen die vervuld moeten worden om project succes te bereiken (Lee, 1996). Volgens Gottschalk en Solli‐Saether (2005) biedt een IT Outsourcing contract een kader dat de verantwoordelijkheden en doelen van elke partij specificeert. Volgens Currie en Willcocks (1998), Lee (1996) en Ghosh en Fedorowicz (2008) is een strak contract (schriftelijk en duidelijk gespecificeerd) een hard vereiste om ervoor te zorgen dat de verwachtingen worden voldaan, terwijl een psychologisch contract ook een schriftelijk contract is maar meer ruimte biedt voor interpretatie van de te leveren diensten en het risico verhoogd van het niet voldoen aan de verwachtingen. Een strak contract heeft het voordeel dat grotendeels van de afspraken die de klant belangrijk vindt in het contract en daardoor gemakkelijker is te sturen volgens de gemaakte afspraken en van leverancier te veranderen (Zhou, Poppo en Yang, 2008). Echter volgens Poppo en Zenger (2002) wordt gesuggereerd dat een strak contract juist opportunistisch gedrag bevordert, omdat door strengere afspraken minder op vertrouwen wordt gesteund. Hackney en Hancox (2000) stellen dat de relaties met open contracten meer kans van falen worden blootgesteld. Daarnaast wensen 80% van de klanten dat contracten strakker worden gedefinieerd. De schriftelijke IT Outsourcing contract is het belangrijkste hulpmiddel voor het bepalen van het werk, aansprakelijkheid, prijs en verwachtingen van beide partijen (Dames en Wittgreffe, 2005). Volgens Barthelemy en Geyer (2005) is een contract ook een belangrijk hulpmiddel om te beschermen tegen verlies van controle. Volgens Lee (1996): “A contract often includes agreements such as service level, transfer of assets, staffing, pricing and payment, warranty and liability, dispute resolution mechanism, termination, intellectual property matters, and information security”. De service level agreements beschrijven de omvang van alle uitbestede diensten, de doorlooptijd die aangeeft de uiterste datum waarop de diensten beschikbaar moeten zijn en het niveau van de prestaties. Om vertrouwen in IT Outsourcing contracten te bereiken, moet de IT Outsourcing provider periodiek hun prestaties gaan meten. Dit kan door middel van regelmatige vergaderingen en rapporten. Er bestaat ook een vorm van wederzijdse (mutual) verwachtingen bovenop het schriftelijke contract. Volgens Ang, Koh en Tay (1999), Ang, Koh en Straub (2004), Dibbern, Goles, Hirschheim en Jayatilaka (2004) en Atkinson (2007) verwijst een psychologisch contract naar de mentale overtuigingen en verwachtingen die moeten worden voldaan om aan de contractuele vereisten te voldoen. Het betreft min of meer hoe het perspectief van vertrouwen wordt gezien tussen de organisatie en de IT Outsourcing provider. Indien een inbreuk optreedt in het psychologisch contract zal vertrouwen afnemen, omdat vertrouwen alleen wordt bereikt als aan de wederzijdse verwachtingen wordt voldaan. Ang, Koh en Tay, (1999) beweren dat: “the degree of fulfillment of obligations differentiate successful from unsuccessful projects”. 31 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Om het perspectief van vertrouwen te vergroten zullen elementen van zowel een schriftelijk als een psychologisch contract moeten worden opgesteld. Om aan het contract te voldoen zullen de verwachtingen van de klant helder op papier en duidelijk gecommuniceerd zijn, project scope in detail worden beschreven, zich bewust zijn van de veranderingen in de organisatie van de opdrachtgever, het identificeren van de rollen en de verantwoordelijkheden moeten nauwkeurig zijn (Ang, Koh en Tay, 1999). Volgens Kern en Willcocks (2000) wordt ook een benadering genoemd tussen een schriftelijk en psychologisch contract, waarbij is uitgegaan van de sociale ruiltheorie. Daarbij wordt sociale ruil theorie verstaan als: vrijwillige transacties waarbij overdracht van middelen tussen twee of meer individuen gebaseerd is op het sociale proces van wederzijds voordeel of "geven en nemen principe”. Volgens Alshawaf en Khalfan (2003) moeten de omgevingsfactoren waar de opdrachtgever wordt blootgesteld in ogenschouw worden genomen, omdat deze omgevingsfactoren als cruciale indicatoren van opkomende verandering of dreiging kan worden gezien die de visie van het top management van de opdrachtgever negatief kunnen beïnvloeden. Er zijn verschillende selectiecriteria om te kiezen voor een potentiële leverancier. De organisatie zullen de volgende criteria in ogenschouw moeten houden: financiële stabiliteit, kennisondersteuning aan de organisatie, en de eerlijkheid van werkwijze. De IT Outsourcing provider moet in staat zijn om te komen tot een geschikte overeenkomst, inclusief het opzetten van redelijke eisen en overeenstemming over de prijs. Het contract moet worden gezien als een wederzijds belang voor zowel de organisatie en de IT Outsourcing provider om vertrouwen (Justin en Webb, 2005) te bereiken. Chen en Bharadwaj (2009) hebben vier dimensies in een automatiseringscontract aangeduid, die tot flinke discussies kunnen leiden bij zowel de klant als de IT provider indien hierover geen goede afspraken zijn gemaakt. De vier dimensies zijn:
Monitoring Geschillenregeling Bescherming van eigendomsrechten Algemene bepalingen voor doem scenario’s en rampenplan
3.4.2 Contractperiode Volgens Cullen, Seddon en Willcocks (2005), de periode van het contract bestaat uit drie termijn soorten: single termijn, evergreen, en rollover.
Single termijn contracten hebben een vaste looptijd die afloopt op een bepaalde datum en geen ondersteuning voor een uitbreiding. Evergreen komt minder vaak voor en heeft geen vervaldatum en gaat door tot beide delen tevreden zijn. Rollover contracten hanteert een vaste begindatum en ondersteunt een optie tot verlenging.
Er zijn een aantal conflicten tussen korte en lange termijn contracten. Cullen, Seddon en Willcocks (2005) stellen dat de onzekerheid vermindert met een lange termijn contract. Echter, een lange termijn contract stelt de medewerkers de kans om te leren over de organisatie en voor de IT Outsourcing provider vertrouwen te scheppen.
Volgens Dibbern, Goles, Hirschheim en Jayatilaka (2004) bevordert een langlopende contract het bedrijf te stabiliseren en kans te geven voor het inschatten voor meer voorspelbaarheid. De duur van de opdracht hangt af van services en eisen die moet worden bereikt. Om vertrouwen te bereiken bij 32 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
het maken van een contract moet een zo kort mogelijke overeenkomst met een single termijn of rollover aanpak worden gebruikt. Het hangt allemaal af van de situatie en de omvang van de uitbestede diensten. Rollover contract kan gebruikt worden om veiligheidsredenen als de IT Outsourcing provider niet erin slagen om aan de eisen te voldoen binnen de gestelde tijdslijn. Deze kenmerken zijn geïdentificeerd als belangrijk omdat een hoge mate van flexibiliteit (lange termijn contract) de kans biedt voor de IT Outsourcing provider zich nog naar de verwachtingen van de klant te managen. Een lage flexibiliteit (korttermijn contract) vereist een hogere intensieve inspanning om binnen de tijdslijnen gereed te zijn. Flexibiliteit is hiermee een vorm van management van verwachtingen waarbij er nog ruimte binnen de relatie wordt opengelaten zodat de partijen wijzigingen en aanpassingen kunnen aanbrengen aan telkens veranderende omstandigheden (Burley en Scheepers, 2004; Dibbern, Goles, Hirschheim en Jayatilaka, 2004; Feeny, Olson en Willcocks, 2006).
3.4.3 Het minimaliseren van onzekerheid Volgens Chin en Goles (2005) moet er een vorm van flexibiliteit bestaan vanwege de onzekerheden die bij IT Outsourcing optreden. Een rollover optie zou kunnen worden gebruikt in het contract om enige flexibiliteit te geven terwijl nog steeds aan de eisen worden voldaan (Cullen, Seddon en Willcocks, 2005). Volgens Huynh, Kwok en Lee (2003) moet een contract worden gebruikt om risico's te vermijden bij een samenwerking met een IT Outsourcing partner. Risico’s worden verminderd dmv een resultaatgerichte overeenkomst, omdat de beloningen voor beide partijen afhankelijk zijn van wederzijdse prestaties. Volgens Lacity en Willcocks (1999) kan risico worden gezien als de kans op schade als gevolg van onzekerheid. Vóór de ondertekening van een contract is het verstandig om veel tijd te besteden aan het ontwerpen van een service level agreement (SLA). Een SLA omvat elk aspect van het uitbestede werk. Met duidelijke richtlijnen en gecontroleerde procedures, die door beide partijen worden gevolgd en gemeten, maakt het makkelijker om een prijs voor de verrichte werkzaamheden in te schatten (Lacity en Willcocks, 1999; Goo, 2010).
3.4.4 Samenvatting van het conceptgebied ‘Contract Management’ Om het vertrouwen in IT Outsourcing relaties te bereiken is het belangrijk een goed contract op te stellen. Houdt de contractsduur zo kort mogelijk met de optie voor verlenging (rollover approach). Als gevolg hiervan wordt de IT Outsourcing provider gedwongen zich te richten op de verwachtingen daadwerkelijk te bereiken. Een duidelijke afbakening van de dienstverlening en een gedetailleerde resultaatgerichte contract biedt voordelen als bescherming tegen de veranderingen van de externe (environmental) factoren zoals wet‐ en regelgeving en maakt het makkelijker de geleverde prestaties te meten tegen de contractafspraken. Het contract is de basis die helpt de organisatie om vertrouwen te creëren tijdens het project. In de volgende sectie zal nader worden ingegaan op hoe vertrouwen in IT Outsourcing relaties te bereiken. Het contract is slechts de basis om een goede start te bereiken in hoe vertrouwen te bereiken. Figuur 4 toont de geïdentificeerde kritieke succesfactoren binnen het gebied van het contract op basis van de verrichte literatuurstudie.
33 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Contract periode: Schriftelijk en Psychologisch contract: Probeer de looptijd van het Een strak en helder contract. contract tot een minimum duur Voldoen aan een psychologisch te beperken gebruikmakend van contract. de contractsvormen: single, Voldoen aan een geschreven contract term of rollover. en elkaars verwachtingen. Stem vooraf goed de project Minimaliseer onzekerheid: doelstellingen met elkaar af. Stuur aan op een Wees alert op de omgevingsinvloeden resultaatgericht contract. die tot veranderingen binnen het IT Sluit een Service Level Outsourcing project kunnen leiden. Agreement af. Figuur X: Kritische succesfactoren binnen het gebied van het contract Identificeer de project rollen. Maak de leverancierprestaties Bereik overeenstemming over een meetbaar. automatiseringsovereenkomst waar beide partijen mee kunnen leven. Figuur X: Kritische succesfactoren binnen het gebied van Contractmanagement Figuur 4: kritieke succesfactoren binnen het conceptgebied Contract Management
3.5 Security Om meer vertrouwen binnen IT Outsourcing relaties te bereiken is het belangrijk om bewust te zijn van hoe security invloed heeft op de organisatie en de IT Outsourcing provider. Security omvat onder andere hoe de organisatie de provider kan vertrouwen bij het overhandigen van gevoelige gegevens. Security kan worden onderverdeeld in administratieve beveiliging en technische beveiliging (Pfleeger en Pfleeger, 2003). Administratieve beveiliging gaat over de organisatie en haar acteurs, en omvat het proces in het creëren van beveiliging. Technische beveiliging gaat over de netwerk / communicatie beveiliging en de toegang. Volgens Endorf (2004) is de beveiliging van gegevens en informatie van vitaal belang voor elke organisatie. Het toestaan van een IT Outsourcing provider om belangrijke informatie te beheren kan ernstige gevolgen hebben. Organisaties vrezen bijvoorbeeld het lekken van bedrijfsinformatie, zoals transactiekosten en boekhoudkundige informatie (Hoecht en Trott, 2006). Volgens Khalfan (2004) bevat security een hoge risicofactor en kan een groot probleem worden wanneer er verlies van management controle is. In de volgende paragrafen zal dieper worden ingegaan met de term technische beveiliging gevolgd door de administratieve beveiliging.
3.5.1 Technische beveiliging Wanneer een organisatie gevoelige informatie heeft overhandigd aan de IT Outsourcing provider zal er meer focus aan de logische en fysieke toegangsbeveiliging tot de informatie besteed worden. Nieuwe trends in informatiebeveiliging laat zien dat inbreuken op privacy gevoelige gegevens elk jaar met 64% toenemen (Endorf, 2004). Het is dan ook steeds meer een noodzaak om security professionals binnen je organisatie te hebben. Security diensten omvatten het beheer van firewalls, virtual private networks, kwetsbaarheidanalyse, intrusion detection, en anti‐virus bescherming. Het is zeer belangrijk dat de organisatie alle activiteiten rondom de gevoelige inlog gegevens beheerd en bekijkt. Met andere woorden het moet traceerbaar zijn wie informatie benaderd en hoeveel pogingen tot inbreuk die zich hebben voorgedaan. Om het vertrouwen te verbeteren in een "riskante" omgeving is het belangrijk om ervoor te zorgen dat de IT Outsourcing provider garantie kan stellen op de volgende: 34 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Authenticatie: Bepaal de authenticiteit van gebruikers, computers en middelen. Gebruik certificaten en wachtwoorden (Stefani, Tsakalidis, Tsaknakis en Vassiliadis, 2006). Integriteit: Het verzamelen en onderhouden van correcte informatie. Met zekerheid kunnen stellen dat veranderingen/wijzigingen van informatie volledig gelogd zijn (Khalfan, 2004). Toegangscontrole: Regelt de gebruikerstoegang tot IT‐systemen, de mogelijkheid om alle log activiteiten van de gebruiker te traceren. Dit zorgt ervoor dat de gebruikers toegang worden verleend aan IT‐ systemen of de toegang worden geweigerd conform de regels rondom geautoriseerde toegang (Stefani, Tsakalidis, Tsaknakis en Vassiliadis, 2006). Vertrouwelijkheid: Informatie waaronder berichten, vervoer, en gegevensverbinding in de dienstverlening communicatiesystemen worden vertrouwelijk behandeld. Vertrouwelijkheid wordt bereikt door het versleutelen van data bij opslag of bij de overdracht van informatie (Stefani, Tsakalidis, Tsaknakis en Vassiliadis, 2006). Onweerlegbaarheid (non‐repudiation): Wordt toegepast in verband met elektronisch document uitwisseling. Gecertificeerd document, die erkent de inhoud van het document. Bij geschil, onweerlegbaarheid van beveiliging kan het bewijs leveren. Onweerlegbaarheid is bereikt door het verifiëren van een digitale handtekening (Stefani, Tsakalidis, Tsaknakis en Vassiliadis, 2006). Beschikbaarheid: Zorgt ervoor dat bevoegde personen toegang hebben wanneer dat nodig is (Khalfan, 2004).
3.5.2 Administratieve beveiliging Volgens Hoecht en Trott (2006) is een manier van administratieve beveiliging wanneer de IT Outsourcing provider gedeeltelijk eigenaarschap krijgt om meer controle te handhaven. Bij het selecteren van een IT Outsourcing provider is het belangrijk dat de provider de noodzakelijke security ervaring heeft, zoals een veiligheidsbeleid en een kwetsbaarheidanalyse heeft (Endorf, 2004). Security management vraagt om medewerkers hierin bewust te maken door middel van gerichte opleiding (Khalfan, 2004). Informatiebeveiliging en het gebruik van het beleid moet beschikbaar en geïmplementeerd zijn in de organisatie cultuur. Een geïmplementeerd beveiligingsbeleid is zeer nuttig in het verhogen van veiligheidsbewustzijn binnen de IT Outsourcing‐project (Stefani, Tsakalidis, Tsaknakis en Vassiliadis, 2006).
3.5.3 Samenvatting van het conceptgebied ‘Security’ Security is een intern onderdeel van IT Outsourcing relaties en is belangrijk bij een overeenkomst met de IT Outsourcing provider om samen tot het gewenste niveau van informatiebeveiliging te bereiken. Het belangrijkste onderdeel is om ervoor te zorgen dat de IT Outsourcing provider security ervaring heeft, en een goed informatiebeleid te implementeren waar alle medewerkers het mee over eens zijn (Khalfan, 2004). Figuur 5 toont de geïdentificeerde kritieke succesfactoren binnen het gebied van veiligheid. 35 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Administratieve beveiliging Technische beveiliging Waarborg het security beleid: Gedeelde projecteigenaarschap o Authenticatie Ervaring in security zoals bijvoorbeeld o Integriteit security architectural design, ontwerp van o Fysieke toegangsbeveiliging algemeen security beleid en o Betrouwbaarheid kwetsbaarheidanalyse o Onweerlegbaarheid Gericht onderwijs in het opleiden van o Beschikbaarheid medewerkers in Security Management voor meer bewustzijn Het opleiden van medewerkers om meer bewustzijn te kweken voor Security Management moet vooraf geschieden, voordat medewerkers binnen het IT Outsourcing traject in aanraking komen met uitwisseling van bedrijfsgevoelige informatie Implementeer een centraal beleid voor Security Management Figuur 5: Kritische succesfactoren binnen het gebied van beveiliging
3.6 Vertrouwen In deze paragraaf zal de factor ‘Vertrouwen’ nader worden toegelicht als belangrijke maatstaaf voor het management van verwachtingen in een IT Outsourcing relatie. Vervolgens zal een algemene definitie van vertrouwen worden gegeven, die voor de gehele scriptie zal worden gehanteerd. Deze algemene definitie wordt beschouwd aangezien dit een goede algemene bewoording is afgeleid uit het overzicht van definities over vertrouwen binnen de bestaande IT‐Outsourcing literatuur en Organisatie Theorie. In het vervolg hanteren wij de volgende definitie in onze scriptie, waarbij bepaalde trefwoorden zijn hergebruikt door het bestuderen van de definities uit de bestaande literatuur. Vertrouwen wordt bereikt wanneer de overeenkomst betrouwbaar is en verwachtingen worden vervuld door behavioral goodwill. Een overeenkomst is betrouwbaar als het waardig is en aan de verwachtingen van de opdrachtgever voldoet op een dusdanig voorspelbare en redelijke wijze. Bij behavioral goodwill wordt bedoeld dat er in de wederzijdse dialoogvoering elkaars normen en waarden worden gerespecteerd en op een neutrale manier een hoog wederzijds gun factor kan worden geconstateerd. 36 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
In het vervolg zullen we hier een overzicht geven van definities van vertrouwen die door verschillende auteurs zijn beschreven: Volgens Klimoski en Webber (2004) is governance belangrijk voor de project prestaties die bestaan uit verwachtingen die na verloop van tijd moeten voldoen aan de behoeften van de derde partij. Om de verwachtingen en prestaties te bereiken, moet de organisatie de IT Outsourcing provider vertrouwen. Het succes van een IT Outsourcing relatie wordt vergroot, naarmate de klant tevreden is en wederzijds vertrouwen in de relatie aanwezig is. De mate van tevredenheid van de klant wordt bepaald door factoren als frequente interacties met de IT dienstverlener, een open sfeer van informatiedeling, gezamenlijk gedeelde investeringen, en de goede reputatie van de IT dienstverlener. Door frequente interacties met de IT dienstverlener leer je de klant beter kennen en voel je beter aan wat de klant van je verwacht. Daarnaast wordt hiermee een openlijke sfeer van informatie deling met elkaar gecreëerd, omdat je elkaar vaker hebt gesproken. Gezamenlijk gedeelde investeringen binnen het uitbestedingcontract komt het vertrouwen in de relatie ten goede, doordat als aan weerszijden grote investeringen worden gedaan wat leidt tot een snellere afwikkeling van de voortgang van het uitbestedingproject men een zekere afhankelijkheid van elkaar realiseert. Een goede reputatie van de IT dienstverlener in de vorm van positieve referenties van andere grote klanten bevordert het vertrouwen van de klant, omdat de klant een positief beeld krijgt van optimale prestaties van soortgelijke dienstverlening. (Kern en Willcocks, 2002; Alvarez, Barney, Bosse en Douglas, 2003; Tian, Lai en Francis, 2008). Volgens Ibbott en O'Keefe (2004) is vertrouwen moeilijk te definiëren, omdat er verschillende definities worden gehanteerd. Vertrouwen kan worden ingekaderd als de resultaten van cognitieve processen en als besluitvormingen op basis van de economie en sociale aspecten kunnen worden waargenomen (Ibbott en O'Keefe, 2004). Het cognitieve aspect van vertrouwen is dat de gedeelde kennis en de verwachtingen worden voldaan. Economische besluitvorming van vertrouwen is dat de organisatie vertrouwen moet hebben in de beslissing over IT Outsourcing diensten die voordelen kunnen bereiken zoals kostenreductie en verbeterde kwaliteit. Indien de organisatie niet zeker is over de beslissing, kunnen de medewerkers een gevoel van verlies van vertrouwen krijgen op de IT Outsourcing provider. Sociale aspecten van vertrouwen zijn wanneer vertrouwen ontstaat als mensen gemeenschappelijke waarden binnen een groep delen. Deze groepen hebben een sterke invloed op elkaars overtuigingen en hun evaluatie van het werk (Ibbott en O'Keefe, 2004; Suseno en Ratten, 2007). Volgens Kern en Willcocks (2000) is vertrouwen de overtuiging dat een belofte betrouwbaar is en dat het zal worden voldaan zoals vastgelegd in de overeenkomst. Tevredenheid in de IT Outsourcing relatie zal toenemen wanneer aan de verwachtingen worden voldaan (Sabherwal, 1999). Hieronder staan een aantal definities van vertrouwen. De vetgedrukte woorden zijn de trefwoorden uit de definities, die worden gebruikt voor de definitie van vertrouwen die in deze scriptie worden gebruikt. Volgens Colquitt, Scot en Le Pine (2007), vertrouwen is: “A psychological state comprising the intentions to accept vulnerability based on positive expectations of the actions of the trustee.” Bovenstaande definitie zegt dat vertrouwen is het bereiken van positieve verwachtingen. In combinatie met aspect gedrag, kan vertrouwen worden gedefinieerd als:
37 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
“The confidence held by one party in its expectations of the behavior and goodwill of another party regarding business actions.” (Carson, Madhok, Varman en John, 2003) Uit de definitie blijkt dat het vertrouwen wordt bereikt wanneer behavioral goodwill wordt gebruikt om te voldoen aan de verwachtingen. Volgens Wikipedia (2013), wordt vertrouwen gedefinieerd als: ”An arrangement in which property is managed by one person or entity for the benefit of another” ”To have or place confidence in; depend on” “Trust is attributable to relationships within and between social groups (families, friends, communities, organisations, companies, nations etc.)” “One party (trustor) is willing to rely on the actions of another party (trustee)” Hier zijn woorden als vertrouwen, zekerheid, en de persoon gecombineerd om vertrouwen te definiëren. Volgens Qi en Chau (2013) en Wickramasinghe en Widyaratne (2012) kan vertrouwen onder twee niveaus worden verdeeld: interpersonal trust en interorganizational trust. Beide niveaus hebben volgens deze auteurs invloed op het kennisdelen en succes in een IT Outsourcing relatie.
Interpersonal trust kan worden opgevat als het persoonlijke vertrouwen tussen de IT‐ managers (van de klant‐onderneming) en de account managers (van de IT provider). Interorganizational trust kan worden opgevat als het vertrouwen tussen klant en IT provider zoals waargenomen door de werknemers en teamleden vanuit beide zijden.
Een andere zienswijze naar vertrouwen tussen klant en IT provider is een afsplitsing in uitwisseling van kennis en onderlinge synergie van bedrijfsprocessen en organisatorische middelen. Vanuit deze zienswijze kan volgens Ibrahim, Ribbers en Pieter (2009) en Holste en Fields (2010) vertrouwen worden onderverdeeld in ‘Competence trust’ en ‘Openness trust’.
Competence trust beïnvloedt positief het gebruik van menselijke kennisbronnen, de inzet van organisatorische middelen en onderlinge koppeling van bedrijfsprocessen binnen een IT Outsourcing relatie. Openness trust beïnvloedt positief het gebruik van menselijke kennisbronnen en de inzet van organisatorische middelen in een openlijke sfeer binnen een IT Outsourcing relatie.
38 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
3.7 Samenvatting – De drie conceptgebieden van Vertrouwen In figuur 6 staan de drie conceptgebieden (Cultuur, Contract management en Security) en hun verbanden gepresenteerd, die een sterke bijdrage leveren vertrouwen in een uitbestedingrelatie te versterken. Samenvattend wordt hier op een gestructureerde en visuele manier weergegeven de conceptgebieden (de ovalen), de aspecten (vierkanten) (oftewel de aandachtspunten binnen elk conceptgebied) en een toelichting van de aspecten en de gebruikte referenties (vierkanten met afgeronde hoeken).
Binnen contract management zijn in totaal drie aspecten aangekaart die belangrijk zijn, resp. schriftelijk en psychologisch contract, contract periode en minimalisatie van onzekerheid. Behorend staan daarbij ook de gebruikte auteurs opgesomd. Kritieke Succes Factoren voor schriftelijk en psychologisch contract zijn: o Een strak en helder contract. o Voldoen aan een psychologisch contract. o Voldoen aan een geschreven contract en elkaars verwachtingen. o Stem vooraf goed de project doelstellingen met elkaar af. o Wees alert op de omgevingsinvloeden die tot veranderingen binnen het IT Outsourcing project kunnen leiden. o Identificeer de project rollen. o Bereik overeenstemming over een automatiseringsovereenkomst waar beide partijen mee kunnen leven. Kritieke Succes Factor voor contractsperiode is: o Probeer de looptijd van het contract tot een minimum duur te beperken gebruikmakend van de contractsvormen: single, term of rollover. Kritieke Succes Factoren voor minimalisatie van onzekerheid zijn: o Stuur aan op een resultaatgericht contract. o Sluit een Service Level Agreement af. o Maak de leverancierprestaties meetbaar.
Binnen cultuur zijn in totaal vier aspecten aangekaart die belangrijk zijn, resp. communicatie, context, leiderschap en kennisdeling en samenwerking. Behorend staan daarbij ook de gebruikte auteurs opgesomd. Kritieke Succesfactoren voor communicatie zijn: o Communiceer zonder verlies van informatie naar anderen, probeer informatie goed te verzamelen, en interpreteer de informatie op dusdanige manier zoals de oorspronkelijke bron het had bedoeld. o Betrek alle medewerkers in het project o Verspreid de informatie op een verbale manier
Binnen security zijn in totaal twee aspecten aangekaard die belangrijk zijn, resp technische security en administratieve security. Behorend staan daarbij ook de gebruikte auteurs opgesomd. Kritieke Succes Factoren voor technische security zijn: o Waarborg het security beleid: o Authenticatie o Integriteit o Fysieke toegangsbeveiliging o Betrouwbaarheid o Onweerlegbaarheid o Beschikbaarheid
Kritieke succesfactoren voor administratieve security zijn: o Gedeelde projecteigenaarschap 39
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
o o o
o
Ervaring in security zoals bijvoorbeeld security architectural design, ontwerp van algemeen security beleid en kwetsbaarheidanalyse Gericht onderwijs in het opleiden van medewerkers in Security Management voor meer bewustzijn Het opleiden van medewerkers om meer bewustzijn te kweken voor Security Management moet vooraf geschieden, voordat medewerkers binnen het IT Outsourcing traject in aanraking komen met uitwisseling van bedrijfsgevoelige informatie Implementeer een centraal beleid voor Security Management
40 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Schriftelijk / Psychologisch Contract
Contract periode
Minimaliseer onzekerheid
Communicatie
Leiderschap
Contract Management
Context
Kennisdeling en Samenwerking
Cultuur
Vertrouwen Aspecten: Geschreven –en Psychologisch contract, concrete afspraken Kritieke succes factoren Culturele problemen Juridische aspecten (eigendomsrecht, geschillenregeling, algemene voorwaarden voor doem scenario’s) contractperiode, minimaliseren van onzekerheid. Referenties: Lee, 1996; Gottschalk en Solli‐Saether, 2005; Currie en Willcocks, 1998; Lee, 1996; Ghosh en Fedorowicz, 2008; Poppo en Zenger, 2002; Zhou, Poppo en Yang, 2008; Hackney en Hancox, 2000; Dames en Wittgreffe, 2005; Barthelemy en Geyer, 2005; Ang, Koh en Tay, 1999; Koh, Ang en Straub, 2004; Dibbern, Goles, Hirschheim en Jayatilaka, 2004; Atkinson, 2007; Kern en Willcocks, 2000; Alshawaf en Khalfan, 2003; Justin en Webb, 2005; Chen en Bharadwaj, 2009; Cullen, Seddon en Willcocks, 2005, Burley en Scheepers, 2004; Feeny, Olson en Willcocks, 2006.
Security
Technische Security
Aspecten: 1). Technische Security: Authenticatie, Logische Toegangsbeveiliging, Vertrouwelijkheid, Onweerlegbaarheid, Beschikbaarheid. 2). Administratieve security: Gedeelde eigenaarschap in vorming van het contract en in het project. Gedeelde eigenaarschap in de algemene beleidsvorming zoals bijv in de informatiebeveiliging. Permanente educatie en coaching bij de medewerkers. Referenties: Endorf, 2004; Pfleeger en Pfleeger, 2003; Kim en Lee, 2004; Hoecht en Trott, 2006; Khalfan, 2004; Stefani, Tsakalidis, Tsaknakis en Vassiliadis, 2006.
Figuur 6: De drie conceptgebieden van Vertrouwen
Administratieve Security
Aspecten: Culturele problemen en uitdagingen (Empirische studies) Communicatie, Context, Global IT Outsourcing (Theoretische studies) Politieke problemen en uitdagingen die leiden tot projectfalen (Empirische en Theoretische studies) Organisatie gedrag en Management (Empirische en Theoretische studies) Kennisdeling en samenwerking, Klant leverancier relaties (Empirische en theoretische studies) Positieve relaties tussen: ‐ Leverancierprestaties ‐ vertrouwen ‐ Concrete afspraken – vertrouwen ‐ Onvoldoende concrete afspraken – Oppertunistisch gedrag Governance aspecten: leiderschap, management stijl, management rapportage, waarborgen van onafhankelijkheid door een gezonde balans in kennisdeling en samenwerking. Referenties: Khalfan, 2003; Barthelemy en Geyer, 2001; Joyner, Payne en Raiborn, 2005; Grey, Hall, Oza en Rainer, 2004; Mei‐Ying, Yung‐Chien Weng en I‐Chiao, 2012; Grey, Hall, Oza en Rainer, 2006; McFadzean, Ezingeard en Birchall, 2007; Balstrup, Berki, Georgiadou en Siakas, 2005; Khalfan, 2004; Ang, Koh en Tay, 1999; Yildiz en Öncer, 2012; Joyner, Payne en Raiborn, 2005; Pearcy, Giunipero en Wilson, 2007; Ahimbisibwe, Nangoli en Tusiime, 2012; Marko, Vesalainen, Varamäki en Vuorinen, 2006; Beulen, Tiwari en Heck (2011).
= Conceptgebied geïdentificeerd uit de literatuur studie = Onderliggende aspecten binnen een conceptgebied = Toelichting onderliggende aspecten en gebruikte referenties
41 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
4. Het ontwerp van een Conceptueel Raamwerk In dit hoofdstuk staat het conceptueel raamwerk centraal genaamd ‘Het winnen van vertrouwen in een IT Outsourcing relatie’. In dit raamwerk zal men de drie conceptgebieden en onderliggende aspecten die in vorig hoofdstuk zijn behandeld weer aantreffen. Tevens zal deze drie conceptgebieden en onderliggende aspecten middels vijf interview gesprekken worden In paragraaf 4.1 zal het conceptueel raamwerk worden gepresenteerd wat het verwachte resultaat van ons scriptie is. Elk conceptgebied en onderliggende aspecten in het raamwerk zal worden aangevuld met een toelichting van de kritieke succesfactoren. In paragraaf 4.2 zal de toepasbaarheid van het conceptueel raamwerk worden beschreven. In paragraaf 4.3 zal het conceptual raamwerk getoetst worden middels aflegging van vijf interviews. Dit wordt gedaan om te onderzoeken of hiermee het proces naar een groter vertrouwen in een uitbestedingrelatie inzichtelijk kan worden gemaakt. Voor de interviews zijn twee IT Managers, een IT Contractmanager, Senior Consultant en Senior Functionele Consultant ondervraagd afkomstig uit vijf verschillende bedrijven. Vanuit klantzijde resp. twee telecom providers en een logistieke dienstverlener (wegenwacht) en vanuit leverancierzijde resp. een groot IT dienstverlener en een grote consultancy bureau.
4.1 Conceptueel Raamwerk In hoofdstuk 4 zijn drie conceptgebieden en onderliggende aspecten geïntroduceerd die elk bijdragen in het vergroten van het vertrouwen in een IT Outsourcing relatie. Deze conceptgebieden zijn ook weer verwerkt in het conceptueel raamwerk: Contract Management Cultuur Security In figuur 7 zijn de drie hoofdgebieden (ovalen), hun relaties (pijlen), de richtlijnen (rechthoeken), en bijbehorende kritieke succesfactoren (de bullets in de rechthoeken) weergegeven. In dit raamwerk staan een drietal conceptgebieden en onderlinge relaties weergegeven die leiden tot een groter vertrouwen in een IT Outsourcing relatie. Voor elk conceptgebied is een aspect genoemd met daarin een reeks van richtlijnen. De richtlijnen kunnen worden gezien als kritieke succesfactoren waaraan moet worden voldaan om een succesvolle IT Outsourcing relatie te bereiken.
42 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Schriftelijk en Psychologisch contract:
Communicatie
Een strak en helder contract Voldoen aan een psychologisch contract Voldoen aan een geschreven contract en elkaars verwachtingen Stem vooraf goed de project doelstellingen met elkaar af Wees alert op de omgevingsinvloeden die tot veranderingen binnen het IT Outsourcing project kunnen leiden Identificeer de project rollen Bereik overeenstemming over een automatiseringsovereenkomst waar beide partijen mee kunnen leven
Communiceer zonder verlies van informatie naar anderen, probeer informatie goed te verzamelen, en interpreteer de informatie op dusdanige manier zoals de oorspronkelijke bron het had bedoeld Betrek alle medewerkers in het project Verspreid de informatie op een verbale manier
Contract periode: Probeer de looptijd van het contract tot een minimum duur te beperken gebruikmakend van de contractsvormen: single, term of rollover
Context
Cultuur
Contract Management
Minimaliseer onzekerheid: Stuur aan op een resultaatgericht contract Sluit een Service Level Agreement af Maak de leverancierprestaties meetbaar
Vertrouwen Leiderschap
Technische beveiliging
Security
Waarborg het security beleid: o Authenticatie o Integriteit o Fysieke toegangsbeveiliging o Betrouwbaarheid o Onweerlegbaarheid o Beschikbaarheid
Probeer begrip te krijgen voor het verschil in culturele kwesties en verschil in inzicht binnen het uitbestedingstraject Hou je strikt aan de project procedures en wijk daar in eerste instantie niet te veel van af. Besteedt tijd aan het opleiden/ begeleiden van je medewerkers Zorg ervoor dat iedereen zowel klant als leverancierszijde binnen het IT Outsourcing project aangehaakt blijft Laadt zien wie de leider is
Kennisdeling en Samenwerking:
Administratieve beveiliging
Pas zoveel mogelijk face‐to‐face communicatie toe Gebruik hoogstaande communicatiemidde len zoals: telefoon, video conferencing. Eventueel als laatste e‐mail.
Gedeelde projecteigenaarschap Ervaring in security zoals bijvoorbeeld security architectural design, ontwerp van algemeen security beleid en kwetsbaarheidsanalysis Gericht onderwijs in het opleiden van medewerkers in Security Management voor meer bewustzijn Het opleiden van medewerkers om meer bewustzijn te kweken voor Security Management moet vooraf geschieden, voordat medewerkers binnen het IT Outsourcing traject in aanraking komen met uitwisseling van bedrijfsgevoelige informatie Implementeer een centraal beleid voor Security Management
Bouw een vertrouwensrelatie op met je leverancier binnen het IT Outsourcing project op basis van enerzijds vertrouwen dat het wel goed komt (positief denken) en anderzijds op rapportering van de voortgang van de leverancierprestaties. Creëer een win‐win situatie tussen de klant en leverancier Navolging van de gemaakte afspraken gedurende de voortgangsrapportages geleverd door de leverancier Wees alert op mogelijkheden van opportunistisch gedrag aan weerszijden van de IT Outsourcing relatie als informatie bewust door de leverancier of klant wordt achtergehouden
= Conceptgebied geïdentificeerd uit de literatuur studie
Figuur 7: Conceptual raamwerk
= Toelichting onderliggende aspecten
43 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Cultuur: De cultuur in een organisatie zal een grote invloed hebben op hoe contracten worden opgesteld en beheerd. Tevens zal de cultuur in een organisatie bepalen welke security problemen belangrijk zijn en moeten worden gewaarborgd om een succesvolle IT Outsourcing relatie te realiseren. Cultuur zal bepalen welke normen en waarden je belangrijk vindt oftewel het bepaalt de mindset van een persoon. Op basis van deze mindset zal de persoon ook de essentie geven wat hij belangrijk vindt in het contract. Er zijn vier onderliggende aspecten geïdentificeerd die uiteindelijk de cultuur in een organisatie vormgeven namelijk: 1. 2. 3. 4.
Communicatie Context Leiderschap Kennisdeling en Samenwerking Aspect ‘Communicatie’ is van belang, omdat de effectiviteit van de communicatie een belangrijke rol vervult om aan de verwachtingen van de opdrachtgever te voldoen. Het is belangrijk dat de informatie zoveel mogelijk via verbale communicatie aan elkaar worden uitgewisseld. Via verbale communicatie kan de ontvanger door het gebruik van woorden en intonatie meer de nadruk leggen op het bericht wat de leverancier wil aangeven. Dit in tegenstelling tot het gebruik van non verbale communicatie, waarbij de kans op misinterpretatie groter is als alleen met een gezichtsuitdrukking wordt gecommuniceerd. De culturele verschillen kunnen ervoor zorgen dat de ontvanger het bericht anders interpreteert. Daarnaast is het belangrijk dat er in heldere taal wordt uitgelegd die de klant begrijpt. Communicatie op basis van helderheid en eerlijkheid van stand van zaken tussen de organisatie en de IT Outsourcing provider zorgt voor een belangrijke toenadering om een vertrouwde relatie op te bouwen. Aspect ‘Context’ is van belang, omdat de te gebruiken hoeveelheid context van de zender moet worden afgestemd op het kennisniveau van de ontvanger en vice versa. Wanneer communicatie plaatsvindt in lage context culturen beschikt de ontvanger vaak over weinig inhoudelijke kennis waardoor de zender duidelijk en gedetailleerd moet uitleggen. Dus in hoge context culturen, beschikt de ontvanger over meer inhoudelijke kennis en de boodschapper hoeft daardoor niet zo gedetailleerd te formuleren. Aspect ‘Leiderschap’ is van belang, omdat binnen een project (net als in een outsourcing traject) een organisatie behoefte heeft aan een leider die snel en effectief met de leverancier/klant kan schakelen en een actieplan kan opstellen om samen tot een snelle oplossing te komen. Een effectief balans van leiderschap aan weerszijden binnen de IT Outsourcing relatie heeft tot doel dat in tijden van crisis de sociale intelligentie te hebben om hun positie en hun verantwoordelijkheden in de dialoogvoering te verharden of te verzachten naarmate de situatie verandert. Aspect ‘Kennisdeling en Samenwerking’ is van belang, omdat door medewerkers effectief te laten samenwerken en kennis te delen er meer een vertrouwensrelatie wordt opgebouwd.
Al de vier aspecten binnen conceptgebied Cultuur bevordert een open communicatie, betere besluitvorming, het mitigeren en accepteren van risico’s, en nauwere samenwerking, waardoor een meer tevreden en een succesvoller project wordt bereikt. In totaal zijn 14 kritieke succesfactoren 44 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
(KSF) onder conceptgebied cultuur geïdentificeerd. Respectievelijk 3 KSF’s onder Communicatie, 2 KSF’s onder Context, 5 KSF’s onder Leiderschap en 4 KSF’s onder Kennisdeling en Samenwerking. Contract Management: Binnen het hoofdgebied ‘Contract Management’ zullen de contractafspraken in het contract de keuze en rangschikking van de security problemen naar prioriteit beïnvloeden en vice versa. De impact van de contractafspraken op de keuze en rangschikking van de security problemen naar prioriteit en vice versa bepaald uiteindelijk hoe het IT Outsourcing traject moet worden beheerd. Er zijn drie onderliggende aspecten geïdentificeerd die uiteindelijk het IT Outsourcing contract vormgeven, namelijk:
1. Schriftelijk en Psychologisch Contract 2. Contract periode 3. Minimalisatie van onzekerheid Aspect ‘Schriftelijk en Psychologisch contract’ is van belang, omdat bij het opstellen van een contract zowel wordt voldaan aan een schriftelijk als een psychologisch contract. Er is geen sterke onderbouwing om juist een schriftelijk of een psychologisch contract te volgen, maar een gezond evenwicht van beide contractsvormen is gewenst. Een schriftelijk en duidelijk gespecificeerd contract biedt het voordeel dat de verwachtingen op papier zijn vastgelegd, terwijl een psychologisch contract ook een schriftelijk contract is maar meer ruimte biedt voor interpretatie van de te leveren diensten en het risico verlaagd van opportunistisch gedrag. Een strak contract kan namelijk juist opportunistisch gedrag bevorderen, omdat door strengere afspraken minder op vertrouwen wordt gesteund. Aspect ‘contractperiode’ is van belang, omdat op basis van de duur van het contract bewust of onbewust een vertrouwensrelatie kan worden opgebouwd. Een lange termijn contract leent zich meer voor uit voor een langdurige samenwerking, dat berust op strategische inzet van middelen en kennisdeling. In dat geval wordt daarmee ook bewust meer aan een vertrouwensrelatie binnen het IT Outsourcing traject gewerkt. Terwijl bij een korte termijn contract de insteek van de klant zou kunnen zijn dat het besluit om uit te besteden het verlagen van kosten als driver zou kunnen zijn. Daarnaast biedt een hoge mate van flexibiliteit (lange termijn contract) de kans voor de IT Outsourcing provider zich nog naar de verwachtingen van de klant te managen. Een lage flexibiliteit (korttermijn contract) vereist een hogere intensieve inspanning om binnen de tijdslijnen gereed te zijn. Flexibiliteit is hiermee een vorm van management van verwachtingen waarbij er nog ruimte binnen de relatie wordt opengelaten zodat de partijen wijzigingen en aanpassingen kunnen aanbrengen aan de telkens veranderende omstandigheden. Met dit laatste voorbeeld is getracht aan te geven dat een lange termijn contract het vertrouwen sterker op de proef wordt gesteld binnen de relatie, omdat er meer ruimte en tijd tussen klant en leverancier beschikbaar is om alsnog aan elkaars verwachtingen te voldoen. Een korte termijn contract met voorkeur voor variant (roll‐over) wordt aanbevolen, omdat in een kort tijdsbestek een nauwe vertrouwensrelatie moet worden gerealiseerd om aan elkaars verwachtingen te voldoen. Indien de leverancier zich daadwerkelijk ook in die korte tijdsbestek haar prestaties weet te realiseren, zal deze leverancier alleen maar nog meer vertrouwen bij de klant voor zich weten te winnen. Aspect ‘minimalisatie van onzekerheid’ is van belang, omdat onzekerheid wordt gerelateerd aan risico’s die vervolgens weer een inbreuk kan doen op het vertrouwen binnen de IT Outsourcing relatie. Een manier om onzekerheid te minimalieren en risico’s te mitigeren of te verkleinen is daarom een contract met heldere afspraken op te stellen. Risico’s worden verminderd dmv een resultaatgerichte overeenkomst, omdat de beloningen voor beide partijen afhankelijk zijn van wederzijdse prestaties. Vóór de ondertekening van een contract is het verstandig om veel tijd te 45
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
besteden aan het ontwerpen van een service level agreement (SLA). Een SLA omvat elk aspect van het uitbestede werk. Met duidelijke richtlijnen en gecontroleerde procedures, die door beide partijen worden gevolgd en gemeten, maakt het makkelijker om een prijs voor de verrichte werkzaamheden in te schatten. Binnen conceptgebied ‘Contract Management’ zijn dus drie aspecten geïdentificeerd en deze aspecten bevordert de realisatie van heldere afspraken en verwachtingen in de vorm van een overeenkomst en binnen een gestelde contractsduur. In totaal zijn hierbij 11 KSF’s geïdentificeerd, resp. 7 KSF’s onder ‘Schriftelijk en Psychologisch contract’, 1 KSF onder ‘contractperiode en 4 KSF’s onder ‘Minimaliseer onzekerheid’. Security: Een wederzijds verband tussen security en contract management kan worden verklaard, omdat gemaakte contractafspraken en contracteisen de keuze en prioriteitsstelling van de security problemen zullen beïnvloeden en vice versa. De keuze en rangschikking van de security problemen naar prioriteit hebben namelijk een grote impact op welke maatregelen er binnen het uitbestedingtraject moeten worden genomen. Daarbij moet men denken aan bijvoorbeeld welke informatie en systemen moeten worden beschermd tegen ongeautoriseerde toegang, gebruik, openbaarmaking, vernietiging, wijziging, of verstoringen. Er zijn twee onderliggende aspecten geïdentificeerd die uiteindelijk het security in een organisatie vormgeven namelijk:
1. Technische Security 2. Administratieve Security Aspect ‘Technische Security’ is van belang, omdat betrouwbaarheid en beschikbaarheid van informatie en systemen moeten worden gewaarborgd bij IT uitbestedingactiviteiten. Daarnaast is het rapporteren van security incidenten ook een vorm van technische security, omdat een security rapportage inzicht biedt of een bepaalde procedure zoals change management procedure in het algemene informatiebeleid op een correcte manier worden opgevolgd. Security rapportages biedt in dat opzicht transparantie en vertrouwen binnen de klant‐leverancier relatie dat problemen of mitigerende acties worden opgevolgd. Aspect ‘Administratieve Security’ is van belang, omdat naleving op wet regelgeving (zoals Wet Bescherming Persoonsgegevens (WBP); e.g. veilige verwerking en opslag van persoonsgegevens) zowel contractueel en in het Security beleid moet zijn vastgelegd. Andere concrete voorbeelden van administratieve security is ‘awareness’ trainingen rondom informatiebeveiliging onder alle betrokken medewerkers te organiseren, zodat er permanente aandacht en bewustzijn binnen de klant‐leverancier relatie worden geschonken aan thema’s als authenticatie, data‐integriteit, fysieke toegangsbeveiliging, betrouwbaarheid en onweerlegbaarheid.
Anderzijds wanneer de zaken rondom technische beveiliging (door security reporting) en administratieve beveiliging (door awareness trainingen) goed zijn geregeld heeft dit ook weer een positieve invloed op het minimaliseren van onzekerheid binnen het contract. Binnen conceptgebied ‘Security’ zijn dus twee aspecten geïdentificeerd. Deze aspecten stimuleren het bewustzijn welke maatregelen en procedures rondom informatiebeveiliging moeten worden ontwikkeld. In totaal zijn er 6 KSF’s geïdentificeerd, resp 1 KSF onder ‘Technische Beveiliging’ en 5 KSF onder ‘Administratieve Beveiliging’.
46 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
4.2 Toepasbaarheid van het Conceptueel Raamwerk Het gepresenteerde conceptueel raamwerk in paragraaf 5.1 bestaat uit drie conceptgebieden resp.: cultuur, contract management en security. Deze drie conceptgebieden hebben allemaal het generieke kenmerk dat ‘management’ oftewel ‘optimale inzet van deze conceptgebieden’ van essentieel belang is om vertrouwen in IT Outsourcing relatie te realiseren. Binnen elk conceptgebied zijn de kritieke succesfactoren aangekaart die de kans op het winnen van vertrouwen in een IT Outsourcing relatie te doen vergroten. Dit conceptueel raamwerk kan worden gebruikt om het proces te beschrijven in hoe een groter vertrouwen in een IT Outsourcing relatie te bereiken. Daarbij biedt dit conceptueel raamwerk als leidraad dat er rekening moet worden gehouden met de conceptgebieden cultuur, contract management en security. De toepasbaarheid van dit concept raamwerk is tweeledig:
Enerzijds om te begrijpen hoe de drie conceptgebieden elkaar beïnvloeden. Punt van aandacht hierbij is de manier waarop cultuur van invloed kan zijn op de totstandkoming van een overeenkomst en hoe aan te passen aan security en hoe een contract van invloed kan zijn op de keuze van de informatiebeveiliging problematiek (security) en vice versa. Anderzijds om te begrijpen wat de kritieke succesfactoren zijn om een succesvolle IT Outsourcing relatie te realiseren. Door kennis en bewustzijn te creëren voor de kritieke succesfactoren binnen het kader van de conceptgebieden cultuur, contract management en security wordt er een sterkere visie ontwikkeld in hoe een groter vertrouwen binnen een IT Outsourcing relatie valt te realiseren. Naarmate de organisatie in de klant‐leverancier relatie steeds meer en meer grip krijgt in het krachtenspel tussen cultuur, contract management en security, zal men ook beter begrijpen welk(e) conceptgebied(en) in bepaalde situaties het meest effectief kan worden ingezet om het nakomen van contractafspraken/ contracteisen in hun voordeel te laten werken. Daarnaast vraagt dit ook om een groter inschattingsvermogen wat de mogelijke gevolgen of consequenties kunnen zijn als er geen evenwichtige inzet meer is binnen het kader van cultuur, contract management of security.
Het is dus daarom belangrijk dat men begrijpt hoe de drie conceptgebieden en onderliggende aspecten en kritieke succesfactoren een bepaalde IT Outsourcing traject kan beïnvloeden en hoe de inzet van bepaalde conceptgebieden en onderliggende aspecten en kritieke succesfactoren soms het verschil tussen succes of falen van een IT Outsourcing traject als gevolg kan hebben. Om dit laatste punt nog te verduidelijken moet men bijvoorbeeld denken aan een global IT Outsourcing project. Bij een global IT Outsourcing project is het in eerste instantie meer voor de hand zich te concentreren op de culturele aspecten en kritieke succesfactoren voordat men het contract (conceptgebied contract management) afsluit. Of een andere IT Outsourcing project zal misschien weer de essentie liggen op de problematiek rondom informatiebeveiliging (conceptgebied Security). Of een andere IT Outsourcing project wordt de essentie weer gelegd in het maken en vastleggen van duidelijke en heldere contractafspraken en contracteisen. Al met al wordt er met dit gepresenteerde conceptueel raamwerk een kader weergegeven waarbij binnen cultuur, contract management en security, de onderliggende aspecten en kritieke succesfactoren in ogenschouw moeten worden genomen om vertrouwen binnen de IT Outscourcing relatie voor zich te winnen. 47 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
4.3 Analyse bevindingen Theorie vs Praktijk Uit de theorie zijn drie conceptgebieden gepresenteerd in het raamwerk. Voor de empirische validatie van het conceptueel raamwerk inclusief de genoemde drie conceptgebieden (cultuur, contract management en security) zijn vijf interviews gehouden. Dit om te onderzoeken of hiermee het proces naar een groter vertrouwen in een uitbestedingrelatie inzichtelijk kan worden gemaakt. Voor de interviews zijn twee IT Managers, een IT Contractmanager, Senior Consultant en Senior Functionele Consultant ondervraagt afkomstig uit vijf verschillende bedrijven. Vanuit klantzijde resp. twee telecom providers en een logistieke dienstverlener (wegenwacht) en vanuit leverancierzijde resp. een groot IT dienstverlener en een grote consultancy bureau. In de interviews zijn vragen gesteld over wat hun ervaringen zijn van een goedlopend en een slechtlopend IT uitbestedingproject.
4.3.1 Verslag van de vijf interviews In deze paragraaf is per interview beknopt de antwoorden van de geïnterviewde vastgelegd. Hieronder wordt een overzicht gegeven van de afgenomen interviews gesorteerd op klant/leverancierzijde en industrie sector (zie tabel 2). De volledige interviewverslagen zijn terug te vinden in bijlage 3. Tabel 2: Overzicht van afgenomen interviews Interview Klant /Leverancier 1. Leverancierszijde 2.
Klantzijde
3.
Leverancierszijde
4. 5.
Klantzijde Klantzijde
Industrie sector Groot IT Dienstverlener Logistieke Dienstverlener (wegenwacht) Externe IT Service Dienstverlener Telecom Telecom
Titel IT Contractmanager
Datum 6 sept 2013
Senior Consultant
8 okt 2013
Senior Functionele Consultant IT Manager IT Manager
15 okt 2013 18 okt 2013 18 okt 2013
Interview #1 Leverancierszijde: Groot IT dienstverlener Persoon: IT Contractmanager Datum: 6 sept 2013 Hoge verwachtingen worden afgesproken bij het afsluiten van het contract. Gaandeweg worden de verwachtingen door IT dienstverlener naar beneden gemanaged indien de klant aan de bel trekt dat de verwachtingen/ prestaties binnen het contract niet worden gehaald. Leiderschap tonen aan zowel klant en de IT dienstverlener. Bijvoorbeeld nee durven te zeggen wanneer verwachtingen niet overeenkomen. De Contractmanager bekijkt dan grondig nog eens de vastgelegde afspraken in het contract. De IT dienstverlener houdt periodiek een klant tevredenheidonderzoek op c‐niveau en middle management laag dat tegen een aantal KPI’s wordt aangehouden, maar in de praktijk is het niet haalbaar om op al die KPI’s resultaten te meten. Daarnaast is lastig aan te tonen wat er met de resultaten van het tevredenheidonderzoek wordt gedaan.
48 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Het schatten van de klant management stijl is lastig. Als voorbeeld werd genoemd dat de klant veel vrijheid aan de IT leverancier gaf bij periodieke rapportages en dat deze IT leverancier alleen aan de bel trok wanneer een crisis uitbrak. Dit zorgt voor veel onrust binnen de relatie. Wanneer er geen face‐ to face communicatie met Executive board meer plaatsvindt, is ook een slecht teken naar het project toe. Interview #2 Klantzijde: logistieke IT dienstverlener Persoon: Intern Senior Consultant Datum: 8 okt 2013 Om vertrouwen te winnen is het belangrijk dat een heldere afgebakende scope, deadlines en snelle communicatie wordt toegepast. Het gebruik maken van workshops en assesments zijn essentieel om bijvoorbeeld het informatiebeleid te verspreiden. Daarnaast ook cruciaal wanneer er een grote software/hardware functionaliteit is gewijzigd of geïmplementeerd. Betrek de klant hierin zoveel mogelijk en gebruik zoveel mogelijk face‐to‐face communicatie. Organisatie cultuur kan veranderen wanneer medewerkers veranderen van functie. Betrokkenheid van HR management is zeer belangrijk om ervoor te zorgen dat medewerkers tevreden blijven. Klant tevredenheids onderzoeken worden na elke Release (2‐4 per jaar) uitgevoerd. Resultaten worden door het project management en teamleden besproken. Interview #3 Leverancierszijde: Externe IT Service Dienstverlener Persoon: Sr Functionele Consultant Datum: 15 okt 2013 Binnen een IT Outsourcing project rondom uitbesteding van software ontwikkeling en bepaalde onderhoudsactiviteiten is aangegeven dat de relatie tussen klant en leverancier sterk berust op vertrouwen. Een goede vertrouwensrelatie tussen de klant en leverancier kenmerkt zich op de volgende zaken: De communicatielijnen binnen de IT Outsourcing relatie zijn vaak kort en informeel. Volledig en tijdig informeren van de klant is een belangrijke middel om vertrouwen bij de klant te winnen, waarbij de regel is om nooit de klant negatief te verrassen. Een manier dat vaak wordt toegepast om volledig en tijdig de klant te informeren is door veelvuldig contact te hebben met de projectmanager, IT manager of service delivery manager van de klant, waarbij communicatiemediums als e‐mail, face‐to‐face meetings en telefoon veelvuldig wordt gebruikt en elkaar kan versterken. Belangrijke afspraken en vervolgacties dat in een face‐to‐face meeting is besproken en afgestemd zal ook na afloop in de mail worden teruggekoppeld, waardoor het vertrouwen binnen de relatie wordt gewekt dat men elkaar heeft begrepen en naar de geschepte verwachting en doelstelling wordt gewerkt. In een automatiseringscontract worden de belangrijkste afspraken en restricties vastgelegd. Bij conflicten wordt er volgens ervaring van geinterviewde dan ook sterk naar de geest van de wet gekeken (lees: contract). In het contract wordt ook vaak gekozen voor ook gekozen voor het fixed price principe, omdat dan de klant al bij voorhand weet waar hij aan toe is. Dit versterkt namelijk weer de gedachte van het goede management van verwachtingen naar de klant. Voortgangsrapportages worden bij voorhand via powerpoint presentaties gecommuniceerd naar de klant. De klant weet dan op voorhand wanneer hij de resultaten kan verwachten. 49 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Ten slotte is als vaak voorkomende oorzaak van inbreuk op vertrouwen aangehaald dat de delivery managers en accountmanagers van zijn organisatie in de communicatie naar de klant toe nog te vaak met ‘Ja’ antwoorden wanneer aanvullende zaken door de klant wordt gesteld wat leidt tot mogelijk aanvullende diensten / opdrachten, terwijl niet genoeg is verdiept in de materie en problematiek van de klant en de risico’s dat met zich meebrengt bij acceptatie van de opdracht. Interview #4 Klantzijde: Bedrijf Telecom X Persoon: IT manager Datum: 18 okt 2013 Vertrouwen in een klant‐leverancier relatie kunnen door verschillende manieren verbeterd worden. Bijvoorbeeld door een klanttevredenheid onderzoek, transparante communicatie (e‐mails, conf. calls, video calls, lync en face2face), workshops en 'buitenschoolse' activiteiten van belang, denk gezamenlijke borrels, bbq's, etc. Vaak wordt een goed inhoudelijk verhaal verteld/gedragen door een iemand die een gunfactor heeft. Inzetten van Business Consultants zijn de bruggen bouwers. Ze kennen vaak veel mensen en weten met de juiste mensen aan tafel te komen. Vaak zien ze iets op een congres, workshop of seminar en worden er gesprekken gestart voor een mogelijke aansluiting en samenwerking. Onvoldoende inzet van Business Consultants lijdt tot inadequate begripsvorming in de culturele verschillen en misvertaling in context. Contracten moeten zo kort mogelijk zijn, een heldere doelomschrijving en scope hebben inclusief ontbindingsvoorwaarden, boeteclausules en procedures. Wederzijdse verwachtingen betreffende service/product kwaliteit en communicatielijnen. Contracten worden gestuurd op KPI’s zoals performance, betrouwbaarheid en tijdigheid. Draagvlak is zeer belangrijk bij een contract. Flexibiliteit die het contract biedt om af te wijken van de procedures en samen op zoek te gaan naar een oplossingsrichting in een bepaalde situatie is essentieel. Strak Security beleid met regels is essentieel. Bedreigingen identificeren en daartegen beveiligen. Het menselijke speelt ook een grote rol vooral bij fraude gevoelige verbanden. Alles moet volgens de Audit en Security richtlijnen gaan bijvoorbeeld Identity mgt en Acces control. Interview #5 Klantzijde: Bedrijf Telecom Y Persoon: IT manager Datum: 18 okt 2013 Goed vertrouwen binnen een IT outsourcing relatie kenmerkt zich ten eerste door de onderlinge wederzijdse afhankelijkheid. De klant is namelijk afhankelijk van IT en de leverancier afhankelijk van het commerciële aspect. Verschillende meetings worden gehouden, waarbij beide partijen open kaart spelen om aan elkaars verwachtingen en afstemming te vinden om een gezamelijke doelstelling te formaliseren. Het contract wordt gesuggereerd dat het niet het juiste middel is om vertrouwen te waarborgen, omdat het contract bestaat uit met name juridische elementen. In de relatie naar de klant toe, wordt vertrouwen gewaarborgd door hoe pro‐actief een leverancier is en hoe de leverancier mee denkt met de klant om tot een oplossing te komen. Daarentegen zijn engagement managers en business development managers de personen bij uitstek, die direct invloed kunnen uitoefenen het vertrouwen binnen de relatie te versterken. Factoren die zijn aangekaart dat een groter vertrouwensband tussen klant en leverancier laat zien zijn: 50 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Communicatie & Omgang met de klant: o Mate van pro‐actief zijn, meedenken en luisterend vermogen. o Wanneer de klant nieuwe opdrachten aanbiedt en zijn tevredenheid concreet uitspreekt. o Vertrouwen wordt ook gestimuleerd door waarborging van informatiedeling en voorkoming van lekken van informatie: door gemeenschappelijk gebruik van een soort kennismanagement systeem. o Een korting op de prijs en aantonen dat dit welgemeend is en tevens een investering vanuit de leverancierszijde, helpt om een gunfactor te realiseren.
‐
‐
Contract Management: o Juridische aspecten als de definities van klant, leverancier, aansprakelijkheid, escalatie, wanbetaling worden meegenomen in het contract. o In de opbouw van het contact ervaren we onzekerheid over in hoeverre de klant ons een opdracht gunt. De zogenaamde gun factor is heel belangrijk en derhalve doen wij er alles aan om het vertrouwen te kweken door bijvoorbeeld referenties/trackrecord te tonen. o Onzekerheid wordt vaak bij de klant weggenomen door onze trackrecord te tonen en dat wij de business van de klant begrijpen. o Gemiddelde duur van het contract: Minimaal: 6 mnd, maximaal: onbeperkt, gemiddeld: 5 jaar. o Primaire prestatie‐indicatoren die in het contract worden vastgelegd zijn: beschikbaarheid/continuïteit van de dienstverlening. Waarborging van het informatiebeleid zoals lekkage van informatie: o Door beveiligingsmaatregelen op operationeel en technisch niveau inclusief bewustwording van intern personeel. o ISO 27001/2 normering. o Door back‐ups en door verbod op gebruik van draagbare mediadragers zoals USB sticks en encryptie van gegevens. o Door communicatie van dit beleid naar de klant toe en het meten van beveiligingsincidenten.
4.3.2 Samenvatting van de bevindingen Theorie vs Praktijk Op basis van de vijf interviews die zijn afgelegd wordt hoofdstuk vier afgesloten met een samenvatting. Samenvattend zijn de volgende aanvullende bevindingen uit de praktijk in deze paragraaf bijgewerkt die als kritieke succesfactoren voor een groter vertrouwen zijn aangemerkt.
Om vertrouwen te winnen is het belangrijk dat de interactie tussen klant en leverancier regelmatig en goed verloopt. De kritieke succesfactor hierbij is dat heldere en snelle communicatie wordt toegepast. De manier waarop een individu communiceert en acteert/escaleert op prioriteiten wordt sterk gevormd door de cultuur, waarin dit individu zich begeeft. De cultuur oftewel z’n/haar achtergrond bepaalt welke risico’s de individu inziet en welke voorkeur daarin wordt gegeven. De achtergrond heeft er ook toe geleid dat het individu ook bepaalde normen en waarden heeft ontwikkeld dat zich vertaald in bepaalde leiderschapskwaliteiten of niet. Daarnaast zal ook een positief verband kunnen worden afgeleid in persoonseigenschappen zoals: o directe manier van communiceren of niet. o minimale, middelmatige of veel sociale intelligentie die een individu in zich heeft.
51 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Naarmate de relatie tussen klant en leverancier een steeds volwassene vorm aanneemt zal vanuit vertrouwensoogpunt de samenwerking tussen beide partijen veranderen. De verstandsverhouding tussen klant en leverancier zullen veranderen in die zin, dat de afstand tussen de klant en leverancier kleiner wordt. De steeds kleinere afstand tussen klant en leverancier kenmerk zich door: o Als de klant belt met additionele vragen (wat leidt tot meerwerk). o Als klant en leverancier geen informatie aan elkaar achterhouden, maar open kaart spelen. o Contract met korte looptijd (8 weken – 2 jaar), aangezien in een korter tijdsbestek meerdere mijlpijlen moet worden gerealiseerd zal het klantencontact intenser en informeler worden. Daarnaast zal de totale tijdsbesteding aan rapportering/ meetings ook korter zijn in met name projecten van bijv. 8 weken, waardoor er ook meer vertrouwen tussen beide partijen vergt. o Vertrouwen wordt ook gestimuleerd door waarborging van informatiedeling en voorkoming van lekken van informatie: door gemeenschappelijk gebruik van een soort kennismanagement systeem. Volledig en tijdig informeren, waarbij de ongeschreven regel is om elkaar nooit negatief te verrassen. Het contract is niet het juiste middel om vertrouwen te waarborgen omdat het contract bestaat uit met name juridische elementen. In de relatie naar de klant toe, wordt vertrouwen gewaarborgd door hoe proactief een leverancier is en hoe de leverancier meedenkt met de klant om tot een oplossing te komen.
52 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
5. Conclusie van het Conceptueel Raamwerk Op basis van de theoretische verkenning en gehouden interviews is getracht een goed beeld te schetsen over de toepasbaarheid van het conceptueel raamwerk om het proces van hoe vertrouwen in IT Outsourcing relaties te bereiken, te identificeren en te beschrijven. In hoofdstuk 2 is een begin gemaakt van het eerste deel van het theoretische kader, waarin een literaire verkenning is uitgevoerd in het domein van IT Outsourcing. Dit heeft zich vertaald naar een algemene begripsvorming van IT Outsourcing, de motivatie voor IT Outsourcing en de uitdagingen/ risico’s van een IT Outsourcing traject. In hoofdstuk 3 treft men vervolgens het tweede deel van het theoretische kader, waarin is getracht op basis van de beschikbare literatuur de verschillende definities van vertrouwen en de invloeden van vertrouwen in IT Outsourcing relaties in kaart te brengen. Dit heeft zich vertaald naar een algemene begripsvorming van vertrouwen en introductie van een drietal belangrijke indicatoren (e.g. conceptgebieden), aspecten en kritieke succesfactoren die het proces ondersteunt voor een groter vertrouwen binnen een klant‐leverancier relatie. In hoofdstuk 4 is het conceptueel raamwerk voor vertrouwen gepresenteerd, waarin de drie belangrijkste conceptgebieden, aspecten en kritieke succesfactoren zijn behandeld en toegelicht welke verbanden kunnen worden gelegd. Tevens is het conceptueel raamwerk getoetst bij vijf verschillende bedrijven middels interviews met project managers, service delivery managers, contract managers en IT Consultant. Doel van deze interviews is het nagaan of de geïdentificeerde conceptgebieden, aspecten en kritieke succesfactoren ook in de praktijk worden erkend en eventuele aanvullingen kunnen worden gemaakt. Samenvattend kan geconcludeerd worden dat binnen een IT Outsourcing je niet alles kan vastleggen in contracten. Op een gegeven moment zal er altijd onenigheid en spanningen ontstaan over bijvoorbeeld de scope of onverwachte omstandigheden/ontwikkelingen binnen het uitbestedingstraject. De vraag is hoe beide partijen hiermee omgaan en bereid zijn binnen de dialoogvoering een toenadering naar elkaar weten te vinden. Als aanvulling is op basis van de interviews ondervonden dat het communicatieverloop binnen het project een goede indicator is of een project goed of slecht loopt en daarmee de tevredenheid tussen klant en leverancier. In onze scriptie is aangegeven dat de drie belangrijkste management aspecten tot een groter vertrouwen kan worden gerealiseerd door zich te concentreren op de gebieden: Cultuur, Contract Management en Security. Cultuur heeft een grote impact op het vertrouwen binnen een relatie, omdat het erg belangrijk is om bewust te zijn van culturele verschillen die gaan over hoe medewerker interacties met elkaar en hoe ze interpreteren en waarnemen. De onderliggende kritieke succesfactoren die zijn geïdentificeerd: Communicatie, Leiderschap, Context en Kennisdeling en Samenwerking. Contract Management heeft een grote impact op het vertrouwen, omdat een gestructureerd proces van afsluiting van een overeenkomst tot aan het beheren van het contract tussen de klant en de leverancier erg belangrijk is. De onderliggende kritieke succesfactoren die zijn geïdentificeerd: Geschreven en Psychologisch contract, Contractperiode en Minimalisatie van onzekerheid. Security heeft een grote impact op het vertrouwen, omdat de beveiliging van gegevens en informatie van vitaal belang is voor elke organisatie. Het toestaan van een IT Outsourcing provider om belangrijke informatie te beheren kan ernstige gevolgen hebben. Security omvat onder andere hoe de organisatie de provider kan vertrouwen bij het overhandigen van gevoelige gegevens. Security kan worden onderverdeeld in administratieve beveiliging en technische beveiliging. Administratieve beveiliging gaat over de organisatie en haar acteurs, en omvat het proces in het creëren van beveiliging. Technische beveiliging gaat over de netwerk / communicatie beveiliging en de toegang.
53 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
5.1 Deelvragen Voorafgaand aan onze uitgebreide literatuur onderzoek is aan het begin deelvragen geformuleerd. Hieronder zal per deelvraag een antwoord worden gegeven.
Wat is IT Outsourcing? (Zie sectie 3.1 voor meer uitleg) o IT Outsourcing is het proces van levering van functioneel beheer en technisch beheer door een externe dienstverlener die anders een in‐house service zou zijn. Op basis van literatuur onderzoek en 5 interviews hebben we doelgericht naar uitbesteding trajecten van activiteiten binnen het IT domein zoals functioneel applicatie beheer, technische beheer en Business Proces Outsourcing (BPO) geanalyseerd (zie bijlage 2A en 2B voor literatuur onderzoek bronnen matrix column ‘Outsourcing’ en Appendix X voor interview verslagen). Waarom wordt IT uitbesteed? (Zie sectie 3.2 voor meer uitleg) o Op basis van onze literatuur onderzoek zijn de volgende meest besproken redenen om uit te besteden: ‐ Kostenbesparing: Motivatie wanneer een provider het zelfde kan uitvoeren voor een lagere kost prijs. Ontwikkelen van software is kostbaar en tijdrovend. Kosten reductie factoren zijn bijvoorbeeld: lagere voorraadkosten, verbeter productie proces en het verminderen van management tijd. ‐ Hogere kwaliteit in de dienstverlening: Slechte prestaties en mindere kwaliteit van de dienstverlening kunnen negatief invloed hebben op het imago van een organisatie. Als bij de organisatie intern de vitale competenties voor IT ontbreekt, dan kan door uitbesteding de kwaliteit van de dienstverlening verbeteren. ‐ Concentratie op de kernactiviteiten: Door zich te richten op de kerncompetenties in de organisatie kunnen de onderdelen die zich niet tot de kernactiviteiten behoren uitbesteed worden. Als de organisatie non‐kernactiviteiten hebben uitbesteed, zullen managers flexibeler worden en makkelijker kunnen aanpassen aan nieuwe mogelijkheden die de organisatie kunnen helpen om concurrerend te blijven op de markt. Wat zijn de huidige problemen en uitdagingen in IT Outsourcing? (Zie sectie 3.3 voor meer uitleg) o De volgende punten zijn uitdagingen in IT Outsoucing: ‐ Managementinspanningen en de inspanning om te blijven leren zal toenemen aan de klantzijde. Managers aan de klantzijde zullen de regie moeten behouden en continue de materie begrijpen van de IT provider om bijvoorbeeld de kwaliteit van de dienstverlening te kunnen beoordelen. ‐ De strategische flexibiliteit bij de klant kan afnemen, omdat bijvoorbeeld wanneer daadwerkelijk tot uitbesteden wordt overgegaan de nieuwe manier van werken binnen de organisatie en hun eigen personeel zullen moeten gaan inbedden. Dit zorgt eerder voor strategische inflexibiliteit dan strategische flexibiliteit. o De volgende oorzaken zijn redenen voor het mislukken van IT Outsourcing trajecten: ‐ Slechte definiëring van het uitbestede proces ‐ Zwakke selectie / leverancier kwalificatie proces ‐ Geen helder contract ‐ Onvoldoende leverancier prestatie metingen ‐ Geen realistische verwachtingen van de voordelen ‐ Geringe communicatie ‐ Medewerkers voelen zich onvoldoende betrokken
54 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
‐ ‐ ‐ ‐ ‐
Gebrek aan leiderschap en controle over de relatie / gedefinieerde verantwoordelijkheden Onvoldoende security beleid en security implementatie Geen duurzame relatie opbouw Achterhouden van informatie aan weerszijden Onvoldoende begrippen van culturele verschillen en misvertaling in context
Wat zijn de risico’s van IT Outsourcing? (Zie sectie 3.3 voor meer uitleg) o De volgende risico’s zijn redenen om niet uit te besteden: ‐ De "chemie" kan ontbreken tussen de organisatie en de outsourcing vendor; ‐ Het kan risicovol zijn wanneer een organisatie kritieke informatie aan een derde partij overhandigd, hierdoor zeer afhankelijk wordt; ‐ De organisatie kan door uitbesteding bepaalde competenties en kennis kwijtraken, doordat bepaalde competenties en kennis uit de organisatie in verloop van tijd vervagen; ‐ IT Outsourcing kan leiden tot verlies van flexibiliteit; ‐ De organisatie kan haar concurrentievoordeel missen doordat bepaalde informatiedelen alleen de uitbestede partij dit kunnen leveren of de cruciale vertaalslag kunnen maken; ‐ Werknemers kunnen minder verplichting van het moreel en de prestaties voelen; ‐ Lange termijn kostenbesparingen worden niet gegarandeerd; ‐ Verlies van intellectuele eigendom en bedrijfgevoelige informatie. Wat zijn de kritieke succesfactoren voor een succesvol IT Outsourcing relatie? (zie sectie 3.5 voor meer uitleg) o Zowel in de theorie als in de interviews is ondervonden dat er een positieve relatie bestaat tussen de kwaliteit van de IT outsourcing relatie en een succesvolle uitbesteding. De geïdentificeerde kritieke succesfactoren die leiden tot een nauwere samenwerking tussen klant en leverancier en een succesvolle uitbesteding zijn: ‐ Streef een goede klant‐leverancier relatie op basis van vertrouwen ‐ Vermijdt conflicten ‐ Wederzijds begrip en betrokkenheid ‐ Frequente interactie tussen klant en leverancier ‐ Keuze van leverancier berust niet alleen op inhoudelijke expertise, maar ook op affiniteit met de business. ‐ Wederzijds denken in win‐win realisatie (e.g. als de klant meer omzet realiseert door betere dienstverlening dan zal ook meer activiteiten naar de desbetreffende leverancier worden uitbesteed). ‐ De managementvaardigheden en HR people management skills binnen de klant‐ leverancier relatie wordt tegenwoordig ook steeds meer vereist om de afgesproken diensten en afspraken conform elkaars verwachtingen te voldoen. Aangezien uiteindelijk een gezonde balans moet zijn tussen een geschreven contract (= zoveel mogelijk vastleggen in het contract) en een open contract (= niet alles kan in het contract worden vastgelegd). Wat is vertrouwen? (zie sectie 4.6 voor meer uitleg) Vertrouwen binnen een IT Outsourcing relatie wordt bereikt, wanneer de overeenkomst betrouwbaar is en aan elkaars verwachtingen worden voldaan door behavioral goodwill. Uit de theorie en in de praktijk (middels vijf interviews) is ondervonden dat een overeenkomst betrouwbaar is, als het waardig is en aan de verwachtingen van de opdrachtgever voldoet op een dusdanig voorspelbare en redelijke wijze. Het voldoen aan 55
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
elkaars verwachtingen wordt versterkt door ‘behavioral goodwill’ en hiermee wordt bedoeld dat er in de wederzijdse dialoogvoering elkaars normen en waarden worden gerespecteerd en op een neutrale manier een hoog wederzijds gun factor aan elkaar wordt gegeven. Verder kan hoofdzakelijk twee niveaus van vertrouwen worden onderscheiden, resp. interpersonal trust en interorganizational trust (Qi en Chau, 2013; Wickramasinghe en Widyaratne, 2012). ‐ Interpersonal trust wordt opgevat als het persoonlijke vertrouwen tussen de IT‐ managers (van de klant‐onderneming) en de account managers (van de IT provider). ‐ Interorganizational trust kan worden opgevat als het vertrouwen tussen klant en IT provider zoals waargenomen door de werknemers en teamleden vanuit beide zijden. Een andere zienswijze van vertrouwen is gelegd door Ibrahim, Ribbers en Pieter (2009) en Holste en Fields (2010), die een onderscheid hebben gemaakt in ‘Competence Trust’ en ‘Openness trust’. Competence trust beïnvloedt positief het gebruik van menselijke kennisbronnen, de inzet van organisatorische middelen en onderlinge koppeling van bedrijfsprocessen binnen een IT Outsourcing relatie. Openness trust beïnvloedt positief het gebruik van menselijke kennisbronnen en de inzet van organisatorische middelen in een openlijke sfeer binnen een IT Outsourcing relatie. Welke aspecten zijn belangrijk om goed relatiemanagement tussen klant en leverancier te onderhouden? Bij goed relatiemanagement tussen klant en leverancier is in ons onderzoek gebleken dat er een stevige basis op vertrouwen moet worden gelegd. In onze conceptueel raamwerk is getracht het proces van hoe vertrouwen in IT Outsourcing relaties te bereiken, te identificeren en te beschrijven. In onze conceptueel raamwerk is vertrouwen sterk afhankelijk van drie conceptgebieden: 1. Cultuur 2. Contract Managemet 3. Security management. De drie conceptgebieden bevatten onderlinge relaties die leiden tot een groter vertrouwen in een IT Outsourcing relatie. Onder elk conceptgebied is een of meerdere aspecten genoemd. Hieronder wordt een opsomming gegeven van de belangrijkste aspecten die zal leiden tot een groter vertrouwen en daarmee de relatie tussen klant en leverancier zal versterken. ‐ De belangrijkste aspecten binnen het conceptgebied ‘Cultuur’ zijn: ‐ communicatie ‐ context ‐ leiderschap ‐ kennisdeling en samenwerking Deze geïdentificeerde aspecten versterkt namelijk welke normen en waarden een individu belangrijk vindt binnen de dialoogvoering tussen klant en leverancier en bepaalt daarmee de mindset van de desbetreffende individu. Zowel uit de literatuur onderzoek en uit de interviews kan vertrouwen in een IT Outsourcing relatie worden vergroot door meer face‐to‐face contact en communicatie. Als gevolg van frequente face‐to‐face contact en communicatie zal er tevens ook minder onzekerheid ontstaan 56
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
‐
over bijv de leverancierprestaties en gemaakte afspraken, waardoor er een betere management van verwachtingen wordt bereikt en een goede klant‐leverancier verhouding. De belangrijkste aspecten binnen het conceptgebied ‘Contract Management’ zijn: ‐ schriftelijk en psychologisch contract ‐ contract periode ‐ minimalisatie van onzekerheid. Mensen worden gekenmerkt door opportunistisch gedrag, IT Outsourcing vereist specifieke investeringen en regelingen op lange termijn outsourcing om relaties te beschermen, vooral als er onzekerheid en veranderingen in technologie, nieuwe of vernieuwde producten of harde concurrentie is aanwezig. Zowel uit onze interviews en literatuur onderzoek zagen we dat maatregelen zoals een korte periode van een strak contract met een roll over approach kan worden genomen om opportunistisch gedrag van de andere partij te beperken.
‐
De belangrijkste aspecten binnen het conceptgebied ‘Security Management’ zijn: ‐ Technische Security (waarborging van het informatiebeleid rondom: authenticatie, integriteit, fysieke toegangsbeveiliging, betrouwbaarheid, onweerlegbaarheid en beschikbaarheid). ‐ Administratieve security (e.g. gedeelde eigenaarschap/inspraak over procedures en maatregelen rondom informatiebeveiliging. Bijvoorbeeld gedeelde projecteigenaarschap, gericht opleiden van medewerkers in het domein van informatiebeveiliging, implementatie van een centraal informatiebeleid)
Zowel uit onze interviews en literatuur onderzoek zagen we dat het belangrijk is om naleving op wet regelgeving (zoals Wet Bescherming Persoonsgegevens (WBP), helder Security beleid en ‘awareness’ trainingen rondom informatiebeveiliging om vertrouwen te vergroten. Actuele thema’s rondom informatiebeveiliging als authenticatie, data‐integriteit, fysieke toegangsbeveiliging, betrouwbaarheid en onweerlegbaarheid spelen daarin een groot belang.
5.2 Centrale vraagstelling Hoe kan vertrouwen in een IT Outsourcing relatie worden vergroot? Volgens Qi en Chau (2013) en Wickramasinghe en Widyaratne (2012) zijn hoofdzakelijk twee niveaus van vertrouwen te onderscheiden, resp ‘Interpersonal trust’ (=persoonlijke vertrouwen tussen de IT‐managers van de klant‐onderneming en de account managers van de IT provider) en ‘Interorganizational trust’ (=het vertrouwen tussen klant en IT provider zoals waargenomen door de werknemers en teamleden vanuit beide zijden). Tevens is als aanvulling hierop een ander niveau van vertrouwen volgens Ibrahim, Ribbers en Pieter (2009) en Holste en Fields (2010) gedefinieerd worden, die een onderscheid maken in ‘Competence Trust’ en ‘Openness trust’. Competence trust beïnvloedt positief het gebruik van menselijke kennisbronnen, de inzet van organisatorische middelen en onderlinge koppeling van bedrijfsprocessen binnen een IT Outsourcing relatie. 57 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Openness trust beïnvloedt positief het gebruik van menselijke kennisbronnen en de inzet van organisatorische middelen in een openlijke sfeer binnen een IT Outsourcing relatie. Beide niveaus is uit eerdere onderzoeken in de bestaande literatuur en uit de interviews ondervonden dat er een positief verband bestaat op het kennisdelen en succes in een IT Outsourcing relatie. In het gepresenteerde conceptueel raamwerk zijn drie belangrijke conceptgebieden (indicatoren) geïdentificeerd, die een positieve bijdrage leveren om het proces tot een groter vertrouwen in een IT Outsourcing relatie te ondersteunen. Deze drie conceptgebieden zijn: Cultuur, Contract Management en Security. Onder Cultuur bevat de managementaspecten: communicatie, context, leiderschap, kennisdeling en samenwerking. Onder Contract Management bevat de managementaspecten: geschreven en psychologisch contract, contractperiode en minimalisatie van onzekerheid onder. Onder Security (e.g. informatiebeveiliging) bevat de managementaspecten: administratieve beveiliging en technische beveiliging. Cultuur ‐ Communicatie: het aspect communicatie is van essentieel belang om een groter vertrouwen te realiseren, omdat bij de juiste inzet van communicatie en mix van communicatiemiddelen (face 2 face, ppt, emails) zodoende informatie zowel door de ontvanger als de zender op de juiste manier wordt gecommuniceerd en geïnterpreteerd. Informatie uit de organisatie moet eenvoudig te interpreteren zijn. Daarnaast leidt de inzet van frequente communicatie tot meer interactie tussen de klant en de leverancier. Interactie kan worden gekenmerkt door tijdigheid, waarde, regelmaat, kwaliteit en inhoud. Met name in het begin van de relatie tussen de organisatie en de IT Outsourcing provider heeft het regelmatig uitwisselen van informatie een versterkende werking op een goede relatie opbouw. Spoedige aanneming van het contract vereist een goede communicatie. Uitwisseling van informatie helpt beide delen aan: het bereiken van verwachtingen en tevredenheid, conflicten vermijden, oplossingen te vereenvoudigen, de onzekerheid te verminderen, en te zorgen voor flexibiliteit. ‐ Context: Bij het aspect context wordt verstaan de hoeveelheid informatie die nodig is bij het maken van een beslissing in een bepaalde situatie. Het is daarom van essentieel belang het juiste communicatiemiddel te gebruiken. Bijvoorbeeld om te communiceren met teamleden is het gemakkelijker om zoveel mogelijk verbale communicatie te gebruiken. Maar soms is het noodzakelijk om technologie voor communicatie te gebruiken zoals web conference, e‐mail en PowerPoint presentaties. Een effectieve aanpak is om te telefoneren of web conference in plaats van e‐mail, hoewel de organisatie ook moet inzien dat er culturele kwesties en verschillen aan kleven bij gebruik van dit soort communicatiemiddelen om misverstanden te voorkomen. ‐ Leiderschap: Probeer begrip te krijgen voor het verschil in culturele kwesties en verschil in inzicht binnen het uitbestedingstraject. Houd je strikt aan de project procedures en wijk daar in eerste instantie niet te veel van af. Besteedt tijd aan het opleiden/ begeleiden van je medewerkers. Zorg ervoor dat iedereen zowel klant als leverancierszijde binnen het IT Outsourcing project aangehaakt blijft. Laat zien wie de leider is. Kenmerkende gedragsuitingen in leiderschap zijn geconstateerd waardoor een groter vertrouwen wordt 58
© Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
ervaren tussen beide partijen zijn: betrokkenheid en vertrouwen, tevredenheid en verwachtingen, samenwerking en conflict, en de kracht van synergie en afhankelijkheid. Deze kunnen gelijktijdig optreden in de relatie. Betrokkenheid leidt tot vertrouwen, en vertrouwen leidt tot inzet, en samen resulteert het in bereiken van succes. Kennisdeling en Samenwerking: Bouw een vertrouwensrelatie op met je leverancier binnen het IT Outsourcing project op basis van enerzijds vertrouwen dat het wel goed komt (positief denken) en anderzijds op rapportering van de voortgang van de leverancierprestaties. Creëer een win‐win situatie tussen de klant en leverancier. Opeenvolging van de gemaakte afspraken gedurende de voortgangsrapportages geleverd door de leverancier. Wees alert op mogelijkheden van opportunistisch gedrag aan weerszijden van de IT Outsourcing relatie als informatie bewust door de leverancier of klant wordt achtergehouden.
‐
Contract Management Geschreven en psychologisch contract: Een duidelijke afbakening van de dienstverlening en een gedetailleerde resultaatgerichte contract biedt voordelen als bescherming tegen de veranderingen van de externe (environmental) factoren zoals wet‐ en regelgeving en maakt het makkelijker de geleverde prestaties te meten tegen de contractafspraken. Een gezonde balans tussen een geschreven en een psychologisch contract moet gevolgd worden, omdat een eenzijdig geschreven contract juist opportunistisch gedrag bevordert. De eisen en voorwaarden zijn inmiddels vastgelegd, waardoor een groter kans bestaat dat men tussen de mazen van de wet gaat zitten en minder op vertrouwen wordt gesteund.
‐
‐
Contractperiode: Houdt de contractsduur zo kort mogelijk met de optie voor verlenging (rollover approach). Als gevolg hiervan wordt de IT Outsourcing provider gedwongen zich te richten op de verwachtingen daadwerkelijk te bereiken. Minimalisatie van onzekerheid: Vanwege de onzekerheden die bij IT Outsourcingtrajecten met zich meebrengen is enige vorm van flexibiliteit in het contract wel gewenst. Een rollover contract (middel‐lange termijn contract < 3 jaar met optie tot verlenging) zou kunnen worden gebruikt om enige flexibiliteit te geven terwijl nog steeds aan de eisen worden voldaan. Risico’s en onzekerheid kunnen worden geïnterpreteerd als de kans op schade als gevolg van onzekerheid. Een resultaatgerichte overeenkomst kan daarbij een oplossing zijn om de risico’s te mitigeren en onzekerheid te minimaliseren, doordat de beloningen voor beide partijen afhankelijk worden gemaakt door wederzijdse prestaties. Aanvullend hierop is het verstandig om de nodige tijd te besteden in het ontwerp van een service level agreement (SLA). Een SLA omvat immers elk aspect van het uitbestede werk.
‐
‐
Administratieve beveiliging: Dit heeft betrekking op de organisatie en haar actoren en omvat het proces in het creëren van een informatiebeleid. o Pas gedeelde projecteigenaarschap toe o Biedt gericht onderwijs in het opleiden van medewerkers in Security Management voor meer bewustzijn o Het opleiden van medewerkers om meer bewustzijn te kweken voor Security Management moet vooraf geschieden, voordat medewerkers binnen het IT Outsourcing traject in aanraking komen met uitwisseling van bedrijfsgevoelige informatie o Implementeer een centraal beleid voor Security Management
59 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Security ‐
Technische beveiliging: Dit heeft betrekking op het netwerk / communicatie beveiliging en de toegang o Authenticatie: Bepaal de authenticiteit van gebruikers, computers en middelen. Gebruik certificaten en wachtwoorden. o Integriteit: Het verzamelen en onderhouden van correcte informatie. Met zekerheid kunnen stellen dat veranderingen/wijzigingen van informatie volledig gelogd zijn. o Toegangscontrole: Regelt de gebruikerstoegang tot IT‐systemen, de mogelijkheid om alle log activiteiten van de gebruiker te traceren. Dit zorgt ervoor dat de gebruikers toegang worden verleend aan IT‐ systemen of de toegang worden geweigerd conform de regels rondom geautoriseerde toegang. o Vertrouwelijkheid: Informatie waaronder berichten, vervoer, en gegevensverbinding in de dienstverlening communicatiesystemen worden vertrouwelijk behandeld. Vertrouwelijkheid wordt bereikt door het versleutelen van data bij opslag of bij de overdracht van informatie. o Onweerlegbaarheid (non‐repudiation): Wordt toegepast in verband met elektronisch document uitwisseling. Gecertificeerd document, die erkent de inhoud van het document. Bij geschil, onweerlegbaarheid van beveiliging kan het bewijs leveren. Onweerlegbaarheid is bereikt door het verifiëren van een digitale handtekening o Beschikbaarheid: Zorgt ervoor dat bevoegde personen toegang hebben wanneer dat nodig is.
5.3 Aanbeveling tot vervolgonderzoek Tot slot een aantal suggesties voor toekomstig onderzoek kan worden gedaan op basis van dit onderzoek. Ten eerste, wetenschappers kunnen zich richten op het uitvoeren van een diepgaande casestudie om te controleren of onze conceptuele raamwerk nog verder te generaliseren is door nog meer bedrijven in de case studie te betrekken. Ten tweede kunnen wetenschappers een kwantitatieve analyse uitvoeren om de onderlinge relaties van de conceptgebieden in onze conceptuele raamwerk te controleren. Ten derde kan voortbordurend op ons onderzoek een uitstap worden gemaakt naar andere delen in de wereld, zoals bekende offshore landen als India, China en VS. Al deze suggesties zullen de generaliseerbaarheid van de bevindingen doen toenemen en het proces naar een groter vertrouwen binnen een IT Outsourcing relatie nog transparanter maken. Daarnaast zullen uit deze bevindingen wellicht weer sterke aanvullingen uit voortkomen die in het gepresenteerde conceptueel raamwerk kan worden toegepast.
60 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Bijlage 1 – Literature Search Tree
ABI/INFORM Complete
Keywords
Trust AND AND Relation
IT Outsourcing OR Software Development OR ITO
AND
Contract OR Culture OR Governance OR KPI OR Management Organization OR Project Success OR Intent OR Strategic
Limiters set
Starting year 1994 ABI/INFORM Complete: English Language ‐ Peer Reviewed ‐ Source Type: Scholarly Journals
Sort: Relevance
Result: 14938
Duplication: Duplicates are removed from search, but are included in result count.
Full text availability
Result: 13011
Reference & Author
Forward Search
Articles reviewed in detail
Result: 73
Backward Search
Reference & Author
Google Scholar Addition: 23
Articles included
Result: 96 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
61
Bijlage 2A – Bronnenmatrix ABI/ INFORM nr
Author
Title
Ahimbisibwe, Nangoli en Tusiime (2012)
Moderating effect of buyer‐supplier trust on the relationship between outsourced formal contracts and supplier delivery performance: An empirical study of public sector procurement. IS/IT outsourcing practices in the public sector of Kuwait: a contingency approach Trust and its alternatives
1 Alshawaf en Khalfan (2003) 2 Alvarez, Barney, Bosse en 3 Douglas (2003) Ang, Koh en Tay (1999) 4 5
Atkinson (2007) Bahli en Rivard (2005)
6 Barthelemy en Geyer (2001) 7 Barthelemy en Geyer (2005) 8 Beulen, Tiwari en Heck (2011) 9 Bharadwaj, Saxena en Halemane (2010) 10 Brooks, N (2006)
Managing Vendor‐Client Expectations in IT Outsourcing: a Psychological Contract Perspective Trust and the psychological contract Validating measures of information technology outsourcing risk factors. IT Outsourcing: Evidence from France and Germany An empirical investigation of IT outsourcing versus quasi‐ outsourcing in France and Germany Understanding transition performance during offshore IT outsourcing Building a successful relationship in business process outsourcing: an exploratory study Understanding IT Outsourcing and its potential effects on it workers and their environment.
ABI/ INFORM
Empirical Study (experimental, survey and case study)
Theoretical Study
Outsourcing relational governance
contract governance
Trust
Culture
Security
Critical Succes Factors
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
11 Carson, Madhok, Varman en John (2003) 12 Chen, Lin en Tu (2002) 13 Chen en Bharadwaj (2009) 14 Chin en Goles (2005) 15 Colquitt, Scott en LePine 16 (2007)
Information processing moderators of the effectiveness of trust‐based governance in interfirm R&D collaboration. Global IT/IS Outsourcing: Expectations, Considerations and Implications. An Empirical Analysis of Contract Structures in IT Outsourcing Information Systems Outsourcing Relationship Factors: Detailed Conceptualization and Initial Evidence Trust, Trustworthiness, and Trust Propensity: A Meta‐
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Analytic Test of Their Unique Relationships With Risk Taking and Job Performance. Dames en Wittgreffe (2005) From desktop to data centre – addressing the OSS challenges in the delivery of network‐centric ICT services 17 Dean en Yunus (2000) The effects of global outsourcing strategies on participants' attitudes and 18 organizational effectiveness Dibbern, Goles, Hirschheim en Information Systems Outsourcing: A Survey and Analysis of the Literature 19 Jayatilaka (2004) Embleton en Wright (1998) A practical guide to success outsourcing 20 Endorf (2004) Outsourcing Security: The Need, the Risks, the Providers, and the Process, Information Systems Security 21 Ghosh en Fedorowicz (2008) The role of trust in supply chain 22 governance Godwin, U (2000) Using analytic hierarchy process to analyze the information technology outsourcing decision 23 Goo (2010) Structure of service level agreements (SLA) in IT outsourcing: The construct and its 24 measurement Gorla en Lau (2010) WILL NEGATIVE EXPERIENCES IMPACT 25 FUTURE IT OUTSOURCING? Gottschalk en Karlsen (2005) A comparison of leadership roles in internal IT projects versus outsourcing projects 26 Gottschalk en Sollli‐Saether Critical success factors from IT outsourcing (2005) theories: an empirical study 27 Greenberg, Greenberg en The role of trust in the governance of business process outsourcing relationships 28 Yvonne (2008) Grey, Hall, Oza en Rainer Trust in software outsourcing relationships: (2006) An empirical investigation of Indian software companies 29 Gottschalk en Sollli‐Saether Maturity in IT outsourcing relationships: an 30 (2008) exploratory study of client companies Hoecht en Trott (2006) Innovation risks of strategic outsourcing 31 Holste en Fields (2010) Trust and tacit knowledge sharing and use 32 Huynh, Kwok en Lee (2003) IT Outsourcing Evolution ‐ Past, Present 33 and Future Ibbott en O’Keefe (2004) Trust, planning and benefits in a global 34 interorganizational system Ibrahim, Ribbers en Pieter The impacts of competence‐trust and (2009) openness‐trust on interorganizational 35 systems Lee en Kim (1999) Effect of Partnership Quality on IS Outsourcing Success: Conceptual 36 Framework and Empirical Validation
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
63 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Jonash (1996) 37 Joyner, Payne en Raiborn 38 (2005) Justin en Webb (2005) 39 Kadiyala en Samaddar (2005) 40
Strategic technology leveraging: Making outsourcing work for you How to be a good global communicator Crafting a successful vendor/client relationship Information systems outsourcing: Replicating an existing framework in a different cultural context Outsourcing: Current and Future Trends
Kakabadse en Kakabadse 41 (2005) Karyda, Mitrou en Quirchmayr A framework for outsourcing IS/IT security 42 (2006) services Kern en Willcocks (2002) Exploring relationships in information technology outsourcing: The interaction 43 approach Khalfan (2003) A case analysis of business process outsourcing project failure profile and implementation problems in a large 44 organisation of a developing nation Khalfan (2004) Information security considerations in IS/IT outsourcing projects: a descriptive case study of two sectors 45 Klimoski en Webber (2004) Client‐project manager engagements, 46 trust, and loyalty Koh, Ang en Straub (2004) IT outsourcing success: A psychological 47 contract perspective Lacity, Willcocks en Rottman Global outsourcing of back office services: lessons, trends, and enduring challenges 48 (2008) Lacity, Khan, Yan en Willcocks A review of the IT outsourcing empirical literature and future research directions 49 (2010) Lee (1996) IT outsourcing contracts: practical issues 50 for management Luvison en Bendixen (2010) The Behavioral Consequences of Outsourcing: Looking Through the Lens of 51 Paradox Mahnke, Mikkel en Vang Strategic Outsourcing of IT Services: (2005) Theoretical Stocktaking and Empirical 52 Challenges Marko, Vesalainen, Elina en The governance of partnerships and a Vuorinen (2006) strategic network: Supplier actors' experiences in the governance by the 53 customers Mathew (2011) Mitigation of risks due to service provider 54 behavior in offshore software development McFadzean, Ezingeard, en Perception of risk and the strategic impact Birchall (2007) of existing IT on information security 55 strategy at board level Mei‐Ying, Yung‐Chien Weng, A study of supply chain partnerships based 56 en I‐Chiao (2012) on the commitment‐trust theory.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
64 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Nassimbeni, Sartor, Dus 57 (2012) Parmigiani en Mitchell (2010)
58 Pearcy, Giunipero en Wilson 59 (2007) Poppo en Zenger (2002) 60 Qi en Chau (2013) 61 Sabherwal (1999) 62 Suseno en Ratten (2007) 63 Tian, Lai en Francis (2008) 64 Usoro, Sharratt, Tsui en 65 Shekhar (2007) Volery en Mensik (1998) 66 Wechsler (2002) 67 Wiener (2006) 68 Wickramasinghe en Widyaratne (2012) 69 Willcocks (2011) 70 Yildiz en Öncer (2012) 71 Ying (2000) 72 Zhou, Poppo en Yang (2008) 73
Security risks in service offshoring and outsourcing The hollow corporation revisited: Can governance mechanisms substitute for technical expertise in managing buyer‐ supplier relationships? A model of relational governance in reverse auctions Do formal contracts and relational governance function as substitutes or complements? Investigating the roles of interpersonal and interorganizational trust in IT outsourcing success The role of trust in outsourced IS development projects A theoretical framework of alliance performance: The role of trust, social capital and knowledge development An examination of the nature of trust in logistics outsourcing relationship: Empirical evidence from China Trust as an antecedent to knowledge sharing in virtual communities of practice. The role of trust in creating effective alliances: A managerial perspective. How to outsource treasury functions successfully Critical Success Factors of Offshore Software Development Projects Effects of interpersonal trust, team leader support, rewards, and knowledge sharing mechanisms on knowledge sharing in project teams Machiavelli, management and outsourcing: still on the learning curve Narcissism as a moderator of the relationship between organizational trust and organizational citizenship behaviour. Strategic Outsourcing: Evidence from British companies Relational ties or customized contracts? an examination of alternative governance choices in china
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
65 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Bijlage 2B – Bronnenmatrix Google Scholar nr
Author
Title
Ackoff (1999)
Ackoff´s Best: His Classic Writings on Management Aggestam en Söderström Managing Critical Success Factors in a B2B 2 (2005) Setting Asif Pasha (2005) Measures for Assessing Risks in Global IT 3 Outsourcing Balstrup, Berki, Georgiadou en Global Software Development; the Dimension of Culture 4 Siakas (2005) Barthelemy (2003) Hard and Soft Sides of IT Outsourcing 5 Management Beije, Mol en van Tulder Antecedents and performance (2005) consequences of international outsourcing 6 Brandes, Brege en Lilliecreutz Outsourcing – Success or failure? Findings 7 (1997) from five case studies Bryson en Ngwenyama (1999) Making the information systems outsourcing decision: A transaction cost approach to analyzing outsourcing decision problems 8 Burley en Scheepers (2004) Evaluating the Vendor Client Relationship 9 in Information System Outsourcing Cullen, Seddon en Willcocks IT outsourcing configuration: Research into (2005) defining and designing outsourcing arrangements 10 Currie en Willcocks (1998) Analyzing four types of IT sourcing decisions in the context of scale, client/supplier interdependency and risk mitigration 11 Feeny, Olson en Willcocks Implementing Core IS Capabilities 12 (2006) Greaver (2013) Strategic Outsourcing 13 Grey, Hall, Oza en Rainer Critical Factors in Software Outsourcing 14 (2004) Hackney en Hancox (2000) IT Outsourcing: frameworks for 15 conceptualizing practice and perception Kern en Willcocks (2000) Exploring information technology outsourcing relationships: theory and practice 16 Kim en Lee (2004) Driving Factors and Barriers of Information and Communication Technology for E‐business in SMES: A Korean Perspective 17 1
ABI/ INFORM
Google Scholar
Empirical Study (experimental, survey and case study)
Theoretical Study
Outsourcing relational governance
contract governance
Trust Culture
Security
Critical Succes Factors
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
66 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Lacity en Willcocks (1999) 18 Langfield‐Smith en Smith 19 (2003) Loh en Venkatraman (1992) 20 21
Pfleeger en Pfleeger (2003) Stefani, Tsakalidis, Tsaknakis en Vassiliadis (2005)
22 Willcocks, Fitzgerald en Feeny 23 (1995)
IT outsourcing in insurance services: risk, creative contracting and business advantage Management control systems and trust in outsourcing relationships Diffusion of Information Technology Outsourcing: Influence Sources and the Kodak Effect Security in computing From application service provision to service‐oriented computing: A study of the IT outsourcing evolution Outsourcing IT: The Strategic Implications.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
67 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Bijlage 3 – Interview verslagen Interview #1 Leverancierszijde: Groot IT dienstverlener Persoon: IT Contractmanager Datum: 6 sept 2013 Introductie: Korte introductie van ons drieën. Volgens de IT manager krijgen zij nog te weinig vragen van de klant over compliance. De organisatie heeft in het verleden drie SAS 70 projecten gedaan en daarin heeft de contract manager als enige in de organisatie veel kennis in opgedaan. Algemeen: ‐ Hoge verwachtingen afgesproken bij het afsluiten van het contract. Gaandeweg worden de verwachtingen door IT dienstverlener naar beneden gemanaged indien de klant aan de bel trekt dat de verwachtingen/ prestaties binnen het contract niet worden gehaald. ‐ Verschil in CMMI niveaus: Bij outsourcing contracten is het vaak lastig om op hetzelfde niveau advies aan de klant uit te brengen. De IT dienstverlener heeft nou eenmaal een hogere volwassenheidsniveau op IT dienstverlening (CMMI niveau 5) en zij worden vaak door de klant ingeschakeld, die juist een lager CMMI niveau hebben. Daarnaast gaat de IT dienstverlener vaak uit van een best practice en daardoor is het vaak een uitdaging om maatoplossingen aan te reiken voor de bedrijfsspecifieke processen van de klant. Er werd aangegeven dat maximaal twee niveaus verschil in CMMI niveaus toelaatbaar is om een goede uitbestedingrelatie te realiseren. ‐ De IT dienstverlener houdt periodiek een klanten tevredenheidonderzoek dat tegen een aantal KPI’s wordt aangehouden, maar in de praktijk is het niet haalbaar om op al die KPI’s de resultaten te meten. Daarnaast is lastig aan te tonen wat er met de resultaten van het tevredenheidonderzoek wordt gedaan. Goedlopende projecten: ‐ Heldere requirements en afspraken (KPI) ‐ Leiderschap tonen aan zowel klant en de IT dienstverlener (nee durven te zeggen wanneer verwachtingen niet overeenkomen. De contract manager bekijkt dan grondig nog eens de vastgelegde afspraken in het contract). ‐ Het toekennen van key individuals door de klant. ‐ Regelmatige klant tevredenheidonderzoeken worden afgenomen op C‐niveau als op het middle management laag. (vanuit de IT dienstverlener houdt de Delivery Excellence team hiermee bezig). ‐ Alle projectmanagers van de IT dienstverlener moeten de cursus PMBOK afleggen. ‐ Het goed inschalen van voldoende resources vanuit de IT dienstverlener zijde. Slechtlopende projecten: ‐ Kijk naar de eerste tien valkuilen binnen de top 50 fouten gemaakt door PM‐ers. ‐ Niet genoeg rekening houdend met aspect cultuur. Als voorbeeld een Belgische klant, waarbij de IT diensverlener vanuit India de dienst leverde. ‐ Niet genoeg ingespeeld op de management stijl van de klant. Als voorbeeld werd genoemd dat de klant veel vrijheid aan de IT leverancier gaf bij periodieke rapportages en alleen bij deze IT leverancier aan de bel trok wanneer een crisis uitbrak. Dit zorgt voor veel onrust binnen de relatie. ‐ Wanneer er geen face‐ to face communicatie met Executive board meer plaatsvindt, is ook een slecht teken naar het project toe. ‐ Wanneer er te weinig IT Consultants worden ingezet, neigt de business direct contact op te nemen met IT.
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Interview #2 Klantzijde: logistieke IT dienstverlener Persoon: Intern Senior Consultant Datum: 8 okt 2013 Algemeen: ‐ Klant tevredenheids onderzoeken worden na elke Release (2‐4 per jaar) uitgevoerd Resultaten worden door het project management en teamleden besproken. ‐ Meeste contracten met IT service delivery zijn op basis van outcome based. ‐ Per Release wordt er één contract vastgelegd waarvan minimum duur 3 maanden is en 9‐12 maanden duur voor een grote Release. ‐ Informatiebeleid wordt verspreid door awareness workshops en assesments. ‐ ITIL best practices worden gehanteerd. Goedlopende projecten: ‐ Om vertrouwen te winnen is het belangrijk dat heldere en snelle communicatie wordt toegepast. ‐ Heldere afgebakende scope en deadlines. ‐ Maakt gebruik van gestructureerde workshops wanneer de eindgebruikers in de user acceptance test fase worden betrokken. ‐ Klant betrokkenheid in dagelijkse bijeenkomst inclusief samenvattend verslag. ‐ Gebruik zoveel mogelijk face‐to‐face communicatie. ‐ Voer dagelijks ‘stand up meetings’ waar teamleden een status update aangeven. ‐ Kennis ‐en informatiedeling door workshops, interviews en trainingen uit te voeren (vooral nadat een grote functionaliteit is gewijzigd of geïmplementeerd). Slechtlopende projecten: ‐ Geen eisen rondom informatiebeveiliging meegenomen in project ontwerp. ‐ Geen draagvlak van project team leden. ‐ Zowel klant en leverancier leden niet altijd aanwezig in bijeenkomsten. ‐ Scope wordt te vaak veranderd. ‐ Te optimistische deadlines. ‐ Afwezigheid van Quality & Assurance. ‐ Onvoldoende betrokkenheid van HR Management wanneer project team leden worden overgeplaatst naar ander project.
69 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Interview #3 Leverancierszijde: Externe IT Service Dienstverlener Persoon: Sr Functionele Consultant Datum: 15 okt 2013 Algemeen: ‐ Goed vertrouwen binnen een relatie wordt gerelateerd met de volgende kenmerken: o kort en intens klantcontact(kort omdat onze opdrachten meestel 6 tot 8 weken duren, dat maakt het ook meteen intens). o verschillende meetings waarbij beide partijen open kaart spelen. o Als de klant ons belt met vragen (wat leidt tot meerwerk). ‐ Klanten tevredenheidonderzoeken worden afgelegd na afloop van ieder assigment. o Afhankelijk van het resultaat van het onderzoek wordt actie ondernomen. ‐ Gemiddelde duur opdracht: afhankelijk van de opdracht tussen 6 weken en 2 jaar. ‐ Leveranciersverwachtingen worden behaald door de deadlines te halen. ‐ Om uitwisseling van informatiegevoelige informatie als onderdeel van het informatiebeleid binnen de relatie te waarborgen wordt een Non Disclosure Agreement (NDA) vaak afgesloten. ‐ Lekken van informatie wordt tot een minimum beperkt door bijv offline backup procedures en richtlijnen volgens ISO 27001 norm. o ISO certificaten hebben een beperkt geldigheidsduur. Om de certificaat te behouden zul je dus om 3 jaar opnieuw moeten kunnen aantonen dat je aan de eisen voldoet. Goedlopende projecten: ‐ Klant en leverancier doen zaken op basis van vertrouwen, de lijnen zijn kort en informeel. Er zijn natuurlijk wel contracten, maar er wordt gekeken naar de geest van de wet (lees: contract). ‐ Volledig en tijdig informeren van de klant, waarbij de regel is om nooit de klant negatief te verrassen. ‐ Veelvuldig contact: e‐mail en face‐to‐face en telefoon. Belangrijke afspraken en vervolgacties dat in een face‐to‐face meeting is besproken en afgestemd zal ook na afloop in de mail worden teruggekoppeld, waardoor het vertrouwen binnen de relatie wordt gewekt dat men elkaar heeft begrepen en naar de geschepte verwachting en doelstelling wordt gewerkt. ‐ Voortgangsrapportages worden bij voorhand via powerpoint presentaties gecommuniceerd naar de klant. De klant weet op voorhand wanneer hij de resultaten kan verwachten. ‐ Fixed price, dan weet de klant op voorhand waar hij aan toe is. Slechtlopende projecten: ‐ Klant en leverancier doen zaken op basis van de gemaakte contractafspraken, alles wordt formeel vastgelegd. Hier ligt de nadruk op de letter van de wet (lees: contract). Volgens zijn ervaring kan je in een relatie niet alles vastleggen in contracten. Op een gegeven moment zal er altijd onenigheid en spanningen ontstaan over bijv de scope of onverwachte omstandigheden/ontwikkelingen binnen het uitbestedingsproject. De vraag is hoe beide partijen hiermee omgaan en bereid zijn binnen de dialoogvoering een toenadering naar elkaar weten te vinden. Ik denk dat je a.d.h.v. communicatie tussen de partijen snel kunt afleiden of een project goed of slecht loopt.
70 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Interview #4 Klantzijde: Bedrijf Telecom X Persoon: IT manager Datum: 18 okt 2013 Algemeen Vertrouwen kenmerken: ‐ Vertrouwen in een klant‐leverancier relatie vind hij een abstract begrip, want als het puntje bij het paaltje komt ga ja altijd beroep maken op het contract. Hij heeft een zeer goede relatie met accountmanagers van beide leveranciers die hij aanstuurt. Hij weet wat hun hobby’s zijn en dat bijvoorbeeld een van de account managers niet op z'n plekje zit en op zoek is naar een nieuwe uitdaging. ‐ Communiceren op basis van het Communicatiematrix. Als er iets gebeurt, ga dan eerst met de operationele verantwoordelijken aan de slag. Als je alsnog niet uitkomt, dan komen de volgende niveaus aan de beurt. ‐ Twee maal per jaar wordt er een klanttevredenheid onderzoek uitgevoerd. Het wordt besproken met het MT en maatregelen worden genomen. Bijvoorbeeld: vitaliteit is een topic wat uit zo’n onderzoek kwam. Er wordt een Workshop georganiseerd tijdens de Finance Day om precies te begrijpen wat medewerkers mee bedoelen en hoe ermee om te gaan. ‐ Business Consultants zijn de bruggen bouwers. Ze weten vaak veel mensen weten en met iedereen in gesprek zijn. Vaak zien ze iets op een congres, workshop of seminar en worden er gesprekken gestart voor de eventuele samenwerking. ‐ Transparant met elkaar communiceren. Vaak zijn ook 'buitenschoolse' activiteiten van belang, denk gezamenlijke borrels, bbq's, etc. ‐ Als de klant hun aanraadt bij z'n buren, collega's, familieleden. ‐ Bieden van uitstekende diensten en een goede customer service. Contract Management kenmerken: ‐ Ontbindingsvoorwaarden. Boeteclausules. Procedures. ‐ Wederzijdse verwachtingen betreffende service/product kwaliteit en communicatielijnen. ‐ SLA’s worden gehanteerd. ‐ Hun producten zijn vaak aan de duurdere kant. Daartegenover staat de beste kwaliteit. ‐ Betrouwbaarheid en kwaliteit is vaak belangrijk voor de klanten. "Voor een dubbeltje kun je niet op de eerste rij gaan zitten." ‐ Contract duur is Min is 1 jaar. Max is 4 jaar. ‐ Ze bouwen een demand organisatie en sturen op KPI’s zoals performance, betrouwbaarheid en tijdigheid. ‐ Draagvlak is zeer belangrijk bij een contract. Flexibiliteit die het contract biedt om af te wijken van de procedures en samen op zoek te gaan naar een oplossingsrichting in een bepaalde situatie is essentieel. Cultuur kenmerken: ‐ Verwachtingen van de klant worden door dashboards met de metingen aan te bieden en te bespreken met de klant. Alle verbetervoorstellen worden meegenomen en intern bekeken. ‐ Communicatie door e‐mails, conf calls, video calls, lync en face2face. ‐ In iedere project zitten er mensen met specifieke expertise, waaronder ook IT. Security kenmerken: ‐ Gezamenlijk doel definiëren. Wat levert het voor iedereen op, en waarom moeten we het nu doen? ‐ Vaak wordt een goed inhoudelijk verhaal verteld/gedragen door een iemand die een gunfactor heeft. ‐ Strak Security beleid met regels waar iedereen aan moet houden. 71 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
‐ ‐ ‐
Eigenaarschap is vaak gekoppeld aan een manager en vastgelegd in een IT Repository. Een hele afdeling houdt zich daarmee bezig. Allerlei standaarden op verschillende levels. Bedreigingen indentificeren en daartegen beveiligen. Het menselijke speelt ook een grote rol vooral bij fraude gevoelige verbanden. Alles moet volgens de Audit en Security richtlijnen gaan. Identity mgt, Acces control, etc…
‐ Goedlopende projecten: ‐ Helder contract. ‐ Helder doel en scope. ‐ Zoveel mogelijk face to face communicatie zowel transparant. ‐ Werken volgens Compliance regels. ‐ Wanneer Business Consultants goede bruggen bouwer zijn. ‐ Wanneer kennis wordt gedeeld door workshops, borrels en team building activiteiten. Slechtlopende projecten: ‐ Onvoldoende leverancier prestatie metingen. ‐ Wanneer medewerkers voelen zich onvoldoende betrokken. ‐ Onvoldoende of geen project eigenaarschap. ‐ Onvoldoende security beleid en security implementatie. ‐ Onvoldoende begrippen van culturele verschillen en misvertaling in context.
72 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Interview #5 Klantzijde: Bedrijf Telecom Y Persoon: IT manager Datum: 18 okt 2013 Algemeen: ‐ Goed vertrouwen binnen een relatie wordt gerelateerd met de volgende kenmerken: o Dit wordt met name gedreven door onderlinge wederzijdse afhankelijkheid. De klant is afhankelijk van IT en de leverancier afhankelijk van het commerciële aspect. Verschillende meetings waarbij beide partijen open kaart spelen. o Het contract is mijns inziens niet het juiste middel om vertrouwen te waarborgen omdat het contract bestaat uit met name juridische elementen. In de relatie naar de klant toe, wordt vertrouwen gewaarborgd door hoe pro‐actief een leverancier is en hoe de leverancier mee denkt met de klant om tot een oplossing te komen. o Engagement manager en business development manager zijn degene die direct invloed kunnen uitoefenen het vertrouwen binnen de relatie te versterken. o Mate van pro‐actief zijn, meedenken en luisterend vermogen. o Wanneer de klant nieuwe opdrachten aanbiedt en zijn tevredenheid concreet uitspreekt. o Vertrouwen wordt ook gestimuleerd door waarborging van informatiedeling en voorkoming van lekken van informatie: door gemeenschappelijk gebruik van een soort kennismanagement systeem. o Een korting op de prijs en aantonen dat dit welgemeend is en tevens een investering aan onze kant is, helpt om een gunfactor te realiseren. ‐ Contract Management: o Juridische aspecten als de definities van klant, leverancier, aansprakelijkheid, escalatie, wanbetaling worden meegenomen in het contract. o In de opbouw van het contact ervaren we onzekerheid over in hoeverre de klant ons een opdracht gunt. De zogenaamde gun factor is heel belangrijk en derhalve doen wij er alles aan om het vertrouwen te kweken door bijvoorbeeld referenties/trackrecord te tonen. o Onzekerheid wordt vaak bij de klant weggenomen door onze trackrecord te tonen en dat wij de business van de klant begrijpen. o Gemiddelde duur van het contract: Minimaal: 6 mnd, maximaal: onbeperkt, gemiddeld: 5 jaar. o Primaire prestatie‐indicatoren die in het contract worden vastgelegd zijn: beschikbaarheid/continuïteit van de dienstverlening. ‐ Waarborging van het informatiebeleid zoals lekkage van informatie: o Door beveiligingsmaatregelen op operationeel en technisch niveau inclusief bewustwording van intern personeel. o ISO 27001/2 normering. o Door back‐ups en door verbod op gebruik van draagbare mediadragers zoals USB sticks en encryptie van gegevens. o Door communicatie van dit beleid naar de klant toe en het meten van beveiligingsincidenten. Goedlopende projecten: ‐ voldoende communicatie, tijdig schakelen, pro‐actief, meedenken, goed luisteren en doorvragen. ‐ veelvuldige communicatie over voortgang en status (rapportage en mondelinge toelichting, e‐mail, conference calls, frequent intern overleg tussen functioneel en IT beheerders, interne rapportage tools om de indicatoren te meten). 73 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
‐
Kritieke succesfactoren van een goed contract: prijs, waarborgen van beschikbaarheid en performance.
Slechtlopende projecten: ‐ Inverse van de kenmerken van een goedlopend project.
74 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
Referenties Ackoff, R. (1999). Ackoff´s Best: His Classic Writings on Management. New York: Wiley. Aggestam, L. en Söderström, E. (2005). Managing Critical Success Factors in a B2B Setting, In: Karmakar en Isaías (eds.), Proceedings of the IADIS International Conference eCommerce 2005, Porto, Portugal, 15‐17 December, Pagina’s: 101‐108. Ahimbisibwe, A., Nangoli, S., en Tusiime, W. (2012). Moderating effect of buyer‐supplier trust on the relationship between outsourced formal contracts and supplier delivery performance: An empirical study of public sector procurement.International Journal of Business and Social Science, 3(17) Retrieved from http://search.proquest.com/docview/1115582148?accountid=13598 Alshawaf, A. en Khalfan, A (2003). IS/IT Outsourcing practices in the public sector of Kuwait: a contingency approach, Logistics Information Management, Volume 16, Issue 3, Pagina’s: 215‐ 228. Alvarez, S. A., Barney, J. B., en Bosse, D. A. (2003). TRUST AND ITS ALTERNATIVES. Human Resource Management, 42(4), 393‐404. Retrieved from http://search.proquest.com/docview/222065722?accountid=13598 Ang, S., Koh, C. en Tay, C (1999). Managing Vendor‐Client Expectations in IT Outsourcing: a Psychological Contract Perspective, In: Proceeding of the 20th international conference on Information Systems, Charlotte, North Carolina, United States, January 1999, Association for Information Systems, Pagina’s: 512‐517. Asif Pasha, A (2005). Measures for Assessing Risks in Global IT Outsourcing. Report HS‐IKI‐MD‐05‐006. School of Humanities and Informatics, University of Skövde, Sweden. Atkinson, C. (2007). Trust and the psychological contract. Employee Relations, 29(3), 227‐246. doi:http://dx.doi.org/10.1108/01425450710741720 Bahli, B. en Rivard, S (2005). Validating measures of information technology outsourcing risk factors. Omega, Volume 33, Issue 2, Pagina’s 175‐187. Balstrup, B., Berki, E., Georgiadou, E. en Siakas, K.V (2005). Global Software Development; the Dimension of Culture, In: Isaías, P., Nunes, M.B. en dos Reis, Peds. IADIS Virtual Multi Conference on Computer Science and Information Sys, 11‐29 April 2005, Pagina’s: 386‐391. Barthélemy, J. en Geyer, D (2001). IT Outsourcing: Evidence from France and Germany, European Management Journal, Volume 19, Issue 2, Pagina’s: 195‐202. Barthélemy, J (2003). The Hard and Soft Sides of IT Outsourcing Management. European Management Journal, Volume 21, Issue 5, Pagina’s 539‐548. Barthélemy, J. en Geyer, D (2005). An empirical investigation of IT Outsourcing versus quasi‐ outsourcing in France and Germany, Information and Management, Volume 42, Issue 4, Pagina’s: 533‐542. Beije, P.R., Mol, M.J. en van Tulder, R.J.M (2005). Antecedents and performance consequences of 75 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
international outsourcing, International Business Review, Volume 14, Issue 5, Pagina’s 599‐ 617. Beulen, E., Tiwari, V., en Eric, v. H. (2011). Understanding transition performance during offshore IT outsourcing. Strategic Outsourcing: An International Journal, 4(3), 204‐227. doi:http://dx.doi.org/10.1108/17538291111185449 Bharadwaj, S. S., Saxena, K. B. C., en Halemane, M. D. (2010). Building a successful relationship in business process outsourcing: An exploratory study. European Journal of Information Systems, 19(2), 168‐180. doi:http://dx.doi.org/10.1057/ejis.2010.8 Brandes, H., Brege, S. en Lilliecreutz, J (1997). Outsourcing – Success or failure? Findings from five case studies, European Journal of Purchasing & Supply Management, Volume 3, Issue 2, Pagina’s: 63‐75. Brooks, N. (2006). UNDERSTANDING IT OUTSOURCING AND ITS POTENTIAL EFFECTS ON IT WORKERS AND THEIR ENVIRONMENT.The Journal of Computer Information Systems, 46(4), 46‐53. Retrieved from http://search.proquest.com/docview/232574743?accountid=13598 Bryson, N. en Ngwenyama, O.K (1999). Making the information systems outsourcing decision: A transaction cost approach to analyzing outsourcing decision problems, European Journal of Operational Research, Volume 115, Issue 2, Pagina’s: 351‐367. Burley, L. en Scheepers, H (2004). Evaluating the Vendor Client Relationship in Information System Outsourcing, In: Isaías, P., Kommers, P. & McPherson, M eds. IADIS International Conference e‐Society 2004, Avila, Spain, 16‐19 July, Pagina’s: 639‐ 650. Carson, S., Madhok, A., Varman, R., en John, G. (2003). Information processing moderators of the effectiveness of trust‐based governance in interfirm R&D collaboration. Organization Science, 14(1), Pagina’s 45‐56. Chen, Q., Lin, 13., and Tu. Q. (2002). Global IT/IS Outsourcing: Expectations, Considerations and Implications. Advances in Competitiveness Research, 10(1), Pagina’s 100‐111. Chen, Y., en Bharadwaj, A. (2009). An empirical analysis of contract structures in IT outsourcing. Information Systems Research, 20(4), 484‐506,604. Retrieved from http://search.proquest.com/docview/208164590?accountid=13598 Chin, W.W. en Goles, T (2005). Information Systems Outsourcing Relationship Factors: Detailed Conceptualization and Initial Evidence, The DATABASE for Advances in Information Systems, Volume 36, Issue 4, Pagina’s: 47‐67.’ Colquitt, J., Scott, B en LePine, J. (2007). Trust, Trustworthiness, and Trust Propensity: A Meta‐ Analytic Test of Their Unique Relationships With Risk Taking and Job Performance. Journal of Applied Psychology. University of Florida, Pagina’s 909‐911. Cullen, S., Seddon, P.B. en Willcocks, L.P (2005). IT Outsourcing configuration: Research into defining and designing outsourcing arrangements, The Journal of Strategic Information Systems, Volume 14, Issue 4, Pagina’s: 357‐387. Currie, W.L. en Willcocks, L.P (1998). Analyzing four types of IT sourcing decisions in the context of 76 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
scale, client/supplier interdependency and risk mitigration, Information Systems Journal, Volume 8, Issue 2, Pagina’s: 119‐143. Dames, M.P. en Wittgreffe, J.P (2005). From desktop to data centre – addressing the OSS challenges in the delivery of network‐centric ICT services, BT Technology Journal, Volume 23, Issue 3, Pages: 65‐78. Dean Elmuti and, Y. K. (2000). The effects of global outsourcing strategies on participants' attitudes and organizational effectiveness. International Journal of Manpower, 21(2), 112‐128. Retrieved from http://search.proquest.com/docview/231914805?accountid=13598 Dibbern, J., Goles, T., Hirschheim, R. en Jayatilaka, B (2004). Information Systems Outsourcing: A Survey and Analysis of the Literature, The DATABASE for Advances in Information Systems, Volume 35, Issue 4, Pagina’s: 6‐102. Embleton, P. en Wright, P (1998). A practical guide to success outsourcing, Empowerment in Organisations, Volume 6, Issue 3, Pagina’s: 94‐106. Endorf, C (2004). Outsourcing Security: The Need, the Risks, the Providers, and the Process, Information Systems Security, Volume 12, Issue 6, Pagina’s: 17‐24. Feeny, D., Olson, N. en Willcocks, L (2006). Implementing Core IS Capabilities, European Management Journal, Volume 24, Issue 1, Pagina’s: 28‐37. Ghosh, A., en Fedorowicz, J. (2008). The role of trust in supply chain governance. Business Process Management Journal, 14(4), 453‐470. doi:http://dx.doi.org/10.1108/14637150810888019 Godwin, U (2000). Using analytic hierarchy process to analyze the information technology outsourcing decision, Industrial Management & Data Systems, Volume 100, Issue 9, Pagina’s: 421‐429. Goo, J. (2010). Structure of service level agreements (SLA) in IT Outsourcing: The construct and its measurement. Information Systems Frontiers, 12(2), 185‐205. doi:http://dx.doi.org/10.1007/s10796‐008‐9067‐6 Gorla, N., en Lau, M. B. (2010). WILL NEGATIVE EXPERIENCES IMPACT FUTURE IT OUTSOURCING? The Journal of Computer Information Systems, 50(3), 91‐101. Retrieved from http://search.proquest.com/docview/287966343?accountid=13598 Gottschalk, P. en Karlsen, J.T (2005). A comparison of leadership roles in internal IT projects versus outsourcing projects, Industrial Management & Data Systems, Volume 105, Issue 9, Pagina’s: 1137‐1149. Gottschalk, P. en Solli‐Saether, H (2005). Critical success factors from IT Outsourcing theories: an empirical study, Industrial Management & Data Systems, Volume 105, Issue 6, Pagina’s: 685‐ 702. Greaver, M (2013). Strategic Outsourcing. 2013. From http://www.outsource2india.com/why_outsource/articles/strategic.outsourcing.asp Greenberg, P. S., Greenberg, R. H., en Yvonne, L. A. (2008). The role of trust in the governance of 77 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
business process outsourcing relationships. Business Process Management Journal, 14(5), 593‐608. doi:http://dx.doi.org/10.1108/14637150810903011 Grey, S., Hall, T., Oza, N. en Rainer, A (2004). Critical Factors in Software Outsourcing – A Pilot Study, WISER ´04, Newport Beach, California, USA, November 2005, Pages: 67‐71. Grey, S., Hall, T., Oza, N.V. en Rainer, A (2006). Trust in software outsourcing relationships: An empirical investigation of Indian software companies, Information and Software Technology, Volume 48, Issue 5, Pagina’s: 345‐354. Hackney, R. en Hancox, M (2000). IT Outsourcing: frameworks for conceptualizing practice and perception, Information Systems Journal, Volume 10, Issue 3, Pagina’s: 217‐237. Hoecht, A. en Trott, P (2006). Innovation risks of strategic outsourcing, Technovation, Volume 26, Issue 5‐6, Pagina’s: 672‐681. Holste, J. S., en Fields, D. (2010). Trust and tacit knowledge sharing and use. Journal of Knowledge Management, 14(1), 128‐140. doi:http://dx.doi.org/10.1108/13673271011015615 Huynh, M.Q., Kwok, R.C.W., Lee, J.N. en Pi, S.M (2003). IT Outsourcing Evolution ‐ Past, Present and Future, Communications of the ACM, Volume 46, Issue 5, Pagina’s: 84‐89. Ibbott, C.J. en O’Keefe, R.M (2004) Trust, planning and benefits in a global interorganizational system, Information Systems Journal, Volume 14, Issue 2, Pagina’s: 131‐152. Ibrahim, M., en Ribbers, P. M. (2009). The impacts of competence‐trust and openness‐trust on interorganizational systems.European Journal of Information Systems, 18(3), 223‐234. doi:http://dx.doi.org/10.1057/ejis.2009.17 Jae‐Nam, L., en Young‐Gul, K. (1999). Effect of partnership quality on IS outsourcing: Conceptual framework and empirical validation. Journal of Management Information Systems, 15(4), 29‐ 61. Retrieved from http://search.proquest.com/docview/218921746?accountid=13598 Jonash, R. S. (1996). Strategic technology leveraging: Making outsourcing work for you. Research Technology Management,39(2), 19. Retrieved from http://search.proquest.com/docview/213808335?accountid=13598 Joyner, B.E., Payne, D. en Raiborn, C.R (2005). How to be a good global communicator, Journal of Corporate Accounting & Finance, Volume 16, Issue 6, Pagina’s: 19‐28. Justin, L. en Webb, L (2005). Crafting a successful vendor/client relationship, Business Process Management Journal, Volume 11, Issue 5, Pagina’s: 437‐443. Kadiyala, S. en Samaddar, S (2005). Information systems outsourcing: Replicating an existing framework in a different cultural context, Journal of Operations Management, In Press. Kakabadse, A. en Kakabadse, N (2005). Outsourcing: Current and Future Trends, Thunderbird International Business Review, Volume 47, Issue 2, Pagina’s: 183‐204. Karyda, M., Mitrou, E., en Quirchmayr, G. (2006). A framework for outsourcing IS/IT security 78 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
services. Information Management & Computer Security, 14(5), 402. doi:http://dx.doi.org/10.1108/09685220610707421 Kern, T. en Willcocks, L. (2000). Exploring information technology outsourcing relationships: theory and practice, The Journal of Strategic Information Systems, Volume 9, Issue 4, Pagina’s: 321‐ 350. Kern, T., en Willcocks, L. (2002). Exploring relationships in information technology outsourcing: The interaction approach.European Journal of Information Systems, 11(1), 3‐19. Retrieved from http://search.proquest.com/docview/218781511?accountid=13598 Khalfan, A.M (2003). A case analysis of business process outsourcing project failure profile and implementation problems in a large organisation of a developing nation, Business Process Management Journal, Volume 9, Issue 6, Pagina’s: 745‐759. Khalfan, A.M (2004). Information security considerations in IS/IT Outsourcing projects: a descriptive case study of two sectors, International Journal of Information Management, Volume 24, Issue 1, Pagina’s: 29‐42. Kim, D.J. en Lee, S.W (2004). Driving Factors and Barriers of Information and Communication Technology for E‐business in SMES: A Korean Perspective, In: Isaís, P ed., IADIS International Journal, Volume 2, Issue 2, Pagina’s: 16‐28. Klimoski, R.J. en Webber, S.S (2004) Client‐project manager engagements, trust, and loyalty, Journal of Organizational Behavior, Volume 25, Issue 8, Pagina’s: 997‐1013. Koh, C., Ang, S., en Straub, D. W. (2004). IT Outsourcing success: A psychological contract perspective. Information Systems Research, 15(4), 356‐373. Retrieved from http://search.proquest.com/docview/208157471?accountid=13598 Lacity, M.C. en Willcocks, L.P (1999). IT Outsourcing in insurance services: risk, creative contracting and business advantage, Information Systems Journal, Volume 9, Issue 3, Pagina’s: 163‐180. Lacity, M. C., Willcocks, L. P., en Rottman, J. W. (2008). Global outsourcing of back office services: Lessons, trends, and enduring challenges. Strategic Outsourcing: An International Journal, 1(1), 13‐34. doi:http://dx.doi.org/10.1108/17538290810857457 Lacity, M. C., Khan, S., Yan, A., en Willcocks, L. P. (2010). A review of the IT Outsourcing empirical literature and future research directions. Journal of Information Technology, 25(4), 395‐433. doi:http://dx.doi.org/10.1057/jit.2010.21 Langfield‐Smith, K. en Smith, D (2003). Management control systems and trust in outsourcing relationships, Management Accounting Research, Volume 14, Issue 3, Pagina’s: 281‐307. Lee, Matthew K.O. (1996). IT Outsourcing contracts: practical issues for management, Industrial Management & Data Systems, Volume 96, Issue 1, Pagina’s: 15‐20. Loh, L., and Venkatraman, N (1992). Diffusion of Information Technology Outsourcing: Influence Sources and the Kodak Effect, Information Systems Research (3:4), December 1992b, Pagina’s 334‐378. Luvison, D., en Bendixen, M. (2010). The behavioral consequences of outsourcing: Looking through 79 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
the lens of paradox. Journal of Applied Management and Entrepreneurship, 15(4), 28‐52. Retrieved from http://search.proquest.com/docview/848439881?accountid=13598 Mahnke, V., Mikkel, L. O., en Vang, J. (2005). Strategic outsourcing of IT services: Theoretical stocktaking and empirical challenges. Industry and Innovation, 12(2), 205‐253. Retrieved from http://search.proquest.com/docview/201466203?accountid=13598 Marko Kohtamäki, Vesalainen, J., Elina Varamäki, en Vuorinen, T. (2006). The governance of partnerships and a strategic network. Management Decision, 44(8), 1031. doi:http://dx.doi.org/10.1108/00251740610690603 Mathew, S. K. (2011). Mitigation of risks due to service provider behavior in offshore software development. Strategic Outsourcing: An International Journal, 4(2), 179‐200. doi:http://dx.doi.org/10.1108/17538291111148008 McFadzean, E., Jean‐Noel Ezingeard, en Birchall, D. (2007). Perception of risk and the strategic impact of existing IT on information security strategy at board level. Online Information Review, 31(5), 622. doi:http://dx.doi.org/10.1108/14684520710832333 Mei‐Ying, W., Yung‐Chien Weng, en I‐Chiao, H. (2012). A study of supply chain partnerships based on the commitment‐trust theory. Asia Pacific Journal of Marketing and Logistics, 24(4), 690‐707. doi:http://dx.doi.org/10.1108/13555851211259098 Nassimbeni, G., Sartor, M., en Dus, D. (2012). Security risks in service offshoring and outsourcing. Industrial Management + Data Systems, 112(3), 405‐440. doi:http://dx.doi.org/10.1108/02635571211210059 Parmigiani, A., en Mitchell, W. (2010). The hollow corporation revisited: Can governance mechanisms substitute for technical expertise in managing buyer‐supplier relationships? European Management Review, 7(1), 46‐70. doi:http://dx.doi.org/10.1057/emr.2009.28 Pearcy, D., Giunipero, L., en Wilson, A. (2007). A model of relational governance in reverse auctions. Journal of Supply Chain Management, 43(1), 4‐15. Retrieved from http://search.proquest.com/docview/235222583?accountid=13598 Pfleeger, C.P. en Pfleeger, S.L (2003). Security in computing, 3rd edition. US: Prentice Hall, Pearson Education, Inc. ISBN: 91‐630‐7263‐7. Poppo, L., en Zenger, T. (2002). Do formal contracts and relational governance function as substitutes or complements?Strategic Management Journal, 23(8), 707‐725. Retrieved from http://search.proquest.com/docview/225006497?accountid=13598 Qi, C., en Patrick Y.K. Chau. (2013). Investigating the roles of interpersonal and interorganizational trust in IT Outsourcing success. Information Technology & People, 26(2), 120‐145. doi:http://dx.doi.org/10.1108/ITP‐09‐2012‐0088 Sabherwal, R. (1999). The role of trust in outsourced is development projects. Association for Computing Machinery.Communications of the ACM, 42(2), 80‐86. Retrieved from http://search.proquest.com/docview/237053188?accountid=13598 Stefani, A., Tsakalidis, A., Tsaknakis, J. en Vassiliadis, B (2006). From application service provision to 80 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
service‐oriented computing: A study of the IT Outsourcing evolution, Telematics and Informatics, Volume 23, Issue 4, Pagina’s: 271‐293. Suseno, Y., en Ratten, V. (2007). A theoretical framework of alliance performance: The role of trust, social capital and knowledge development. Journal of Management and Organization, 13(1), 4‐23. Retrieved from http://search.proquest.com/docview/233255151?accountid=13598 Tian, Y., Lai, F., en Francis, D. (2008). An examination of the nature of trust in logistics outsourcing relationship. Industrial Management + Data Systems, 108(3), 346‐367. doi:http://dx.doi.org/10.1108/02635570810858769 Usoro, A., Sharratt, M. W., Tsui, E., en Shekhar, S. (2007). Trust as an antecedent to knowledge sharing in virtual communities of practice. Knowledge Management Research & Practice, 5(3), 199‐212. doi:http://dx.doi.org/10.1057/palgrave.kmrp.8500143 Volery, T., en Mensik, S. (1998). The role of trust in creating effective alliances: A managerial perspective. Journal of Business Ethics, 17(9), 987‐994. Retrieved from http://search.proquest.com/docview/198193834?accountid=13598 Wechsler, S (2002). How to outsource treasury functions successfully, Journal of Corporate Accounting & Finance, Volume 14, Issue 1, Pagina’s: 21‐26. Wiener, M (2006). Critical Success Factors of Offshore Software Development Projects. Gabler Edition Wissenschaft, Pagina’s 7‐11. Wickramasinghe, V., en Widyaratne, R. (2012). Effects of interpersonal trust, team leader support, rewards, and knowledge sharing mechanisms on knowledge sharing in project teams. VINE, 42(2), 214‐236. doi:http://dx.doi.org/10.1108/03055721211227255 Willcocks, L., Fitzgerald, G. en Feeny, D (1995). Outsourcing IT: The Strategic Implications. Long range Planning, Volume 28, Issue 5, Pagina’s: 59‐70. Willcocks, L. (2011). Machiavelli, management and outsourcing: Still on the learning curve. Strategic Outsourcing: An International Journal, 4(1), 5‐12. doi:http://dx.doi.org/10.1108/17538291111108408 Yildiz, M., en Öncer, A. Z. (2012). Narcissism as a moderator of the relationship between organizational trust and organizational citizenship behaviour. International Journal of Business and Social Science, 3(21) Retrieved from http://search.proquest.com/docview/1220693805?accountid=13598 Ying, F (2000). Strategic Outsourcing: Evidence from British companies, Marketing Intelligence & Planning, Volume 18, Issue 4, Pagina’s: 213‐219. Zhou, K. Z., Poppo, L., en Yang, Z. (2008). Relational ties or customized contracts? an examination of alternative governance choices in china. Journal of International Business Studies, 39(3), 526‐ 534. doi:http://dx.doi.org/10.1057/palgrave.jibs.8400363 81 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl
Oei, E.T.H. en Lau, M.F., Afstudeeropdracht PIO IT-Auditing, ESAA, 2014
82 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl