Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract

Transcriptie

1 Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract Bringing IT Back Home Afstudeerscriptie voor de Post-graduate IT Audit opleiding aan de Vrije Universiteit te Amsterdam Opstellers: Mariska Dubbeldam, Harry Braam en Maarten Eijkhout Scriptienummer: 909 Scriptiebegeleider: Tjakko de Boer RE CISA Bedrijfsbegeleider: Tom van de Ven RE Datum: 23 mei 2009 Versie: 1.21 Definitief

2 Voorwoord Deze scriptie is geschreven ter afsluiting van de Post-graduate IT Audit opleiding aan de Vrije Universiteit (VU) te Amsterdam. Het onderwerp van de afstudeerscriptie betreft: Beëindiging van IT uitbestedingscontracten. Het idee voor dit onderwerp is ontstaan vanuit de praktijk. Alle drie de auteurs hebben in hun dagelijkse werkzaamheden te maken (gehad) met uitbesteding: Mariska Dubbeldam is werkzaam bij het Universitair Medisch Centrum Groningen. Het UMCG heeft zijn IT in beperkte mate uitbesteed. Harry Braam is werkzaam bij ABN AMRO bank. ABN AMRO heeft zijn volledige IT uitbesteed, maar is inmiddels overgenomen door een consortium van drie banken. Deze banken hebben een andere visie op uitbesteding dan ABN AMRO had. Als gevolg daarvan wordt de IT-uitbesteding gedeeltelijk teruggedraaid. Dit proces is momenteel gaande. Maarten Eijkhout was werkzaam bij Shell als externe consultant en is, als onderdeel van een uitbestedingsconstructie, overgegaan naar één van de service providers: T-Systems. Tijdens de initiële brainstormsessies constateerden we dat, hoewel er al heel veel over IT-uitbesteding is geschreven, er nauwelijks literatuur te vinden is over het beëindigen van uitbestedingscontracten. Deze scriptie is een eerste aanzet dit gat te vullen. Als onderdeel van onze scriptie hebben wij een groot aantal personen mogen interviewen. Ruimtegebrek belet ons hier een ieder persoonlijk te noemen, maar wij willen via deze weg iedereen hartelijk bedanken voor hun tijd en waardevolle input op deze scriptie. De bereidwilligheid en openhartigheid waarmee zij ons te woord hebben gestaan maakten ons afstuderen behalve leerzaam ook leuk! Tenslotte, deze scriptie zou niet tot stand zijn gekomen zonder de begeleiding vanuit de VU door Tjakko de Boer en de begeleiding van onze bedrijfscoach Tom van de Ven (Audit manager, ABN AMRO). Hun scherpe, maar altijd opbouwende, kritiek zorgde ervoor dat we de rode draad door deze scriptie niet uit het oog verloren en heeft in hoge mate bijgedragen aan de kwaliteit en leesbaarheid van het eindresultaat. We willen hen hiervoor hartelijk danken. Amsterdam, maart Mariska Dubbeldam Maarten Eijkhout Harry Braam Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina ii

3 Samenvatting De eindfase van een IT-uitbestedingscontract, al dan niet voortijdig, is een precaire periode. Tijdens deze periode vindt onder andere overdracht van werk, kennis en assets plaats naar een andere service provider, of worden dezeweer in huis genomen. Het is een uitdaging om tijdens de overdracht hetzelfde niveau van dienstverlening te behouden. In toenemende mate beginnen uitbestedende organisaties zich te realiseren dat ze niet goed zijn voorbereid op de contractbeëindiging. Dit komt vooral doordat hier weinig aandacht voor is geweest tijdens de voorbereiding van het IT-uitbestedingstraject. Tijdens de voorbereiding is de aandacht vooral gericht geweest op het selecteren van de juiste leverancier en het opzetten van de regieorganisatie. Dit introduceert het risico dat wisseling van service provider bij contractbeëindiging duurder en tijdrovender wordt dan nodig is. In sommige gevallen resulteert het zelfs in (tijdelijke) verlenging van het contract bij de huidige service provider ondanks dat er betere alternatieven aanwezig zijn. Maatregelen om tot een soepele contractbeëindiging te komen, moeten daarom reeds bij het aangaan van het contract worden vastgesteld en geïmplementeerd. Deze afstudeerscriptie voor de Post-graduate IT Audit opleiding geeft aanbevelingen aan de uitbestedende organisatie zelf en aan (IT) auditors voor hun beoordeling van de mate waarin de uitbestedende organisatie is voorbereid op de beëindiging van het contract. Deze aanbevelingen zijn uit het onderzoek naar voren gekomen bij de beantwoording van de centrale onderzoeksvraag: Hoe blijft een organisatie in control na beëindiging van een uitbestedingscontract? Het onderzoek bestaat uit een literatuuronderzoek en een praktijkonderzoek. Het praktijkonderzoek bestaat uit dertien interviews met uitbestedende organisaties, uitbestedingsconsultants en service providers. Het onderzoek heeft geresulteerd in het identificeren van vijftien risicogebieden die van toepassing zijn op contractbeëindiging. Hierbij is kennisverlies als het belangrijkste risicogebied naar voren gekomen. Per risicogebied zijn vervolgens verschillende mitigerende maatregelen geïdentificeerd. Deze maatregelen bestaan uit een combinatie van contractuele maatregelen (bijvoorbeeld een exitclausule) als niet-contractuele maatregelen (bijvoorbeeld inrichting regieorganisatie). Ten aanzien van de beëindiging van een uitbestedingscontract kan een uitbestedende organisatie in control blijven door de volgende stappen te nemen: Tijdig onderkennen van het belang van een gestructureerde aanpak van de beëindiging. Hierbij zal de uitbestedende organisatie een risicoanalyse moeten uitvoeren waaruit blijkt welke risicogebieden voor hen van toepassing zijn. Daarna zal de uitbestedende organisatie moeten bepalen welke contractuele en niet-contractuele maatregelen relevant zijn om de geïdentificeerde risicogebieden af te dekken. De contractuele maatregelen zullen in het contract moeten worden opgenomen en de niet-contractuele maatregelen zullen in de organisatie moeten worden geïmplementeerd; Tijdens de contractperiode moeten de genomen maatregelen consequent worden uitgevoerd en gemonitored; Ruim voor het einde van de looptijd van het contract zal de uitbestedende organisatie moeten beginnen met de voorbereiding van de beëindiging en overgang. Het onderkennen van de in dit onderzoek vermelde risicogebieden helpt zowel de uitbestedende organisatie als de (IT) auditor te beoordelen in welke mate een uitbestedende organisatie in control is ten aanzien van de beëindiging van een uitbestedingscontract. Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina iii

4 Inhoudsopgave 1. Inleiding Aanleiding van het onderzoek Doelstelling Centrale onderzoeksvraag Aanvullende onderzoeksvragen Afbakening Onderzoeksmethode en aanpak Leeswijzer Uitbesteding (literatuurstudie) Inleiding Fasen in het uitbestedingsproces Redenen voor uitbesteding Risico s van uitbesteding Deelconclusies Contractbeëindiging (literatuurstudie) Inleiding Meest voorkomende redenen voor contractbeëindiging Risico s rond de beëindiging van een uitbestedingscontract Bevindingen per risicogebied: Kwaliteitsverlies Bevindingen per risicogebied: Financiële gevolgen Bevindingen per risicogebied: Tijdsverlies Waargenomen trends m.b.t. contractbeëindiging Deelconclusies Praktijkonderzoek: resultaten en vergelijking met literatuuronderzoek Inleiding Opzet praktijkonderzoek Bevindingen per risicogebied Bevindingen per risicogebied: Kwaliteitsverlies Bevindingen per risicogebied: Financiële gevolgen Bevindingen per risicogebied: Tijdsverlies Algemene observaties uit het praktijkonderzoek Onvoldoende aandacht voor contractbeëindiging volgens uitbestedende organisaties Trends die van invloed kunnen zijn op contractbeëindiging Opvallende observaties uit het praktijkonderzoek Deelconclusies Aanbevelingen voor de uitbestedende organisatie bij contractbeëindiging Inleiding Risicoanalyse Rol van de (IT) auditor Mitigerende maatregelen: Mitigerende maatregelen: Kwaliteitsverlies Mitigerende maatregelen: Financiële gevolgen Mitigerende maatregelen: Tijdsverlies Deelconclusies Conclusies: Beantwoording onderzoeksvragen Inleiding Onderzoeksvraag 1: Voldoende aandacht voor het beëindigen van contracten Onderzoeksvraag 2: Risico s bij het beëindigen van een IT-uitbestedingscontract Onderzoeksvraag 3: Mitigerende maatregelen Onderzoeksvraag 4: Trends die van invloed kunnen zijn op het beëindigen van contracten Centrale onderzoeksvraag: Hoe blijft een organisatie in control na beëindiging van een uitbestedingscontract? Aanbeveling voor verder onderzoek en persoonlijke reflectie Inleiding Aanbeveling voor verder onderzoek...43 Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina iv

5 7.3. Persoonlijke reflectie auteurs...43 Bijlagen...45 Bijlage 1: Literatuurlijst...45 Bijlage 2: Begrippenlijst...49 Bijlage 3: Interviewvragen Afstudeerscriptie Beëindigen van een uitbestedingscontract...52 Bijlage 4: Geanonimiseerde beschrijving van de geïnterviewde organisaties...54 Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina v

6 1. Inleiding 1.1. Aanleiding van het onderzoek Het uitbesteden van IT-diensten aan gespecialiseerde bedrijven, service providers, is inmiddels gemeengoed geworden. De voordelen van het uitbesteden van IT zijn, in ieder geval in theorie, talrijk: uitbestedende organisaties kunnen zich richten op hun kerncompetenties en hoeven geen tijd en managementcapaciteit te besteden aan IT. Daarnaast zijn de kosten inzichtelijk en afgestemd op de behoeften van de organisatie. Ook hoeven er geen grote investeringen meer te worden gedaan in vernieuwing van de hardware en heeft de uitbestedende organisatie geen zorgen meer om schaars en gespecialiseerd personeel aan te trekken en te behouden [Boldea, 2006]. Er kleven ook risico s aan het uitbesteden van IT. Hoewel uitbestedende organisaties IT niet als hun core business beschouwen, zijn hun primaire processen veelal in hoge mate afhankelijk van het goed functioneren van diezelfde IT. Daarmee zijn ze afhankelijk geworden van een externe partij voor de continuïteit van hun dienstverlening. Deze sterke afhankelijkheid maakt de relatie tussen uitbestedende organisatie en service provider bijna vergelijkbaar met een huwelijk. Maar wat nou als dit huwelijk eindigt? Hoe zorgt een uitbestedende organisatie ervoor dat ze ook nog na de scheiding de controle behoudt over haar eigen toekomst? Hoe wordt het risico vermeden dat een uitbestedende organisatie dermate afhankelijk is van zijn service provider dat de overgang naar een andere, commercieel aantrekkelijkere, service provider zeer tijdrovend, kostbaar of zelfs onmogelijk kan worden? Dit kan bijvoorbeeld optreden doordat alle kennis inmiddels bij de huidige service provider zit en er geen afspraken zijn over de overdracht van de kennis. Dit risico wordt des te groter wanneer de contractbeëindiging voortijdig plaatsvindt. In dat geval ligt er meestal een conflict aan ten grondslag en is de wederzijdse goodwill tot een minimum gedaald. Het is belangrijk dat uitbestedende organisaties zich van te voren realiseren dat een uitbestedingscontract per definitie eindig is en reeds bij het aangaan van de relatie maatregelen treffen voor de daaropvolgende periode. Om in gelijke termen te blijven: het is bij een uitbestedingshuwelijk niet aan te raden om in gemeenschap van goederen te trouwen, maar juist in de huwelijkse voorwaarden goed vast te leggen wat er moet gebeuren aan het einde van de relatie. Uit een recent onderzoek blijkt dat in 2008 en 2009 zes van de tien organisaties in Nederland hun uitbestedingscontracten zullen vervangen of verlengen [Sanders, 2007]. Een deel hiervan wordt voortijdig beëindigd [Beek, 2008_2]. In toenemende mate lijken uitbestedende organisaties zich nu te realiseren dat er (te) weinig aandacht is geweest voor contractbeëindiging en dat er maar weinig afspraken zijn gemaakt over de afwikkeling van de scheiding. Redenen hiervoor zijn onder andere het gebrek aan ervaring met het uitbesteden van IT, maar ook een vorm van naïviteit: de beëindiging is van later zorg; er moeten eerst nog zoveel andere zaken geregeld worden om ervoor te zorgen dat de uitbestedende organisatie in control blijft tijdens de duur van het contract dat de beëindiging ervan enigszins ondersneeuwt. Uit diverse case studies in de literatuur komt het beeld naar voren dat uitbestedende organisaties meestal tot in detail geregeld hebben hoe ze met de service provider omgaan tijdens de looptijd van het contract (SLA s, afgesproken rapportages, definitie van werkzaamheden, escalatieprocedures, etc.), terwijl er nauwelijks aandacht is voor de beëindiging van het contract. De bovenstaande observatie is aanleiding geweest voor het schrijven van deze scriptie Doelstelling Het doel van deze scriptie is om te onderzoeken welke risico s een uitbestedende organisatie loopt bij het beëindigen van een uitbestedingscontract en welke mitigerende maatregelen hiertegen getroffen kunnen worden. Dit moet resulteren in een set aanbevelingen waarmee de uitbestedende organisatie zelf of een (IT) auditor aan het begin van een uitbestedingscontract kan toetsen in hoeverre de uitbestedende organisatie is Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina 1 van 56

7 voorbereid op het beëindigen van het contract, welke risicogebieden nog nadere aandacht vereisen en over welke onderwerpen nog aanvullende afspraken moeten worden gemaakt met de toekomstige service provider. De aanbevelingen kunnen ook gebruikt worden bij assessments van al lopende uitbestedingscontracten. Hierbij kan de uitbestedende organisatie tussentijds de balans opmaken over zijn positie in geval van contractbeëindiging Centrale onderzoeksvraag Op basis van de hierboven beschreven aanleiding en doelstelling is de volgende centrale onderzoeksvraag geformuleerd: Hoe blijft een organisatie in control na beëindiging van een uitbestedingscontract? 1.4. Aanvullende onderzoeksvragen De centrale onderzoeksvraag zal worden beantwoord door eerst onderzoek te doen naar, en antwoord te geven op, de volgende onderzoeksvragen: 1. Is er, volgens de uitbestedende organisaties, tijdens de voorbereiding van IT uitbestedingstrajecten voldoende aandacht voor het beëindigen van contracten? 2. Welke risico s loopt de uitbestedende organisatie bij het beëindigen van een IT uitbestedingscontract? 3. Welke maatregelen kunnen worden toegepast om deze geconstateerde risico s te mitigeren? 4. Welke trends zijn er waarneembaar in de visie op uitbesteding die van invloed kunnen zijn op het beëindigen van contracten? 1.5. Afbakening Uitbesteding vindt op vele gebieden plaats, o.a. complete business processen, IT-diensten, schoonmaakdiensten of catering. Deze scriptie beperkt zich tot het uitbesteden van IT-diensten. De risico s en risicogebieden die worden geïdentificeerd in deze scriptie zijn afkomstig uit literatuuronderzoek en interviews met deskundigen op de desbetreffende gebieden. Hoewel we van mening zijn dat we hiermee de belangrijkste en meest risicovolle gebieden hebben geraakt, willen we, mede gezien de beperkte tijd die ons ter beschikking stond, niet pretenderen compleet te zijn in ons overzicht. In plaats van gedetailleerde stappenplannen op te leveren, is ervoor gekozen om per risicogebied op hoofdlijnen een aantal mitigerende maatregelen aan te reiken. Deze bieden een uitbestedende organisatie voldoende houvast om deze plannen zelf op te stellen, afgestemd op hun specifieke situatie Onderzoeksmethode en aanpak De volgende methoden en technieken zijn gebruikt bij het beantwoorden van de onderzoeksvragen: Literatuurstudie; Het houden van interviews (in totaal dertien): hierbij is gekozen voor drie invalshoeken: Interviews met vertegenwoordigers van uitbestedende organisaties; Interviews met vertegenwoordigers van service providers; Interviews met vertegenwoordigers van consultancybureaus die uitbestedingsprocessen begeleiden tot aan de contractondertekening. Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina 2 van 56

8 Onderzoeksvraag 1 is vooral bedoeld om een rechtvaardiging te vinden voor deze scriptie. Hij wordt beantwoord door middel van de literatuurstudie en interviewsessies. De onderzoeksvragen 2 en 3 resulteren in een set aanbevelingen waarmee de uitbestedende organisatie/ (IT) auditor aan het begin van een uitbestedingscontract kan toetsen in hoeverre de uitbestedende organisatie is voorbereid op het beëindigen van het contract. Hiervoor is de volgende aanpak gekozen: Eerst is een brede literatuurstudie uitgevoerd om mogelijke risicogebieden te identificeren; Daarna is per risicogebied gezocht naar relevante literatuur; Op basis hiervan zijn de theoretische aanbevelingen voor de uitbestedende organisatie/(it) auditor voor beëindiging van uitbestedingscontracten opgesteld. De aanbevelingen bestaan uit een verzameling van mogelijke risicogebieden met bijbehorende (globale) mitigerende maatregelen; Vervolgens zijn de interviews gehouden waarin de theoretische aanbevelingen zijn getoetst aan de praktijk van de geïnterviewden; De resultaten van de confrontatie van praktijk en theorie zijn verwerkt in de uiteindelijke aanbevelingen voor de uitbestedende organisatie/(it) auditor. Onderzoeksvraag 4 heeft vooral als doel om te toetsen of nieuwe trends en inzichten rondom het beëindigen van uitbestedingscontracten wel verwerkt zijn in de aanbevelingen. Hij wordt beantwoord door middel van de literatuurstudie en interviewsessies Leeswijzer Deze paragraaf geeft een korte introductie op het vervolg van deze scriptie: Hoofdstuk 2 presenteert de resultaten van de literatuurstudie over uitbesteding. Het doel is een korte achtergrond te schetsen van uitbesteding. Na een beschrijving van de verschillende fasen in het uitbestedingsproces wordt een overzicht gepresenteerd van de belangrijkste voordelen en risico s die kleven aan uitbesteding. Hoofdstuk 3 presenteert de resultaten van het literatuuronderzoek over contractbeëindiging. Het begint met een overzicht van de meest voorkomende redenen om uitbestedingscontracten (voortijdig) te beëindigen. Daarna gaat het in op de risico s die kleven aan beëindigen van uitbestedingscontracten. Per risicogebied wordt tevens een aantal mitigerende maatregelen uit de literatuur gepresenteerd. Daarna volgt een aantal overige bevindingen uit het literatuuronderzoek waaronder een overzicht van recente trends die zijn waargenomen op het gebied van uitbesteding en die van invloed zijn op het beëindigen van uitbestedingscontracten. De resultaten van dit hoofdstuk worden gebruikt bij de beantwoording van de onderzoeksvragen 1, 2, 3 en 4. Hoofdstuk 4 presenteert de resultaten van het praktijkonderzoek. Tijdens de interviewsessies is getoetst of en in hoeverre uitbestedende organisaties in een vroegtijdig stadium al aandacht besteden aan de contractbeëindiging. Tevens is getoetst of de risicogebieden, die geïdentificeerd zijn in hoofdstuk 3, ook in de praktijk voorkomen en welke mitigerende maatregelen uitbestedende organisaties hiertegen nemen. Eventuele verschillen tussen theorie en praktijk worden in dit hoofdstuk toegelicht. De resultaten van dit hoofdstuk worden gebruikt bij de beantwoording van de onderzoeksvragen 1, 2, 3 en 4. Hoofdstuk 5 presenteert de aanbevelingen voor de uitbestedende organisatie/(it) auditor voor beëindiging van uitbestedingscontracten. De aanbevelingen zijn een resultaat van zowel de literatuurstudie als het praktijkonderzoek. Ze bestaan uit de verzamelde mitigerende maatregelen per risicogebied. Hierbij wordt onderscheid gemaakt tussen afspraken die expliciet kunnen worden opgenomen in het uitbestedingscontract en aanvullende activiteiten die een uitbestedende organisatie kan ondernemen ter voorbereiding op de contractbeëindiging. De resultaten van dit hoofdstuk geven het antwoord op de onderzoeksvragen 2 en 3. Hoofdstuk 6 beantwoordt uiteindelijk de onderzoeksvragen met de resultaten uit de voorgaande hoofdstukken. Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina 3 van 56

9 Hoofdstuk 7 bevat de aanbeveling voor verder onderzoek en de persoonlijke reflectie van de auteurs op de totstandkoming van deze scriptie. Tenslotte is er een aantal bijlagen opgenomen: Bijlage 1 bevat het literatuuroverzicht dat gebruikt is bij het literatuuronderzoek. Bijlage 2 bevat een begrippenlijst met een overzicht van de gebruikte definities. Bijlage 3 bevat de gebruikte vragenlijst tijdens de interviewsessies. Bijlage 4 bevat een beknopte en geanonimiseerde beschrijving van de organisaties die de geïnterviewde personen vertegenwoordigen. Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina 4 van 56

10 2. Uitbesteding (literatuurstudie) 2.1. Inleiding Dit hoofdstuk geeft de resultaten van het uitgevoerde literatuuronderzoek weer. Er wordt ingegaan op de fasen in het uitbestedingsproces, redenen waarom organisaties overgaan tot uitbesteding en de risico s die ze hierbij tegenkomen. De doelstelling van dit hoofdstuk is de lezer een algemeen beeld te geven van uitbesteding op basis van het uitgevoerde literatuuronderzoek Fasen in het uitbestedingsproces In het proces tot uitbesteden kunnen de volgende fasen worden onderscheiden namelijk [Delen, 2005 en Platform Outsourcing Nederland]: Besluitvorming. In deze fase wordt bepaald welke processen kunnen worden uitbesteed en wordt nagegaan wat de voor- en nadelen van een eventuele uitbesteding zijn. Leveranciersselectie. Op basis van een programma van eisen en wensen wordt de beste leverancier gekozen. Het contract wordt afgesloten, waarna deze fase eindigt met de overdracht van de dienstverlening van de uitbestedende organisatie aan de service provider en het inpassen van deze dienstverlening in de organisatie van de service provider. Hierbij kunnen mensen en middelen vanuit de uitbestedende organisatie worden overgedragen aan de service provider. Bij de overdracht van de ITdienstverlening is het van belang dat er door de uitbestedende organisatie en de service provider gezamenlijk wordt opgetrokken en er een goed inzicht is in de huidige IT-infrastructuur en dienstverlening. Contractmanagement. De IT-dienstverlening wordt door de service provider uitgevoerd onder aansturing van de uitbestedende organisatie. Voor de aansturing van de service provider moet binnen de uitbestedende organisatie een regieorganisatie worden ingericht, waar het service management en het demand management worden ondergebracht: Service management. Over het algemeen is tijdens de contractonderhandelingen een Service Level Agreement (SLA) opgesteld, waarin het niveau van de dienstverlening is beschreven. De uitbestedende organisatie moet het niveau van de dienstverlening bewaken en, indien gewenst, aanvullende of andere afspraken maken met de service provider indien de behoefte aan bepaalde ITdiensten bij de uitbestedende organisatie wijzigt (service management). Het afgesloten contract moet echter wel ruimte bieden voor deze flexibiliteit. Demand management. Een goede relatie tussen de service provider en de uitbestedende organisatie wordt bevorderd indien duidelijk is, wat men van elkaar kan verwachten. De regieorganisatie vormt het aanspreekpunt voor de service provider en zorgt ervoor dat vragen/wensen vanuit de organisatie worden gebundeld en geprioriteerd. Contractbeëindiging. Om twee redenen kan het contract worden beëindigd: de contractduur is verstreken, of het contract wordt voortijdig opgezegd. Voordat een contract eindigt, moet worden nagedacht, of het contract bij de huidige leverancier wordt verlengd, een andere leverancier wordt gezocht (follow-up sourcing), of de IT-dienstverlening weer in huis wordt genomen (backsourcing). Volgens een onderzoek van het onderzoeksbureau Giarte [Giarte, 2008], worden veel contracten met een jaar verlengd als gevolg van gebrek aan tijd of aandacht Redenen voor uitbesteding Bij de afweging of de gehele IT-dienstverlening of onderdelen daarvan kunnen worden uitbesteed, moet een onderscheid worden gemaakt tussen kerncompetenties en commodities. Alles wat een organisatie tot zijn kerncompetenties rekent moet een organisatie niet uitbesteden, omdat hij daarmee zijn onderscheidend vermogen ten opzichte van zijn concurrenten kwijtraakt [Delen, 2005]. Commodities zijn standaardonderdelen waarmee een organisatie zich niet kan onderscheiden en die generiek op de markt worden aangeboden, bijvoorbeeld IT-infrastructuur. Voor uitbestedende organisaties is het noodzakelijk om van ieder uit te besteden onderdeel na te gaan of het tot een kerncompetentie of tot een commodity kan worden gerekend. Een organisatie kan zonder problemen commodities uitbesteden, omdat hierbij haar concurrentiekracht intact blijft. Het literatuuronderzoek heeft geleid tot diverse artikelen die ingaan op de Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina 5 van 56

11 redenen van bedrijven om over te gaan op uitbesteding. De verschillende redenen hebben wij verdeeld in de volgende groepen: Financiële motieven, Kwaliteit van de IT-dienstverlening en Concurrentiekracht van de organisatie. Financiële motieven Variabele kostenstructuur. De uitbestedende organisatie betaalt alleen voor de diensten die zij afneemt [Gonzales, 2008]. Dit betekent dat in geval van tijdelijke drukte geen extra personeel hoeft te worden ingehuurd omdat dit wordt opgevangen door de service provider. Andersom geldt dit ook voor een verminderde behoefte aan personeel. In geval van een investering in hardware (bijvoorbeeld extra geheugen) betaalt de uitbestedende organisatie alleen voor de extra afname van diensten en hoeft hij niet de gehele investering te financieren. De IT-kosten worden op deze wijze voor de loopduur van het contract transparanter (directe relatie met de afname bij de service provider) en beter voorspelbaar. Voor uitbestedende organisaties die niet hun middelen hebben overgedragen speelt dit motief een geringe rol omdat zij nog steeds verantwoordelijk zijn voor investeringen in de IT-infrastructuur. Alleen een tijdelijke, grotere, behoefte aan personeel zal door de service provider worden opgevangen. Transparantie van IT-kosten [Overby, 2007]. Bij het afsluiten van het contract is bij de uitbestedende organisaties bekend hoe hoog de IT-kosten zullen zijn voor de duur van het contract. Reductie van operationele kosten. Uitbestedende organisaties hebben vaak de verwachting dat zij aanzienlijk kunnen besparen op IT wanneer zij uitbesteden. Allereerst kunnen service providers IT-diensten voordeliger aanbieden dankzij hun schaalgrootte [Boldea, 2006]. Service providers kunnen hun personeel, IT-infrastructuur en licenties verdelen over verschillende accounts, waardoor de kosten per account worden verlaagd. Daarnaast worden uitbestedende organisaties niet meer geconfronteerd met hoge investeringen in IT omdat zij alleen diensten afnemen van de service providers (zie bovenstaand punt over de variabele kostenstructuur). De verkoop van middelen (hard- en software, gebouwen) aan een service provider levert een eenmalige kapitaalinjectie op. Dit kan erg aantrekkelijk zijn indien de uitbestedende organisatie kampt met een hoge schuldenlast of kapitaal nodig heeft voor andere investeringen [Sanders, 2007_2]. De uitbesteding van de IT-afdeling van KPN naar Atos Origin had als hoofddoel het verkrijgen van een eenmalige kapitaalinjectie. Kwaliteit van de IT-dienstverlening Core business voor service provider. De interne IT-afdeling binnen een organisatie wordt als ondersteunend gezien waardoor het management minder tijd en geld aan IT zal besteden. Voor service providers is IT-dienstverlening hun core business waardoor er meer aandacht zal zijn om bijvoorbeeld door opleidingen het kennisniveau van de medewerkers te behouden en te verhogen. Daarnaast kunnen service providers meer doorgroeimogelijkheden bieden aan IT-specialisten [Gonzales, 2008]. Beschikbaarheid personeel. Service providers zijn in staat om meer specialisten aan te trekken, omdat zij vanwege de schaalgrootte specialisten kunnen verdelen over meerdere accounts. Daarnaast is het voor sommige uitbestedende organisaties moeilijk dan wel kostbaar om IT-specialisten aan te trekken en te behouden in de huidige arbeidsmarkt; dit kan voor hen een reden zijn om over te gaan tot uitbesteding [Giarte, 2008]. Service providers kennen dit probleem echter ook, namelijk door een toenemende vraag naar IT-diensten en een dalende instroom in de IT-opleidingen [Es, 2008]. Het is aannemelijk, dat ITspecialisten eerder voor een service provider zullen kiezen vanwege de grotere doorgroeimogelijkheden. Bij het uitbreken van de huidige crisis, is de beschikbaarheid van personeel geen argument meer om over te stappen naar een service provider. Door een sterk afgenomen vraag naar IT-diensten en ontslagen bij service providers, is het momenteel gemakkelijker om IT-personeel aan te trekken. Innovatiekracht. Service providers hebben meer mogelijkheden om te innoveren. Door de schaalgrootte wordt het voor hen eerder aantrekkelijker om innovatiemogelijkheden toe te passen [Gonzales, 2008]. Concurrentiekracht van de organisatie Richten op kerncompetenties. Door het uitbesteden van de IT kan de uitbestedende organisatie zich richten op haar kerncompetenties waardoor zij sneller in staat zou moeten zijn om bijvoorbeeld een nieuw product in de markt te zetten of te reageren op fluctuaties in de vraag [Gonzales, 2008]. Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina 6 van 56

12 2.4. Risico s van uitbesteding In de voorgaande paragraaf zijn de voordelen van uitbesteding verdeeld in drie groepen. In deze paragraaf worden, aan de hand van dezelfde indeling, de risico s van uitbesteding benoemd. Financiële motieven Door een viertal oorzaken kan het financiële voordeel lager uitvallen dan verwacht: Meerwerk. De kosten vallen voor de uitbestedende organisatie hoger uit als gevolg van het meerwerk dat door de service provider in rekening wordt gebracht. Vooral in het geval dat het afgesloten contract te weinig voordelen biedt voor de service provider zal hij ertoe neigen om zoveel mogelijk meerwerk te identificeren en in rekening te brengen. Volgens een onderzoek van Gartner bedraagt het meerwerk gemiddeld 50% van het afgesloten contract [Scheffel, 2004]. Wijzigende behoefte. De behoefte aan de hoeveelheid IT-dienstverlening kan bijvoorbeeld door een veranderende organisatie wijzigen nádat het contract is afgesloten. Indien het contract niet flexibel is opgesteld is de uitbestedende organisatie, in geval van een verminderde vraag, relatief gezien duur uit. Een toegenomen vraag is geen probleem, daar de service provider er belang bij heeft een aanvullend contract af te sluiten [Gonzales, 2008]. Ook kan de afgesproken contractprijs voor de geleverde diensten na enkele jaren niet meer marktconform zijn. Voorbeelden hiervan zijn de prijzen voor CPU power en opslagcapaciteit die over de jaren heen sterk dalen. Aanwezigheid regieorganisatie. De uitbestedende organisatie moet mensen in dienst houden om het contract te managen en vragen uit de organisatie te bundelen en te prioriteren richting de service provider (regiefunctie). Deze kosten zullen toenemen bij multi-vendor sourcing. Met deze coördinerende kosten heeft een organisatie doorgaans geen rekening gehouden. Verborgen IT-kosten. Uitbestedende organisaties komen er vaak na het afsluiten van het contract achter dat zij geen rekening hebben gehouden met IT-dienstverlening door decentrale afdelingen. Hiervoor moet aanvullende dienstverlening worden ingekocht bij de service provider, waardoor de uiteindelijke ITkosten hoger uitvallen [Delen, 2005]. Kwaliteit van de IT-dienstverlening Personeel blijft hetzelfde. Als een uitbestedende organisatie voor het eerst zijn IT-dienstverlening uitbesteedt, gaat het IT-personeel, met uitzondering van enkele medewerkers voor de aansturing, vaak over naar de service provider. Indien dit personeel door de service provider alleen wordt ingezet voor de dienstverlening aan de betreffende uitbestedende organisatie en er geen vermenging plaatsvindt met het overig personeel van de service provider, dan zal de uitbestedende organisatie niet kunnen profiteren van een verhoogd kennisniveau. Daarnaast kan onder het overgeplaatste IT-personeel weerstand ontstaan tegen de gedwongen overplaatsing. Hierdoor wordt de kwaliteit van het werk beïnvloed [Overby, 2005_2]. Kwaliteit van het personeel. Een service provider besluit, na het binnenhalen van een contract, om daar niet meer de beste mensen in te zetten, maar slechts op accounts die nog binnengehaald moeten worden. Ook is het denkbaar dat deze situatie zich voordoet bij het aflopen van een contract waarvan de service provider weet dat dit niet verlengd gaat worden [Gonzalez, 2008]. Generieke oplossingen. Vanwege de schaalgrootte is een service provider in staat IT-dienstverlening aan te bieden tegen een scherp tarief. Hij zal dan ook die technologie gaan toepassen waarbij hij zoveel mogelijk klanten kan bedienen. Dit hoeft niet de beste oplossing voor een specifieke klant te zijn [Gonzalez, 2008]. Innovatie kost in eerste instantie geld. Een service provider innoveert alleen als hij hiervan de toegevoegde waarde inziet. Indien een service provider niet innovatief is ingesteld, profiteert ook de uitbestedende organisatie niet van de (mogelijke) vooruitgang. [Overby 2007_2]. Kloof tussen uitbestedende organisatie en service provider. De service provider begrijpt de uitbestedende organisatie niet en stelt de verkeerde prioriteiten waardoor frustratie bij de uitbestedende organisatie over de geleverde IT-dienstverlening ontstaat [Giarte, 2008]. Concurrentiekracht van de organisatie Kerncompetenties worden uitbesteed. De concurrentiekracht van een organisatie wordt juist verlaagd wanneer achteraf blijkt dat, door voortschrijdend inzicht of veranderende marktomstandigheden, een kerncompetentie is uitbesteed aan een externe partij. Door het uitbesteden van een kerncompetentie raakt men invloed kwijt op de uitvoering hiervan en kan men zich niet meer onderscheiden ten opzichte van Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina 7 van 56

13 concurrenten. Een voorbeeld hiervan was KPN die zijn IT-dienstverlening had uitbesteed aan Atos Origin [Delen, 2005]. Ontbreken van innovatie. Veelal wordt in contracten wel het niveau en volume van dienstverlening vastgelegd en niet bijvoorbeeld de mate waarin de service provider innovatie moet toepassen. Op de lange termijn zou dit kunnen leiden tot een afname van de productiviteit en een verslechtering van de concurrentiepositie [Gonzalez, 2008]. Continuïteit van de IT-dienstverlening loopt gevaar. Wanneer eenmaal de beslissing is genomen om te gaan uitbesteden is het kostbaar en tijdrovend om de IT-dienstverlening zelf weer in huis te gaan uitvoeren (backsourcing). Het benodigde personeel moet worden aangetrokken en een IT-infrastructuur moet worden opgebouwd [Gonzalez, 2008]. Daarnaast brengt een eventueel faillissement van de service provider grote risico s met zich mee voor de continuïteit van de IT-dienstverlening van de uitbestedende organisatie. Eventuele overgedragen middelen en eigendomsrechten van ontwikkelde of in ontwikkeling zijnde applicaties kunnen hierbij een extra punt van aandacht zijn. Minder controle op vertrouwelijke informatie. Een uitbestedende organisatie heeft minder controle op privacygevoelige en bedrijfskritische informatie op de servers van de service provider [Boldea, 2006]. Indien deze informatie in de openbaarheid wordt gebracht kan de uitbestedende organisatie reputatieschade ondervinden Deelconclusies Uit het literatuuronderzoek blijkt dat de geïdentificeerde voordelen van uitbesteden tegelijkertijd ook risico s met zich meebrengen waartegen de uitbestedende organisatie mitigerende maatregelen dient te nemen. De reden om te gaan uitbesteden wordt vaak ingegeven door financiële motieven. Het verwachte financiële voordeel blijkt echter vaak tegen te vallen. Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina 8 van 56

14 3. Contractbeëindiging (literatuurstudie) 3.1. Inleiding Dit hoofdstuk bevat de resultaten van het literatuuronderzoek naar de beëindiging van uitbestedingscontracten. Zoals reeds eerder gesteld, komt aan elk uitbestedingscontract een einde. Op dat moment bestaat er een keuze om verder te gaan met dezelfde provider, het contract over te hevelen naar een andere provider (follow-up sourcing) of het werk weer zelf uit te voeren (backsourcing). De uiteindelijke keuze hangt niet alleen af van de mogelijkheden bij de eventuele nieuwe service provider, maar ook van de beperkingen in de vorm van afhankelijkheid van de huidige service provider. In hoeverre deze afhankelijkheid een rol speelt voor de uiteindelijke keuze wordt in sterke mate bepaald door de mate waarin er maatregelen getroffen zijn om de afhankelijkheid te beperken. De literatuur beschrijft slechts in beperkte mate mislukte beëindigingen van uitbestedingscontracten. Uitbestedende organisaties die geconfronteerd worden met problematische situaties rond de beëindiging proberen de reputatieschade hiervan zoveel mogelijk te beperken door zo weinig mogelijk details openbaar te maken. De openbare informatie blijkt zich vaak te beperken tot de mededeling dat het contract beëindigd is. Hierdoor is de hoeveelheid informatie in de literatuur over werkelijke risico s en redenen niet in ruime mate aanwezig. Vaak bestaat het uit informatie die door uitbestedingsconsultants op een generiek niveau wordt beschreven en uit informatie uit de tweede hand. Dit hoofdstuk begint met een overzicht uit de literatuur van de meest voorkomende redenen voor het beëindigen van uitbestedingscontracten. Daarna volgt een overzicht van risicogebieden die van toepassing zijn op het beëindigen van uitbestedingscontracten die geïdentificeerd zijn tijdens het literatuuronderzoek. Dan volgt een aantal algemene bevindingen uit het literatuuronderzoek die van belang zijn bij de beantwoording van de onderzoeksvragen 1 en 4. Tenslotte worden in de deelconclusies de resultaten van dit hoofdstuk gebruikt bij de deelbeantwoording van onderzoeksvragen 1, 2, 3 en Meest voorkomende redenen voor contractbeëindiging Hoewel het aantal uitbestedingsdeals nog steeds toeneemt, stelt een studie van Gartner uit 2008 dat 70% van alle uitbestedingscontracten in meer of mindere mate onbevredigend zijn voor de uitbestedende organisatie [Vest, 2008]. Volgens diezelfde studie zal 10% daarvan vroegtijdig worden beëindigd. Veel uitbestedende organisaties blijken niet tevreden te zijn met de geleverde diensten door hun service provider. In sommige gevallen is de onvrede terecht en worden de afspraken in SLA s niet nagekomen. In andere gevallen is de onvrede niet terecht. De afspraken uit de SLA s worden wel nageleefd, maar de uitbestedende organisatie had toch meer verwachtingen. De regieorganisatie is dan blijkbaar niet in staat geweest om binnen de eigen organisatie duidelijk te maken wat wel en wat niet van de service provider mag worden verwacht en om hier draagvlak voor te creëren [Dekhuijzen, 2006]. Echter, perceptie is bepalend en teleurstelling over niet uitgekomen verwachtingen (terecht of onterecht) leidt veelal tot (vroegtijdige) beëindiging van het uitbestedingscontract. Voor contractbeëindiging worden daarom in een aantal gevallen dezelfde redenen genoemd als bij het aangaan van de uitbestedingsrelatie. Hieronder volgt een overzicht uit de literatuur van de meest voorkomende redenen waarom uitbestedingsdeals (vroegtijdig) zijn/worden beëindigd. Hierbij zijn dezelfde hoofdgroepen uit paragrafen 2.3 en 2.4 aangehouden: Financiële motieven Kostenbesparing niet gerealiseerd: Kostenbesparing was vaak de voornaamste drijfveer van de eerste generatie uitbestedingscontracten. Helaas werd deze in de praktijk vaak niet gehaald. Hier zijn twee hoofdredenen voor: Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina 9 van 56

15 Meerwerk: de service provider was, om het contract maar in de wacht te slepen, akkoord gegaan met een voor hem ongunstige prijsstelling. Het berekenen van meerwerk werd hierdoor voor hem de enige mogelijkheid om toch zijn winstmarges te halen. Als gevolg hiervan werd de uitbesteding uiteindelijk toch veel duurder voor de uitbestedende organisatie dan verwacht [Overby, 2007]; Verborgen kosten: Uitbesteding blijkt veel verborgen kosten met zich mee te brengen waar aanvankelijk geen rekening mee was gehouden. Voorbeelden hiervan zijn: Het service provider selectietraject zelf: selectie van service provider is zeer kostbaar en tijdsintensief [Gonzales, 2008]; Transitiekosten: tijd die interne medewerkers kwijt zijn bij het helpen van de service provider (o.a. kennisoverdracht. Ook blijkt dat in de beginperiode van de transitie systemen vaker en langer niet beschikbaar zijn. Dit komt door kennisgebrek bij service provider waardoor het oplossen van verstoringen langer duurt; Extra verborgen kosten door de noodzaak om veelvuldig af te stemmen zoals: telecommunicatie, reiskosten, verblijfskosten [Vest, 2008]. Kosten van verborgen IT: binnen een uitbestedende organisatie zijn, naast de centrale IT afdeling, vaak verschillende lokale IT afdelingen actief. De kosten hiervan komen meestal niet terug in het centrale IT budget. Na uitbesteding worden deze verborgen IT kosten echter transparant wanneer de service provider alle IT activiteiten in rekening brengt. Hierdoor kan (ten onrechte) de perceptie ontstaan dat de service provider veel duurder is dan een eigen IT afdeling. Managen van uitbestedingscontract kost (te) veel tijd Een belangrijke reden om uit te besteden is dat uitbestedende organisaties zich willen richten op hun core competenties en geen tijd willen investeren in processen die ze niet als primair zien. Deze organisaties zijn teleurgesteld als blijkt dat het managen van een uitbestedingscontract toch substantieel veel tijd en managementaandacht kost. Volgens een studie uit 2006 blijkt dat een uitbestedende organisatie gemiddeld tussen de 8% en 20% van zijn managementcapaciteit kwijt is aan het managen van de uitbestedingscontracten, afhankelijk van de professionaliteit van de regieorganisatie. Dit percentage kan nog oplopen in geval van complexe multi-vendor sourcing [Maughan, 2006]. Daarnaast kost het opstellen van requirements voor een externe partij meer tijd dan voor een interne IT-afdeling. Een interne IT-afdeling heeft in de regel veel achtergrondkennis van zowel de IT-systemen als de achterliggende businessprocessen. Zeker in het geval van offshoring moeten de requirements veel explicieter opgesteld worden dan men voorheen gewend was. Hoewel expliciete requirements zeker een positieve invloed zullen hebben op de succesrate van IT-projecten is door uitbestedende organisaties toch vaak niet gerekend op deze extra tijd. Dit kan zorgen voor teleurstelling ten aanzien van de uitbesteding [Baal, 2007]. Kwaliteit van de IT-dienstverlening Ontevredenheid over de kwaliteit van de IT-dienstverlening kan ook worden veroorzaakt door cultuurverschillen tussen de uitbestedende organisatie en de service provider. Dit geldt in het bijzonder in geval van offshoring, waar deze verschillen versterkt worden door de grote afstand en verschillende tijdszones [Baal, 2007; Flinders, 2009]. Een veelgehoorde klacht over offshoring in bijvoorbeeld India is de passieve houding van de lokale medewerkers. In Nederland is het gebruikelijk dat programmeurs kritisch kijken naar de specificaties en in geval van onduidelijkheden om opheldering vragen [Lizatec, 2009]. Lokale medewerkers in offshore landen zullen dit veel minder snel doen. Het gevolg is dat niet altijd wordt opgeleverd wat wordt verwacht, ondanks dat het volgens de letter van de specificaties wel klopt. De hieruit voortvloeiende noodzaak om alle requirements zeer gedetailleerd te specificeren kost veel tijd en wordt extra bemoeilijkt vanwege verschillende tijdzones, grote afstand en taalbarrière. Dit resulteert in langere tijdslijnen wat al snel de ontevredenheid bij de uitbestedende organisatie vergroot. Daarnaast is het verloop onder medewerkers in typische offshore locaties zoals India zeer groot. Hierdoor verdwijnt kennis bij de service provider wat een negatief effect heeft op de opleversnelheid en kwaliteit [Sanders, 2007_3]. Concurrentiekracht van de organisatie Uitbesteding leidt niet tot een snellere time-to-market: In de literatuur wordt het snel kunnen inspelen op nieuwe ontwikkelingen in de markt vaak als reden voor uitbesteding genoemd. Er is echter een aantal redenen waardoor uitbesteding juist tot een langere time-tomarket leidt: Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina 10 van 56

16 Voorafgaand aan de uitbesteding zaten de business en IT-afdelingen vaak dicht op elkaar. De IT-afdeling hielp vaak mee bij het opstellen van functionele eisen omdat ze veel kennis hadden van de business processen. In geval van problemen volstond meestal een telefoontje naar de IT-afdeling om het probleem op te lossen. Bij uitbesteding worden deze trajecten veel formeler. De business moet zelf requirements opstellen die veel gedetailleerder zijn dan voorheen. Bij operationele problemen volstaat een snel telefoontje niet meer, maar moeten in plaats daarvan formele procedures worden gevolgd. Bij offshoring wordt dit nog eens extra bemoeilijkt vanwege verschillende tijdzones en grote afstand. Hierdoor worden de werkprocessen bureaucratischer, zullen opleveringen vertragen en neemt de time-to-market af [Dirven, 2008]. In de gevallen waar het contract of de SLA geen uitsluitsel biedt, kunnen langdurige discussies ontstaan over wat meerwerk is en wat niet. Dit gebeurt vooral als de service provider geld blijft verliezen op de deal. Alle acties worden dan vertraagd door de commerciële onderhandelingen. De vele discussies, de capaciteit die dit van de uitbestedende organisatie vraagt en de vertraagde oplevering leiden al snel tot ontevredenheid bij de uitbestedende organisatie [Overby, 2005]. Deze situatie komt vaak voor bij uitbestedende organisaties die tijdens de contractonderhandelingen (te) sterk op de kosten hebben gestuurd. Gebrek aan innovatie door service provider Een belangrijke reden om IT uit te besteden is de verwachting dat een service provider veel zal doen aan technische innovatie, aangezien IT zijn kerncompetentie is. De uitbestedende organisatie hoopt door toepassing van innovatieve technieken een concurrentievoorsprong te krijgen (ook al heeft hij vaak niet echt een beeld bij wat die innovaties dan zouden moeten zijn). In de praktijk blijkt dat een service provider nauwelijks proactief op zoek gaat naar nieuwe technieken, maar er meer bij gebaat is te wachten totdat de huidige hardware is afgeschreven [Overby, 2007_2]. Het gebrek aan innovatie door de service provider kan een reden te zijn om het uitbestedingscontract te beëindigen. Hiermee samenhangend poneert Windrum de stelling dat uitbesteding het innovatieve vermogen van een organisatie reduceert [Windrum, 2006]. De gedachte hierachter is dat de processen binnen een organisatie in modules kunnen worden opgesplitst. Door vervolgens met deze modules te spelen (overlap verminderen, volgorde wijzigen, wijzigen van inputs en van outputs, etc.) zijn organisatorische innovaties mogelijk. Door uit te besteden wordt een aantal processen (de IT-processen) buiten de invloedsfeer van de organisatie geplaatst. Hierdoor wordt dus ook het aantal modules waarmee kan worden gespeeld verminderd waardoor ook de mogelijkheden tot innovatie worden beperkt. Casus: MEPA: In 1995 sloot de Metropolitan Pier and Exposition Authority (MEPA) uit Chicago een uitbestedingscontract met RedSky technologies voor het leveren van Network en Internet diensten. Op dat moment zag de MEPA deze diensten niet als core business. Dit veranderde eind 90 er jaren toen een enorme vraag naar deze diensten ontstond van klanten van MEPA. Echter de service provider RedSky had geen interesse in de uitbreiding van zijn uitbestedingactiviteiten en was niet genegen te innoveren om aan de veranderende vraag van MEPA te voldoen. Uiteindelijk is dit contract een jaar voor de feitelijke afloop voortijdig beëindigd [Overby, 2003]. Overige motieven Looptijd uitbestedingscontract verstreken Hoewel deze reden triviaal lijkt, heeft het grote gevolgen voor overheidsinstanties die hun IT hebben uitbesteed. Zij zijn namelijk verplicht door de wet op Europese aanbestedingen om een nieuw aanbestedingstraject op te starten. Hierdoor hebben ze niet de mogelijkheid een bestaand contract zonder meer te verlengen, zelfs als ze tevreden zijn over hun service provider. Aanleiding voor uitbesteding is gewijzigd Het kan voorkomen dat door veranderende omstandigheden de aanleiding om te gaan uitbesteden is verdwenen. In die gevallen is het beëindigen van het contract een logische keuze: Verandering van strategische visie van de uitbestedende organisatie: Een veel voorkomende reden voor uitbesteding is dat het in eigen beheer houden van de IT-afdeling niet (meer) past in de strategische visie van een organisatie. Als deze visie wijzigt, is dat een reden om de uitbesteding te beëindigen: Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina 11 van 56

17 Casus: Washington Mutual en IBM: Tijdens de groei van Washington Mutual was uitbesteding nodig omdat de eigen (IT) organisatie de groeisnelheid niet aankon. Echter, de marktomstandigheden veranderden waardoor de groei terugliep. Om deze veranderde omstandigheden het hoofd te bieden, werd de strategische visie aangepast en kwam de focus te liggen op klanttevredenheid. Een consequentie van de nieuwe visie was dat het uitbestedingscontract werd beëindigd, waarna de IT terug in huis is genomen [Overby, 2003]. Casus: KPN en Atos Origin: Een ander voorbeeld is het Nederlandse KPN. KPN had in 2001, na het betalen van de, achteraf bezien, veel te hoge prijs voor UMTS-frequenties, zeer dringend liquide middelen nodig. Als noodgreep, om niet ten onder te gaan, verkocht het bedrijf toen alle assets die maar mogelijk waren, inclusief de IT-dienstverlening. Echter, op verzoek van vele klanten besloot KPN dat het bieden van een totaalpakket aan IT-diensten weer tot de kerncompetenties moest gaan horen. Onder andere om deze reden kocht KPN in 2007 service provider Getronics op en begon met het terugnemen in eigen beheer van de IT-diensten die waren uitbesteed aan Atos Origin [Sanders, 2007_2]. Fusies en overnames: Indien de uitbestedende organisatie te maken krijgt met een fusie of overname kan de nieuw ontstane organisatie besluiten dat uitbesteding niet meer binnen hun beleid valt [Overby, 2005_2]. Casus: ABN AMRO: De Nederlandse ABN AMRO bank heeft een groot deel van zijn IT uitbesteed aan verschillende vendors met een totale waarde van ongeveer 2.1 miljard euro over een looptijd van vijf jaar. In 2007 werd de bank overgenomen door een consortium van drie banken. Eén van deze banken (Royal Bank of Scotland, (RBS)) vindt dat IT, hoewel geen kerncompetentie, dusdanig belangrijk is voor het functioneren van de bank dat uitbesteding niet binnen hun strategie past. Momenteel is de RBS bezig met backsourcing van de IT-activiteiten uit het gedeelte dat zij hebben gekocht [Toet, 2008_2] Risico s rond de beëindiging van een uitbestedingscontract In de literatuur worden veel redenen aangegeven waarom uitbestedingscontracten niet succesvol zijn en niet eenvoudig kunnen worden beëindigd (zie ook paragraaf 3.2). Wanneer de beëindiging niet soepel verloopt, kan dit onder andere financiële schade opleveren en reputatieschade veroorzaken. De problemen die ontstaan bij de beëindiging worden vaak veroorzaakt door het onvoldoende onderkennen of afdekken van risico s. In de literatuur worden diverse van deze risico s genoemd, zowel in algemene, beschouwende essays over uitbesteding als in specifieke casussen. Regelmatig komt het voor dat uitbestedende organisaties zich tijdens de uitbestedingsperiode realiseren dat ze bepaalde zaken omtrent beëindiging en transitie beter hadden moeten regelen bij het afsluiten van het contract, bijvoorbeeld door deze in de exitclausule op te nemen. Ook risico s die niet contractueel af te dekken zijn, worden soms al duidelijk tijdens de uitbestedingsperiode. Als dit bijtijds wordt onderkend, kunnen er soms nog maatregelen worden genomen. In werkelijkheid worden de problemen vaak pas duidelijk wanneer de beëindiging van het contract moet worden geregeld. Dit leidt dan regelmatig tot (al dan niet kortdurende) verlengingen van het contract. Het niet onderkennen van deze risico s kan tot gevolg hebben dat de uitbestedende organisatie afhankelijk blijft van de service provider (zogenaamde vendor lock-in ) In het hiernavolgende wordt regelmatig gesproken over de exitstrategie en exitclausule. De exitclausule is dat deel van het contract dat de contractuele afspraken in het uitbestedingscontract, gericht op de beëindiging, bevat. Buiten de exitclausule kan het contract ook nog andere afspraken bevatten die van invloed zijn op een succesvolle beëindiging. Naast de contractuele afspraken zijn er ook andere maatregelen die kunnen worden getroffen buiten het contract om. Dit zijn over het algemeen maatregelen die te maken hebben met interne organisatie, personeelsbeleid, communicatie met de vendor en kennisbehoud in de uitbestedende organisatie. De combinatie van contractuele afspraken en niet-contractuele maatregelen wordt hier de exitstrategie genoemd. Tezamen vormen deze het raamwerk voor de uitbestedende organisatie om het contract succesvol te kunnen beëindigen. De exitstrategie is dus het overkoepelende begrip. Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina 12 van 56

18 Hieronder worden de uit de literatuur geïdentificeerde risicogebieden beschreven. De risicogebieden zijn ingedeeld in drie categorieën, waarbij gekeken is op welk van de volgende aspecten het onvoldoende afdekken van het risicogebied de grootste impact heeft: kwaliteitsverlies, financiële gevolgen en tijdsverlies. Sommige risicogebieden vallen onder meerdere categorieën. In deze gevallen is er voor gekozen om ze in te delen bij de categorie waar het onvoldoende afdekken van het risicogebied de grootste impact heeft Bevindingen per risicogebied: Kwaliteitsverlies 1. Kennisverlies Veel van de risico s rondom de beëindiging van het contract bevinden zich op het gebied van kennisverlies. Uitbestedende organisaties kunnen geneigd zijn om het punt van kennisbehoud te verwaarlozen aangezien ze de IT-diensten hebben uitbesteed omdat het veelal geen kerncompetenties meer zijn. Het kennisverlies kan zich op meerdere terreinen afficheren: a) Gebrek aan inzicht in de configuraties. Met de uitbesteding kan de kennis verloren gaan over welke assets zich waar bevinden en hoe die zijn geconfigureerd. Dit gebrek aan kennis verhoogt de afhankelijkheid van de (huidige) service provider en maakt een aanbiedingstraject met een nieuwe service provider moeilijker. Wanneer de huidige omgeving niet goed bekend is, is het immers lastig voor een leverancier om een goede aanbieding te doen voor de support hiervan. Risico: financiële risico s door afhankelijkheid van de huidige service provider. Hierdoor is het moeilijk een goed aanbiedingstraject te doorlopen. Mitigerende maatregel: bijhouden van configuratie van assets in CMDB. b) Gebrek aan architectuurkennis. Met het uitbesteden van infrastructuurbeheer ontstaat het risico van kennisverlies op het gebied van architectuur. Dit wordt mede gevoed door een gebrek aan een natuurlijke kweekvijver voor personeel in de organisatie zelf. Daardoor gebeurt het regelmatig dat de architectuurkennis in de uitbestedende organisatie door externe medewerkers wordt bijgehouden. Bij reorganisaties zullen zij vaak als eersten worden ontslagen waardoor die kennis verloren gaat. Bij gebrek aan voldoende architectuurkennis ontstaat er een afhankelijkheid op kennisgebied van de service provider en zal de architectuurontwikkeling bij de service provider niet meer voldoende kunnen worden gestuurd. Hierdoor verliest de uitbestedende organisatie de controle over de richting van de ontwikkelingen. Het zou bijvoorbeeld kunnen gebeuren dat de technologieontwikkelingen bij de service provider uitsluitend plaatsvinden in een richting die voordeel oplevert voor de service provider. Risico: onvoldoende business opportunities kunnen benutten door gebrek aan moderne technologiekennis of doordat de migratiestap te groot is geworden vanwege achterstallige ontwikkelingen. Risico: personeel voor architectuurvraagstukken loopt een verhoogd ontslagrisico bij de eerstvolgende reorganisatie omdat ze niet tot de kerncompetenties gerekend worden. Mitigerende maatregel: bestendig positie van architecten in organisatie. c) Onvoldoende beschikbaarheid sleutelpersonen tijdens transitieperiode. De sleutelpersonen binnen de service provider met cruciale kennis van de klant of van de gebruikte technologieën zullen voldoende beschikbaar moeten zijn voor de overdracht van de werkzaamheden. Vaak zijn deze personen multi-inzetbare medewerkers. De latende service provider zal deze willen inzetten voor andere accounts en daarvoor in de plaats minder goed ingevoerde medewerkers beschikbaar willen stellen. Risico: kennisverlies door gebrek aan kwaliteit bij overdracht. Risico: verminderde beschikbaarheid van systemen door tekortschietende kennisoverdracht van de kritieke systemen. Mitigerende maatregel: vastleggen dat bij naam genoemde sleutelpersonen op het account moeten blijven werken. Mitigerende maatregel: overname personeel (bijvoorbeeld onder de Wet Overgang Onderneming) d) In het geval van offshoring is normaliter personeel niet meer terug te halen of over te dragen bij einde contract [Overby, 2007]. Bij nearshoring, waarbij al het personeel meestal is overgegaan naar een service provider, bestaat de mogelijkheid dat het personeel teruggehaald wordt of naar een volgende service provider overgaat als het contract wordt beëindigd. Hierbij geldt de EU regeling Wet Overgang Onderneming. Risico: onvoldoende geschikt personeel beschikbaar. Mitigerende maatregel: - Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina 13 van 56

19 2. De overdraagbaarheid en onderhoudbaarheid van de ontwikkelde software is onvoldoende Bij uitbesteding van de ontwikkeling van applicaties is het van belang om zorg te dragen voor onderhoudbaarheid en overdraagbaarheid van de applicatie aan het eind van het uitbestedingscontract. Hierbij is het van belang om een bepaalde ontwikkelmethodiek en documentatiemethode aan te houden. Risico: beschikbaarheid van de applicatie is niet gegarandeerd door beperkte onderhoudbaarheid bij overdracht naar een andere partij. Risico: financiële risico s ontstaan doordat de afhankelijkheid van de huidige service provider zo hoog is dat er geen goed biedingstraject meer kan worden gestart met eventuele andere vendors. Mitigerende maatregel: afspreken dat een vastgelegde, gangbare ontwikkelmethodiek wordt gebruikt. Mitigerende maatregel: afspreken dat documentatie volledig en up-to-date is. 3. Geen medewerking van de latende service provider bij de overdracht Wanneer de beslissing is genomen om het contract te beëindigen zullen werkzaamheden moeten worden overgedragen [Overby, 2003]. Op dit moment is de service provider mogelijk niet meer gemotiveerd om veel energie in documentatie, training en consultancy te steken voor dit verloren werk. Als gevolg hiervan zal er kennisverlies optreden met mogelijk gevolgen voor een succesvolle overdracht en de periode daarna. Er dienen daarom duidelijke afspraken te zijn hoe de service provider gaat meewerken. Risico: kennisverlies door gebrek aan kwaliteit bij de overdracht. Risico: verminderde beschikbaarheid van infrastructuur doordat de nieuwe service provider de benodigde informatie om deze goed te beheren niet of te laat krijgt opgeleverd. Mitigerende maatregel: vastleggen verplichting service provider om tegen bepaald uurtarief mee te werken aan de overdracht. 4. Onvoldoende systeembeveiliging tijdens en na transitieperiode Tijdens en na de overgang naar een andere service provider (of bij backsourcing) bestaat het risico dat personeel van de service provider toegang heeft tot data die voor hen ontoegankelijk zou moeten zijn. Hierbij kunnen gevoelige gegevens weglekken. Er zal een duidelijke strategie moeten zijn ten aanzien van het wijzigen van wachtwoorden en het intrekken van toegangsrechten tijdens de transitieperiode. Risico: databeveiligingsrisico s zoals vertrouwelijkheid, integriteit en beschikbaarheid. Risico: financiële risico s in de (her)onderhandeling doordat service provider mogelijk kennis kan nemen van de gevolgde strategie (dit is een gevolg van het vertrouwelijkheidsrisico). Mitigerende maatregel: ontwikkel user access policy en voer deze ook uit tijdens de overgang. 5. Onzekerheid personeel. Rond de beëindiging van het contract kan er veel onzekerheid bij personeel ontstaan. Dit speelt zowel aan de zijde van de service provider als ook aan de zijde van de uitbestedende organisatie. Deze onzekerheid kan ongewenste personeelsmobiliteit veroorzaken van personen met kritieke competenties. Risico: verlies aan belangrijke kennis (zowel kwalitatief als kwantitatief) die benodigd is voor de overdracht. Mitigerende maatregel: direct communiceren naar personeel van voorgenomen plannen en genomen beslissingen Bevindingen per risicogebied: Financiële gevolgen 6. Eigendomsrechten van ontwikkelde applicaties zijn niet vastgelegd Wanneer applicatieontwikkeling is uitbesteed moeten er duidelijke afspraken zijn over het eigendom van de ontwikkelde applicaties. Dit is van belang om de applicaties te kunnen blijven gebruiken na de beëindiging van het contract. Als dit niet gebeurt, kunnen er langdurige juridische conflicten ontstaan over het eigendom. Dit kan tot gevolg hebben dat de applicaties slechts moeizaam beschikbaar kunnen blijven voor de uitbestedende organisatie. Risico: de service provider kan de gebouwde applicaties aan anderen beschikbaar gaan stellen waardoor concurrentievoordeel verloren gaat. Risico: imagoschade door juridische conflicten. Risico: hoge kosten die juridische procedures met zich meebrengen. Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina 14 van 56

20 Risico: gebrek aan beschikbaarheid en onderhoudbaarheid van applicaties door de onduidelijkheid rondom het eigendom van de sourcecode. Risico: financiële onzekerheid, bijvoorbeeld door de noodzaak van tijdelijke maatregelen of nieuw te ontwikkelen applicaties. Mitigerende maatregel: contractueel vastleggen wie de eigenaar van de applicaties is. Mitigerende maatregel: afspreken escrowregeling. 7. Onduidelijkheid over gemaakte afspraken door zwakke regieorganisatie Als de regieorganisatie onvoldoende sterk optreedt, zowel naar de service provider toe als intern naar de eigen organisatie, zal de aansturing van de service provider weinig gecoördineerd verlopen [Dekhuijzen, 2006]. Hierdoor ontstaat het risico dat commerciële beslissingen ten aanzien van de relatie niet op het juiste niveau, in de juiste samenhang en met de juiste belangenafwegingen worden genomen. Door onvoldoende invulling van het demand management zal de organisatie geen duidelijk overzicht bezitten van wat het van een service provider nodig heeft. Risico: veel tijd nodig om een overzicht te krijgen van wat er commercieel afgesproken is met de huidige service provider. Risico: decentrale aansturing maakt gecoördineerde afspraken met nieuwe service provider moeilijk waardoor het contract minder scherp wordt dan nodig is. Risico: gebrek aan IT-ondersteunde business innovatie. Mitigerende maatregel: professionalisering van regieorganisatie door voldoende management support en door het inrichten van een voldoende sterke managementstructuur van de regieorganisatie. 8. Onvoldoende vastlegging opzeggingsgronden en afwezigheid escalatieprocedure Als de redenen tot voortijdige beëindiging van het contract niet voldoende duidelijk zijn vastgelegd in het contract, kan er al snel onenigheid ontstaan tussen partijen over de rechtmatigheid van de opzegging [Dekhuijzen, 2006]. Beide partijen kunnen in dit geval rechtszaken overwegen die de beëindiging vertragen en imagoschade kunnen veroorzaken door de (relatieve) openbaarheid waarin deze plaatsvinden. Risico: vertraging beëindiging door onzekerheid over rechtmatigheid beëindiging. Risico: imagoschade door rechtszaken. Mitigerende maatregel: vastleggen van opzeggingsgronden. Mitigerende maatregel: vastleggen welke escalatieprocedure doorlopen moet worden bij een geschil. Mitigerende maatregel: vastleggen van externe arbitrage bij een geschil Bevindingen per risicogebied: Tijdsverlies 9. Infrastructuurvervlechting en onduidelijkheid over het eigendom van de infrastructuur Vaak zal de service provider applicaties willen consolideren en delen met infrastructuur voor andere klanten. Op die manier kan de service provider schaalvoordelen creëren. Te denken valt bijvoorbeeld aan gezamenlijk gebruik van routers, blade servers voor virtualisatie, storage hardware en dergelijke. In het algemeen is er ook veel geld gemoeid met de overdracht van licenties en apparatuur. Daarom is het belangrijk dat er duidelijke afspraken zijn over de waarde van deze assets. Deze verwevenheid van infrastructuur kan onduidelijkheid veroorzaken ten aanzien van wat er benodigd is bij de nieuwe service provider en kan de migratie bemoeilijken. Risico: tijdsverlies bij overdracht. Risico: onverwachte kosten door verkeerde inschatting van benodigde infrastructuur of de waarde van de over te dragen infrastructuur. Mitigerende maatregel: bijhouden van assets en hun financiële waarde in CMDB. Mitigerende maatregel: vastleggen terugkoopregeling met inbegrip van waardevermindering van de assets. 10. Vertraging in lopende projecten bij voortijdige beëindiging Op het moment dat een voortijdige beëindiging voor het eerst wordt besproken, kan dit een omslagpunt in het gedrag van de service provider veroorzaken [Overby, 2005]. Het risico bestaat dat de service provider vanaf dat moment geen activiteiten meer wil ontplooien die extra kosten opleveren, zoals projecten en investeringen. Dit gebeurt omdat de service provider niet meer verliezen wil maken dan nu mogelijk al Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract pagina 15 van 56