Verschuivende verantwoordelijkheden

Transcriptie

1 DE IMPACT VAN BRING YOUR OWN Verschuivende verantwoordelijkheden BBring Your Own (BYO) of Bring Your Own Device (BYOD) is een thema dat veel CIO s en IT-managers bezighoudt. Naast mobiele toepassingen en cloud computing ziet Gartner het als één van de belangrijkste technologische ontwikkelingen voor 2012 [GART11-1]. BYO komt voort uit de consumerization van de IT waar de consumententechnologie zich sneller ontwikkelt dan de zakelijke ICT-omgevingen. Een belangrijke consequentie hiervan is dat medewerkers vaak beter uitgerust zijn dan de organisatie waar ze werken. Werknemers nemen dan ook graag hun eigen apparatuur mee naar de werkomgeving. Bring Your Own Device betekent ook niets meer dan je eigen apparaat gebruiken. Je neemt je smartphone, tablet of laptop mee, sluit hem (draadloos) aan op het bedrijfsnetwerk en je kunt werken. In de praktijk is dit vaak alleen niet zo eenvoudig. De digitale infrastructuur en applicaties moeten hiervoor worden aangepast, de organisatie gaat anders werken, beheer moet worden geregeld en afspraken met de medewerkers moeten worden gemaakt. De impact van BYO op een organisatie en haar manier van werken, is in potentie groot. CHRIS WAUTERS EN LANCELOT SCHELLEVIS Er zijn al verschillende artikelen verschenen over BYO, maar vaak vanuit één perspectief, met een duidelijke voorkeur om het wel of vooral (nog) niet te doen. In dit artikel geven we een overzicht van de kansen en vraagstukken waar je als IT- beslisser mee te maken krijgt en geven we daarbij een handreiking hoe BYO te implementeren. BRING YOUR OWN: WAT IS HET? Door het goedkoper worden van mobiele apparaten voor de consument is het consumentengebruik en bezit van laptop, smartphone en tablet fors toegenomen. Medewerkers zijn privé meer en meer gewend om met verschillende applicaties te werken. Als gevolg hiervan nemen medewerkers de eigen apparatuur ook mee naar de werkomgeving. Ze kunnen overal met hun eigen apparaat op het bedrijfsnetwerk en hebben zodoende altijd beschikking over relevante gegevens, werkmail en programma s. Het meebrengen en gebruiken van de eigen apparatuur en software zijn de twee belangrijkste kenmerken van BYO. Het toenemende gebruik van de smartphone en tablets heeft al veel organisaties ertoe bewogen BYO volledig of gedeeltelijk in te voeren. Bedrijven zoals IBM, Cisco, Nike, Onderzoek en cijfers over Bring Your Own Het laatste jaar zijn er verschillende onderzoeken gepubliceerd over de toepassing van BYO. In november 2011 publiceerde Citrix een Internationaal onderzoek dat werd uitgevoerd bij 700 IT-beslissers. Volgens het onderzoek van Citrix loopt Nederland voorop met BYO: 30 procent van de Nederlandse werknemers binnen het bedrijfsleven gebruikt een privéapparaat voor zijn werk en dit percentage zal komende jaren verder stijgen [CITR11]. Cisco presenteerde in maart 2012 cijfers op basis van een enquête in vijf Noord-Europese landen: België, Denemarken, Noorwegen, Zweden en Nederland. Zowel het onderzoek van Citrix als Cisco laten zien dat bijna de helft van alle organisaties op dit moment actief beleid ontwikkelt op het gebied van BYO [CISC12]. Schiphol Group en overheidsorganisaties zoals de Eerste Kamer, Rijkswaterstaat en de Belastingdienst experimenteren onder andere met het gebruik van smartphones en tablets. HET NIEUWE WERKEN: ORGANISATIE IN VERANDERING Het denken over BYO loopt enigszins parallel aan de invoer van Het Nieuwe Werken (HNW). HNW is het plaats- en tijdonafhankelijk werken. de IT-Auditor nummer

2 In het verlengde hiervan werken veel medewerkers graag met eigen apparatuur die ze zelf hebben uitgezocht. Ook de introductie van flexplekken in organisaties zorgt ervoor dat medewerkers hun eigen apparatuur meenemen en niet een vaste desktopcomputer gebruiken. BYO is dan al snel het logische gevolg. Ondanks dat BYO vaak samen gaat met HNW, is het HNW geen voorwaarde voor BYO. Een organisatie kan heel goed kiezen HNW door te voeren, maar wel aan iedere medewerker een standaard telefoon of laptop verstrekken. Ook de opkomst van cloud computing maakt het toepassen van BYO eenvoudiger. Gegevens en programma s staan steeds vaker in de cloud, zijn apparaatonafhankelijk en via internet overal opvraagbaar. Hierdoor is het makkelijker om software naar keuze te gebruiken in plaats van de software die de werkgever aanbiedt. De werknemer heeft nu alleen nog een internetverbinding nodig om aan de slag te gaan. Hoe BYO doorwerkt op een organisatie hangt erg af van de toepassing en de aanwezige cultuur. Je kan ervoor kiezen om medewerkers volledig verantwoordelijk te maken voor het eigen beheer of om technische ondersteuning te bieden. Ook zijn er verschillende manieren om onkostenvergoeding te verstrekken en zijn er diverse concepten van beveiliging van (data)systemen mogelijk. Daarbij werken sommige organisaties met specialistische software terwijl anderen slechts kantoorautomatisering nodig hebben. Een organisatie kan ook een variant van BYO kiezen en Choose Your Own (CYO) toepassen. De medewerker kan dan uit een aantal mogelijkheden kiezen en heeft niet volledige keuzevrijheid. In de praktijk zullen afspraken met werknemers dus per organisatie verschillen en toepassing van BYO-beleid is zodoende niet overal hetzelfde. Desondanks is er een aantal impactgebieden te beschrijven waarmee iedere organisatie in meer of mindere mate rekening moet houden. En niet iedere organisatie houdt al rekening met BYO. Uit onderzoek van Cisco in vijf Noord-Europese landen bleek dat een op de vijf organisaties (21 procent) nog helemaal onvoorbereid is op BYO. In Nederland ligt dat percentage op 14 procent [CISC12]. De verandering zit ook niet alleen in het aanpassen van de IT-infrastructuur, maar de impact op een organisatie is veel breder. In onze ogen is een integrale benadering nodig, waarna het management gedegen over BYO kan beslissen. Dit zetten we in de volgende paragraaf uiteen. IMPACTGEBIEDEN VAN BRING YOUR OWN Als elke medewerker zijn eigen apparatuur met zich meeneemt, heeft dit effect op zowel de medewerker als de organisatie. Het is dan ook raadzaam om van te voren een goede analyse te maken van de impactgebieden voordat BYO wordt geïmplementeerd. Wij onderscheiden zes impactgebieden: organisatie, personeel, digitale infrastructuur, beveiliging, financiën en juridische aspecten. Organisatie Het zelf laten uitkiezen van een telefoon, het meenemen van de eigen laptop, het werken met eigen software. Dit zijn allemaal verschillende uitingen van BYO. Medewerkers gaan anders werken, werken vanuit meerdere locaties, zijn beter bereikbaar en beïnvloeden daarmee de organisatie. BYO verschuift de verantwoordelijkheid voor aanschaf en beheer van apparatuur. Deze komt (gedeeltelijk) bij de werknemer te liggen en de ICTafdeling is niet langer als enige betrokken bij het aanschaffen en beheren van de ICT-voorziening. Ook als er geen BYO-beleid is, nemen vooral jongere medewerkers hun eigen apparaten mee, die ze (draadloos) verbinden of proberen te verbinden met de netwerkvoorzieningen. Dit maakt dat het bijna onvermijdelijk is om over BYO na te denken en hiervoor beleid te ont- wikkelen. Bij het opstellen van BYObeleid is het belangrijk dat er gelet wordt op aspecten als beveiliging, schade en aansprakelijkheid en dat wordt gekeken naar welke bedrijfsfuncties wel en niet van buiten benaderd mogen worden. De verantwoordelijkheid van de werknemer neemt aanzienlijk toe, het is daarom erg verstandig om afspraken te maken met medewerkers over hoe met BYO om te gaan. Verder is een periodieke risicoanalyse nodig, op basis waarvan het management de risico s kan afwegen en maatregelen kan nemen. Daarbij moet een organisatie niet vergeten om reserveapparaten beschikbaar te hebben, voor als iemand zijn device is vergeten. Sociale ongelijkheid is een ander punt waarmee rekening gehouden moet worden. Niet iedere medewerker kan optimaal gebruikmaken van BYO. Dit kan liggen aan de aard van het werk, te kort aan technische vaardigheden of een gebrek aan (financiële) middelen. Volgens onderzoek van Citrix vinden organisaties de verhoogde tevredenheid van medewerkers, een hogere productiviteit en mobiliteit, een flexibele werkomgeving en vermindering van de ICT-kosten de belangrijkste voordelen van BYO. Beveiligingsvraagstukken, ondersteuning van verschillende apparaten en systemen, implementatiekosten en het Provincie Noord-Brabant heeft een BYO-pilot lopen voor de mobiele telefonie. De provincie levert de sim-kaart en het abonnement en de medewerker zorgt voor de telefoon. Deelname aan het programma is vrijwillig en de medewerker krijgt een vergoeding en een telefoonabonnement. Projectmanager Hugo van Roermund zegt hierover: We maken goede afspraken met medewerkers en gaan uit van de eigen verantwoordelijkheden. Ook gaan we binnenkort kijken hoe we het BYO-beleid kunnen toepassen op het gebruik van de laptop en tablet. De provincie is zich bewust van de beveiligingsrisico s en om de kosten te beheersen, controleren ze op basis van dataverbruik. 22 de IT-Auditor nummer

3 gebruik van niet toegestane applicaties worden als de grootste aandachtspunten gezien [CITR11]. Personeel Een veelvoorkomende reden om BYO in te voeren is het verhogen van de medewerkerstevredenheid. Iedereen kan dan kiezen voor een apparaat dat optimaal aansluit bij zijn behoeften en manier van werken. Vooral voor het aantrekken van jong personeel heeft dit een positieve uitstraling omdat zij veelal gewend is om te werken met en te schakelen tussen verschillende apparatuur. Het is daarmee goed voor het imago van de organisatie en aantrekkelijk voor nieuwe medewerkers. Voorstanders zijn van mening dat ook de productiviteit zal toenemen omdat medewerkers kiezen voor apparaten waarmee ze het prettigst en snelst werken, mits ze overal op het netwerk kunnen inloggen. Daarmee krijgt de medewerker veelal ook de verantwoordelijkheid voor onderhoud en aanschaf van het apparaat. Deze verantwoordelijkheid kan leiden tot kosten voor de werknemer. Aan de andere kant kan het zijn dat sommige medewerkers een apparaat slecht onderhouden of met verouderde apparatuur werken wat consequenties kan hebben voor het dagelijkse werk. Een medewerker zal ook vaker werken in privétijd, omdat hij zijn werk altijd bij de hand heeft. Vanzelfsprekend bestaat ook het risico dat de apparatuur (vaker) voor privédoeleinden gebruikt wordt tijdens werktijd, wat vraagt om een andere manier van leiding geven. Voor degenen die BYO en toenemende productiviteit? Uit onderzoek bij werknemers die met een eigen apparaat het bedrijfsnetwerk kunnen benaderen, blijkt dat 63 procent één uur langer per dag productief is en 32 procent daarvan meldt zelfs dat ze twee tot drie uur langer bezig is met werk. 50 procent van de werknemers geeft ook aan dat ze zich niet altijd houden aan het IT-beleid van de organisatie [CISC12]. niet zo vaardig zijn met computers en software, zal het lastig zijn om met deze ontwikkeling mee te gaan, vooral als er problemen ontstaan met de apparatuur en de beheerafdeling geen ondersteuning biedt. Digitale infrastructuur BYO staat enigszins op gespannen voet met gestandaardiseerde ICTvoorzieningen. Gegevens en applicaties moeten toegankelijk en uitwisselbaar zijn voor de verschillende apparaten en de verschillende besturingssystemen waar gebruik van wordt gemaakt. De populairste mobiele besturingssystemen zijn Apple ios, Blackberry en Android, maar ook Microsoft wil met Windows 8 een aanzienlijk marktaandeel veroveren. Vooral de compatibiliteit van de ICT-voorziening is belangrijk zodat programma s en apparaten met elkaar kunnen samenwerken. De infrastructuur moet zodanig zijn dat apparaten met verschillende besturingssystemen en applicaties ermee kunnen werken. Dit blijkt in praktijk nog niet zo eenvoudig. Ondanks alle internetstandaarden gedragen bijvoorbeeld webapplicaties zich regelmatig anders met de verschillende besturingssystemen en browsers. Ook met de capaciteit van het netwerk moet rekening worden gehouden. Doordat er meer en andere vraag ontstaat vanuit meerdere apparaten kan het (wireless) netwerk zwaarder belast worden, wat gevolgen heeft voor de netwerkperformance. Voor de ICT-afdeling kan het beheer afnemen, maar ook intensiever en complexer worden. Als BYO wel wordt ondersteund, moet de technische afdeling meer allround zijn en van meer apparaten kennis hebben en medewerkers kunnen helpen als ze niet kunnen werken door technische problemen. Uit het onderzoek van Citrix bij 700 IT-beslissers blijkt dat iets meer dan de helft (54 procent) van de organisaties al op enige manier vanuit de ITafdeling ondersteuning biedt op eigen apparatuur. De verwachting is dat dit gaat toenemen in 2013 tot circa 80 procent [CITR11]. Dit zal ook aanzienlijke kosten tot gevolg hebben, vooral omdat gestandaardiseerd beheer niet zonder meer mogelijk is omdat de medewerkers verschillende apparaten en software met zich meedragen en de apparatuur niet is geïntegreerd in de bedrijfsinfrastructuur. Veel beheer op tablets en smartphones gebeurt daarom met de hand wat erg arbeidsintensief en in verhouding dus erg kostbaar is. Veel IT-afdelingen zijn ook nog niet klaar voor BYO. Kaseya, een grote leverancier van IT-beheersoftware deed onderzoek onder bijna 550 organisaties in Nederland, Groot- Brittannië, Duitsland en Frankrijk. Hieruit kwam net als uit andere onderzoeken naar voren dat beleid ontbreekt, waardoor er geen duidelijkheid is over de mate waarin de ITafdeling de problemen kan of moet oplossen [KASA11]. Technisch gezien zijn er overigens al verschillende oplossingen beschikbaar om het beheer te vereenvoudigen. Zo zijn er voorbeelden te vinden waarbij de werkgever zijn eigen appstore heeft of de apparaten heeft verdeeld in verschillende compartimenten met een beschermde zakelijke omgeving en een privéomgeving. Zonder goede maatregelen neemt het risico toe dat gegevens op verschillende plaatsen opgeslagen worden, zowel lokaal op de verschillende eigen apparaten als centraal. Hierdoor neemt de controle op bedrijfsgegevens af. De beheersbaarheid van gegevensopslag is een vraagstuk waar veel organisaties al tegenaan lopen en dat gezien wordt als een van de grootste BYO vraagstukken. Interne en externe ICT-dienstverleners moeten hier een goed antwoord op hebben. Beveiliging Over BYO en beveiliging zijn al diverse artikelen verschenen. Controle en beveiliging van de bedrijfsgegevens zijn vanzelfsprekend van groot belang de IT-Auditor nummer

4 Rick Strijbos, Algemeen directeur van Vanveen informatica zegt als ICT-dienstverlener over BYO: Het is belangrijk om je niet alleen te laten leiden door het beheersbaarheids syndroom en daardoor geen aandacht te besteden aan BYO. Je houdt de ontwikkeling namelijk niet tegen. Je moet ervoor zorgen dat de bedrijfsinfrastructuur toekomstbestendig is en applicaties geschikt worden gemaakt. Dit kan met goed device onafhankelijke ontsluitingsmechanismen waar je bijvoorbeeld toegang krijgt tot virtuele desktops. Stel daarbij ook de technische en organisatorische kaders vast. Realiseer je ook goed dat BYO niet in een paar dagen is gerealiseerd. Je zal de ICT-afdeling voldoende tijd en middelen moeten geven om BYO zorgvuldig en veilig in te voeren. voor een organisatie. BYO introduceert zonder twijfel nieuwe risico s. Doordat vanuit verschillende locaties en met verschillende apparaten gegevens worden opgehaald, vervaagt de grens tussen de beheersbare interne omgeving en de externe omgeving. Het is minder duidelijk wie waarmee toegang heeft en waar gegevens terechtkomen. Door meer met mobiele apparaten te werken, neemt het risico op verlies en diefstal toe. Ook het doorvoeren van beveiligingsupdates op de software- en besturingssystemen van de verschillende apparaten is een belangrijk aandachtspunt. Verschillende organisaties pushen beleid waarmee ze apparaten kunnen vergrendelen en op afstand kunnen wissen. Als organisatie heb je maar beperkt zicht op hoe medewerkers omgaan met hun apparaten, hoe ze deze beveiligen en waar deze gebruikt worden. Daarnaast komen veel gegevens, door continue synchronisatie van applicaties, in de cloud terecht waardoor je als organisatie feitelijk geen controle meer hebt over deze gegevens. Een voorbeeld hiervan is dat de iphone en ipad met het nieuwste ios-besturingssysteem een back-up kan maken van het apparaat in de icloud. Hierdoor kan het dus zijn dat lokaal opgeslagen gegevens toch in de Cloud terechtkomt, zelfs als de organisatie ervoor kiest om informatie niet in de cloud op te slaan. Een werknemer zal zich hiervan vaak niet bewust zijn. Al verschillen de risico s per organisatie, de controle en beheersbaarheid vanuit de ICT-afdeling neemt over het algemeen af. Deze risico s zijn overigens gedeeltelijk te ondervangen door de digitale infrastructuur goed en veilig in te richten en de vitale informatie te scheiden van de algemeen toegankelijke informatie. Belangrijk is om onderscheid aan te brengen tussen de beveiliging van de apparaten en programma s met lokale gegevens (decentraal) en de beveiliging van het bedrijfsnetwerk en informatie (centraal). Hierbij dient men te bedenken dat centrale gegevens vaak sporen op decentrale apparatuur achterlaten. De bewustwording van beveiliging bij medewerkers behoeft ook expliciet aandacht. Uit onderzoek van het bedrijf BT onder 2000 IT-gebruikers en -managers blijkt dat slechts 10 procent van de werknemers die eigen apparatuur gebruikt om toegang te krijgen tot het bedrijfsnetwerk de risico s kent die dat meebrengt [BT12]. Er zijn zelfs organisaties die nadenken om medewerkers verplicht een digivaardigheidsbewijs te laten halen. Op dat punt is nog het nodige werk te verzetten en een stevige campagne ter bevordering van beveiligingsbewustzijn bij de invoering van BYO lijkt niet overbodig. Financiën Het meebrengen van de eigen hardware en software naar de werkomgeving hoeft niet altijd in te houden dat de werknemer ook alles zelf betaalt en/of de eigenaar is van de apparatuur. Soms staat er vanuit de werkgever een vergoeding of budget tegenover. Of BYO voor een organisatie goedkoper of duurder is dan eigen centrale inkoop, hangt onder andere af van de schaalvoordelen, of er een vergoedingsregeling is, de mate van verantwoordelijkheid voor bijvoorbeeld onderhoud en de mate van zakelijk/ privégebruik. Over het algemeen beschouwen we BYO niet zonder meer als een kostenverlaging, maar eerder een kostenverschuiving. De werknemer verzorgt de aankoop en krijgt hiervoor een (gedeeltelijke) vergoeding van de werkgever. Dit kan voor het abonnementsgeld zijn, maar ook voor de aanschaf van het apparaat. Een organisatie moet vaak ook extra kosten maken om BYO in te voeren. Gedacht moet worden aan het generiek maken van de infrastructuur, aanvullende softwarelicenties kopen, opleidingen geven en beveiligingsbewustzijn verhogen voor IT-afdeling en medewerkers, aanvullend en minder efficiënt beheer incalculeren op privéapparaten en aanvullende beveiligingsmaatregelen treffen. Volgens onderzoek van Citrix geeft in Nederland 38 procent van de organisaties met BYO-beleid geen vergoeding voor gebruik van de eigen apparatuur binnen de werkomgeving, maar faciliteert alleen het gebruik. 32 procent geeft wel gedeeltelijke financiële compensatie en 29 procent geeft een volledige vergoeding [CITR11]. Fiscaliteit speelt daarbij ook een belangrijke rol (zie kader). De fiscale regels voor het gebruik van telefonie respectievelijk laptops en tablets verschillen. Voor smartphones hoeft bij minimaal 10 procent zakelijk gebruik geen loonheffing betaald te worden, terwijl dit voor een laptop of tablet met een scherm van 7 of meer pas bij 90 procent geldt. Een vergoeding voor BYO kan dus kostbaar zijn als er door de werkgever extra loonbelasting over betaald moet worden. Wel kan het geplaatst worden onder de recent door de Belastingdienst ingestelde werkkostenregeling. Vooral moet opgelet worden dat deze regeling niet wordt overschreden, want daarover is er namelijk een naheffing van 80 procent verschuldigd [BELA12]. De aanschaf van zakelijke software hoeft overigens in veel gevallen niet als loon behandeld te worden en valt onder de beroepskosten. Het is dus zeker de moeite waard om bij de invoering van BYO ook een goede fiscale kosten- en baten analyse te maken. 24 de IT-Auditor nummer

5 Juridisch Ook met juridische aspecten moet rekening worden gehouden. Een belangrijk punt is dat de aanwezige softwarelicenties tegen het licht moeten worden gehouden, omdat niet alle soorten licenties toestaan dat verschillende apparaten gebruik maken van de softwareproducten. Voor BYO komen er ook nieuwe licentievormen. Microsoft introduceerde dit jaar de Companion Device License (CDL) waarbij behalve vanaf het primaire apparaat ook vanaf vier andere apparaten een virtuele sessie gestart mag worden, ongeacht waar die apparaten zich bevinden. Figuur 1: Verschillende stijlen om BYO te benaderen Illegale software op privécomputers van medewerkers kan bij BYO ook voor zakelijke doeleinden worden ingezet. Dat is voor de werkgever uiteraard niet gewenst. Daarnaast kan er schade aan een systeem of (privé)apparaat worden veroorzaakt door bijvoorbeeld de installatie van verkeerde software. Ook moet rekening worden gehouden met de vraag hoever een organisatie controle kan en mag uitoefenen over de gegevens en programma s die staan op de privécomputers van medewerkers. Tot slot zal de werkgever voor BYO en Het Nieuwe Werken vanzelfsprekend rekening moeten houden met de Arbo-wetgeving. Het is daarom belangrijk om over bovenstaande kwesties met medewerkers afspraken te maken, waardoor eventuele problemen snel kunnen worden opgelost en de aansprakelijkheid duidelijk is. INVOEREN VAN BRING YOUR OWN IN PRAKTIJK Hoe BYO in de praktijk doorwerkt verschilt per organisatie. BYO kent veel varianten, waarvoor verschillende invoerscenario s en stappenplannen mogelijk zijn. Het is vooral belangrijk om goed over BYO na te denken, de kansen risico s te inventariseren en hier beleid op te ontwikkelen. Er zijn verschillende stijlen om BYO te benaderen, Gartner signaleert er vier: focus op controle, focus op keuze, focus op innovatie en handen af (focus op vrijheid). Zie figuur 1. Binnen de eerste stijl richt de werkgever zich op beveiliging, beheer, ondersteuning en controle vanuit de eigen ICT-afdeling. Bij de tweede stijl selecteert de organisatie een aantal programma s en apparaten waaruit de gebruiker kan kiezen (Choose Your Own), ondersteuning vanuit de ICTafdeling is hier beperkt. De derde stijl richt zich meer op de vrije keuze van applicaties en technieken door de medewerker. Ondersteuning vanuit de ICT-afdeling is er nauwelijks, wel is er controle over de gegevens en het netwerk. De laatste manier is minimale controle en ondersteuning door de werkgever, de controle die er is gebeurt op basis van beleid, in de cloud of met behulp van softwareapplicaties. Bij het denken over BYO is het belangrijk om te beginnen met het in het kaart brengen van de huidige situatie, de verwachtingen, het vaststellen van het doel en het opstellen van een integrale business case. Betrek hierbij wel alle impactgebieden. Kijk in welke mate ze van invloed zijn op de organisatie en hoe hiermee om te gaan. Aan de hand van de business case is het verstandig om enkele gebruikers- en invoeringsscenario s op te stellen. Bespreek deze en maak een analyse welk scenario het best aansluit op de organisatie. Op basis hiervan kan begonnen worden met het inrichten van een pilot. 1. Opstellen van een integrale business case en invoeringsscenario s 2. Uitwerken beleids- en implementatieplan 3. Uitvoeren van een Pilot 4. Evaluatie en aanpassingen 5. Implementatie BYO beleid Ter voorbereiding op de pilot zal er een beleidsplan en implementatieplan opgesteld moeten worden. Het is daarbij zaak om goede afspraken met de deelnemers te maken en de ICT-afdeling op tijd te betrekken. BYO heeft namelijk meer technische consequenties dan vaak wordt gedacht. Op basis van de resultaten uit de pilot kan een organisatie zien waar in de praktijk de knelpunten liggen en wat de reacties zijn van de deelnemers. Vervolgens kan er een definitief besluit worden genomen over hoe als organisatie om te gaan met BYO. Op basis van deze resultaten kan (informatie)beleid worden bijgesteld, afspraken worden gemaakt met de medewerkers en een implementatieplan worden opgesteld, de IT-Auditor nummer

6 zodat de pilot op een zorgvuldige manier kan worden opgeschaald. CONCLUSIE Vanuit technisch oogpunt zijn er veel verschillende maatregelen mogelijk voor BYO. Apparaten zijn van afstand te wissen of te blokkeren, applicaties en infrastructuur kunnen worden aangepast en gegevens zijn te versleutelen. Belangrijk is daarbij om je te realiseren wat de organisatorische gevolgen zijn van BYO. Het betekent verschuivende verantwoordelijkheden en een veranderende relatie met de werknemer. De organisatie gaat anders werken en de ICTafdeling zal andere kennis en competenties moeten ontwikkelen. We zien dat BYO een trend is die in de praktijk al volop zijn weg weet te vinden naar de werkplek, maar waar beleid nog sterk in ontwikkeling is en nog relatief weinig sturing op plaatsvindt. BYO kan zeer succesvol zijn als de digitale infrastructuur goed en veilig is ingericht, er is nagedacht over het informatiebeleid, de aanvullende kosten in beeld zijn, de kansen en (technische) risico s in kaart zijn gebracht en afspraken zijn gemaakt met medewerkers. Door de sterke neiging van medewerkers om eigen apparatuur gewoon mee te brengen naar het werk is BYO-beleid opstellen onvermijdelijk. Nadenken over alle zes impactgebieden en hierop anticiperen is daarom wat ons betreft een absolute must. Dit artikel verscheen in verkorte vorm al eerder in TIEM 2.0, nr. 45. Literatuur [AVAN12] Avanade, Global Survey: dispelling six myths of consumerization of IT (januari 2012). [BELA2012] Belastingdienst, Handboek loonheffingen 2012 (januari 2012). [BT12] BT, Survey Rethink the risk, (april 2012). [CISC12] Cisco, Bring Your Own Device in Nederland al de dagelijkse realiteit (maart 2012). [CITR11] Citrix, BYO index report IT Organizations Embrace Bring-Your-Own Devices (juli 2011). [GART11-1] Gartner, Gartner Identifies the Top 10 Strategic Technologies for 2012 (oktober 2011). [GART11-2] Gartner, Gartner Says Consumerization Will Drive At Least Four Mobile Management Styles (8 november 2011). [GRÜT12] John Grüter, De impact van BYOD in: Informatiebeveiliging editie 2 (februari 2012). [KASA11] Kasaya, de uitdagingen van mobiele apparaten managen (november 2011). [KURV11] Ruud Kurver, Employee ICT-sourcing, De werknemer als leverancier van zijn eigen ICT? (juni 2011). [STED12] Jan Stedehouder, Bouwstenen voor een BYODbeleid op: bringyourowndevice.wordpress.com (23 januari 2012). [VRED11] Tanja de Vrede, Consumerization vereist veel veiliger beheer in: Automatiseringgids (25 november 2011). Ir. C.L. (Chris) Wauters RE is senior adviseur en als sectormanager lid van het managementteam van PBLQ HEC. H.L. (Lancelot) Schellevis MA is management trainee bij PBLQ HEC en masterstudent Public Information Management aan de Erasmus Universiteit. 26 de IT-Auditor nummer

7 AUDIT IN COMBINATIE MET PERCEPTIEONDERZOEK BIJ UITBESTEDING Groene smileys, ontevreden klant UUit onderzoek [KPMG11] en uit onze dagelijkse praktijk weten wij dat zowel uitbesteders van diensten, de klanten, als inbesteders, de leveranciers niet 100% tevreden zijn over de uitbestedingsrelatie en dat zij behoefte hebben deze te verbeteren. De oorzaken waarom een uitbestedingsrelatie te wensen overlaat, kunnen heel divers zijn. Een vaak ingezet instrument om deze oorzaken te achterhalen, is een audit. De audit, vaak in opdracht van de klant, geeft feitelijk weer welke gecontracteerde afspraken wel en welke niet worden nageleefd en biedt de partijen een goede basis voor verbetering. In dit artikel introduceren wij een extra dimensie, namelijk de verwachte dienstverlening, die volgens ons in combinatie met de audit een nog betere basis kan bieden om de tevredenheid te vergroten en daarmee de outsourcingsrelatie te verbeteren. ANOUSCHKA CARLIER-ALGOE EN EELKE ROMBOUT Een praktijkvoorbeeld van de situatie groene smileys, ontevreden klant de gecontracteerde afspraken worden nageleefd, maar de klant is toch niet tevreden kwamen wij tegen tijdens een onderzoek bij een retailorganisatie. Deze organisatie had recentelijk haar volledige IT-dienstverlening uitbesteed. Direct na de transitie ontstond er een sterke ontevredenheid aan klantzijde over de afgenomen dienstverlening, zowel bij de eindgebruikers in de business, als bij de regieorganisatie die de verantwoordelijkheid had om de uitbestede diensten aan te sturen. De leverancier produceerde echter structureel positieve servicerapportages waarin alle belangrijke smileys op groen stonden. De vraag was hier dan ook waar deze discrepantie vandaan kwam. De manager van de IT-organisatie vroeg ons om een onderzoek in te stellen. Als mogelijke oorzaak zagen wij verschillen tussen klant en leverancier in verwachtingen over de dienstverlening en daarom stelden we een perceptieonderzoek voor. Het uitgevoerde perceptieonderzoek bracht een aantal interessante zaken aan het licht. Zo leerde dit ons onder meer dat de afspraken over diensten en serviceniveaus niet tot nauwelijks bekend waren bij het lijnmanagement aan de klantzijde. Bovendien was de uitbestedende partij niet gewend met een externe partij als leverancier voor de IT-diensten te werken. Dit had tot gevolg dat, waar men voorheen gewend was dat een IT-collega begon te rennen zodra er een verstoring plaatsvond, er nu via ingeregelde processen door de externe partij gewerkt werd waarbij het niet duidelijk was wat men kon verwachten van de leverancier. Tevens bleek in dit onderzoek dat de business een gebrek aan transparantie ervoer in de wijze waarop prioriteitstelling van wijzigingen en projecten plaatsvond hoewel de regieorganisatie over een keurige wijzigingsplanning beschikte. Uit deze en andere bevindingen van het perceptieonderzoek bleek dat een groot deel van de ontevredenheid te maken had met een gebrekkige interne afstemming tussen business en regieorganisatie. Waren deze oorzaken in een audit aan het licht gekomen? Het antwoord is: wellicht en mogelijk in beperkte(re) mate. Een audit bedoeld om een uitbestedingsrelatie te verbeteren, richt zich doorgaans op afgesproken (gecontracteerde) dienstverlening (opzet) en geleverde dienstverlening (bestaan en werking). Met andere woorden: voldoen de geleverde diensten aan de gemaakte afspraken? Onze ervaring is dat er meer klanten zijn zoals de retailer, waar deze vraag positief beantwoord wordt, maar er toch sprake is van een ontevreden klant of zelfs een verstoorde relatie. Een audit waarbij de gemaakte afspraken als de te toetsen norm gelden, zal in dergelijke gevallen niet volstaan om de de IT-Auditor nummer

8 oorzaken van de ontevredenheid aan klantzijde scherp te krijgen en de relatie te verbeteren. In deze gevallen kan een aanvullend perceptieonderzoek uitkomst bieden. De rest van dit artikel is als volgt opgebouwd: we starten met de introductie van een Tevredenheidsmodel.¹ Vervolgens staan we stil bij de gebruikelijke werkwijze van een ITauditor die een audit ter verbetering van een outsourcingsrelatie uitvoert. Vervolgens beschrijven wij een concreet perceptieonderzoek en welke opvallende zaken dat onderzoek aan het licht bracht. Daarna leggen we uit waarom een IT-audit door de combinatie met een perceptieonderzoek efficiënter en effectiever wordt. We sluiten af met een conclusie. EEN TEVREDENHEIDSMODEL Figuur 1 illustreert een model waarbij de tevredenheid over een uitbesteding vanuit het perspectief van de klant is weergegeven. In het midden van het diagram, waar de drie dimensies (afgesproken, geleverde en verwachte dienstverlening) samenvallen, is de optimale mate van tevredenheid bereikt. Deze situatie wordt ook de tevredenheidszone genoemd. Als slechts twee van de drie dimensies samenvallen, dan neemt volgens het model de tevredenheid af. Het minst tevreden is een klant als geen van de dimensies samenvallen. Een voorbeeld hiervan is een situatie waarbij dienstverlening wel gecontracteerd is, maar niet wordt verwacht en ook niet wordt geleverd. Een klant is dan ontevreden over het afgesloten contract. Een audit ter verbetering van een uitbestedingsrelatie onderzoekt of de afgesproken dienstverlening overeenkomt met de geleverde dienstverlening. Gecontracteerde afspraken worden dan als normen voor de toetsing gebruikt. Daar waar afspraken niet worden nagekomen, worden bevindingen genoteerd, meestal gevolgd door het advies om te voldoen aan de afspraak, of om de afspraak te wijzigen. De kracht van het Tevredenheidsmodel is dat het heel duidelijk laat zien welke dimensies een rol spelen bij de tevredenheid over een uitbestedingsrelatie. Met andere woorden: als er ontevredenheid heerst binnen de uitbesteding, dan kan het Tevredenheidsmodel worden ingezet als denkkader bij het achterhalen van de oorzaken van ontevredenheid. Om het volledige verbeterpotentieel te onderzoeken, is het dus van belang om ook te kijken naar verwachtingen van zowel klant als leverancier over de dienstverlening, in aanvulling op de afgesproken en geleverde dienstverlening. De adviezen die volgen uit de gecombineerde resultaten van perceptieonderzoek en audit leiden, als ze worden opgevolgd, waarschijnlijk tot een grotere tevredenheid dan elk van de onderzoeken afzonderlijk. Daar ligt volgens ons de toegevoegde waarde van het perceptieonderzoek voor een auditor. Het perceptieonderzoek moet dus niet als apart onderzoek worden uitgevoerd, maar juist in combinatie met een audit om alle aspecten van verbeteringen in een klant-leveranciersrelatie bij uitbestede diensten te onderzoeken. IT-AUDIT ALS PRIMAIRE BASIS VOOR VERBETERING Wij worden regelmatig gevraagd door opdrachtgevers om een audit uit te voeren ter verbetering van een uitbestedingsrelatie. De aanleidingen hiervoor lopen uiteen: er zijn bijvoorbeeld onregelmatigheden geconstateerd, er hebben verstoringen plaatsgevonden, medewerkers zijn ontevreden, of projecten lopen vertraging op. In deze paragraaf geven wij aan hoe wij deze audits inrichten. Wij volgen de reguliere aanpak van een IT audit bestaande uit drie fases: voorbereiding, uitvoering en afronding. [FIJN10, p.87] Voorbereiding Als onderdeel van de voorbereiding is een vooronderzoek gebruikelijk om de precieze afbakening (reikwijdte en diepgang) van het onderzoeksobject(en), de onderlinge verbanden tussen de objecten en kwaliteitsaspecten te bepalen. In het geval van een IT-audit van de uitbestedingsrelatie zal het onderzoeksobject bestaan uit de uitbestede ITdienstverlening en de governance daarvan. Welke delen van de uitbestede diensten we gaan bekijken en hoe uitgebreid we ze zullen onderzoeken, zijn typisch vragen die in de voorbereidingsfase als onderdeel van de afbakening zullen worden beantwoord. Figuur 1: Tevredenheidsmodel in een uitbestedingssituatie Uitvoering We voeren een audit uit volgens de gebruikelijke opeenvolging van stappen bij IT-audits, namelijk: 28 de IT-Auditor nummer

9 2. het inventariseren en documenteren van de getroffen beheersmaat- 3. het verzamelen van bewijsmateri- 4. het evalueren of het onderzoeksobject voldoet aan de criteria. In stap 1 hanteren wij meestal de gecontracteerde afspraken als criteria. In onze praktijk beschikken wij ook over modelcontracten om de volledigheid van de contracten te toetsen. Het is ook mogelijk om in stap 1 gebruik te maken van beschikbare normenkaders. Normenkaders die specifiek ingaan op een uitbestedingssituatie zijn (nog) niet voorhanden. Op dit moment is een ISO-standaard voor outsourcing in de maak [NEN 2010]. Daarnaast is eind 2007 een NOREA-studierapport beschikbaar gesteld [NORE07]. Overige normenkaders, bijvoorbeeld Cobit, ITIL, SDM, ISO17799, zijn van toepassing op het type IT-dienstverlening dat wordt uitbesteed en kunnen dus uiteraard ook worden toegepast op de dienstverlening. Vaak zijn de normenkaders te algemeen en dient de IT-auditor, al dan niet op basis van een risicoanalyse, alsnog een selectie te maken van de normen die worden getoetst. Als normenkaders geheel ontbreken, bestaat de mogelijkheid om een risicoanalyse uit te voeren. Afronding In de afronding is de eindrapportage een belangrijk onderdeel. In de eindrapportage wordt vaak beschreven welke criteria wel en welke niet behaald zijn en zo niet, dan volgt een advies. Als de leverancier (of klant) alle adviezen opvolgt, zou de uitbestedingsrelatie beter moeten worden. Afgesproken dienstverlening en geleverde dienstverlening zijn dan gesynchroniseerd. PERCEPTIEONDERZOEK: EEN ANDERE INVALSHOEK VOOR VERBETERING Om de outsourcingsrelatie te verbeteren, worden wij ook regelmatig gevraagd een perceptieonderzoek uit te voeren. De redenen om dan niet voor een audit te kiezen zijn dat de leverancier een perceptieonderzoek als minder formeel of bedreigend zal ervaren en dat het goedkoper is. Daarnaast is de leverancier zelf ook betrokken waardoor er een gezamenlijk draagvlak tussen klant en leverancier ontstaat over gepercipieerde prestaties en daarmee gepaard gaande verbetervoorstellen. Overigens is het perceptieonderzoek ook als het goed gaat een uitstekend instrument om periodiek, bijvoorbeeld jaarlijks, uit te voeren om de relatie tussen klant en leverancier te evalueren. Het perceptieonderzoek bestaat uit de volgende vier fases, die hierna worden toegelicht: 4. afronding. Voorbereiding Het perceptieonderzoek begint met vast te stellen wat de relevante onderwerpen zijn met betrekking tot de geleverde diensten. Dit gebeurt meestal in overleg met de opdrachtgever van het onderzoek, bijna altijd namens de klant. Op basis van een zeer brede set van onderwerpen rondom de levering van IT-diensten, onder andere op het gebied van governance, projecten, strategische, tactische en operationele processen, maakt de onderzoeker een selectie van de te behandelen onderwerpen. Het is van groot belang dat de onderzoeker goed doorvraagt dan wel de initiator van het perceptieonderzoek challenget op de selectie van onderwerpen. Een valkuil is namelijk dat wij met het onderzoek uitsluitend open deuren intrappen of teveel afgaan op de mening of het onderbuikgevoel van de initiator over de geleverde diensten. In dat geval zou het perceptieonderzoek niet of nauwelijks bruikbaar zijn om de uitbestedingsrelatie te verbeteren en zou het onderzoeksrapport hooguit kunnen dienen als stok om de leverancier mee te slaan. Als vuistregel gaan wij uit van zestig tot negentig perceptievragen per onderzoek. Meer vragen betekent een te grote belasting van de deelnemer en minder vragen maakt het onderzoek minder relevant. De vragen zelf kunnen gebaseerd zijn op een normenkader of op common sense of kunnen specifiek zijn overeengekomen met de opdrachtgever. De antwoorden krijgen een score, waarbij een hogere mate van instemming een hogere score op tevredenheid betekent. Een voorbeeld van een vragenset voor het onderwerp Wijzigingenbeheer is opgenomen in figuur 2. Bij elk onderwerp wordt gevraagd of de deelnemer vertrouwd is met het onderwerp. Zo nee, dan slaat de onderzoeker deze set vragen over. Figuur 2: Voorbeeld vragenlijst voor Wijzigingenbeheer de IT-Auditor nummer

10 Figuur 3: Deelnemende doelgroepen aan een perceptieonderzoek Uitvoering Er zijn verschillende doelgroepen die aan de meting deelnemen. Dit zijn doorgaans een vertegenwoordiging van de business, bijvoorbeeld lijnmanagement of eindgebruikers, het organisatieonderdeel bij de klant waar de verantwoordelijkheid ligt voor het aansturen van de uitbestede diensten (de regieorganisatie, demand en supply management) en de leverancier (IT delivery). In figuur 3 zijn deze doelgroepen weergegeven. Het is aan te bevelen om een vertegenwoordiging van elk van deze groepen mee te nemen in het onderzoek, omdat deze groepen vanuit drie verschillende invalshoeken naar dezelfde dienstverlening kijken. De vragenlijst kan via verschillende methoden worden uitgezet bij de doelgroepen. Afhankelijk van onder andere doelgroepgrootte, geografische spreiding, omvang van de vragenlijst en doorlooptijd kan dit bijvoorbeeld gebeuren via een websurvey of face-to-face interviews. onderwerpen te kijken waarbij de verschillen in perceptie het grootst zijn. Dit zijn immers de aandachtsgebieden met het grootste verbeterpotentieel en het zijn doorgaans tevens blinde vlekken aan leverancierszijde. Een voorbeeld is een situatie die we in onze praktijk zijn tegengekomen, waar een leverancier van mening was de klant een hoge mate van innovatie te bieden maar waar de klant dit beoordeelde als een verkeerde vorm van technology push. Een voorbeeld van de geconsolideerde resultaten per onderwerp is weergegeven in figuur 4. De bolletjes zijn gemiddelde scores per onderwerp van de verschillen doelgroepen, waarbij wit de scores van de leverancier weergeeft, grijs die van de regieorganisatie en zwart die van de business stakeholders. De antwoordmogelijkheden corresponderen met de mate waarin de deelnemer het eens is met de in de vraag gegeven stelling op een schaal van 1 tot 5, waarbij de deelnemer het bij een score 1 volledig oneens en bij een score 5 volledig eens is met de stelling. Voorbeelden van deze vragen/stellingen staan in figuur 2. Het is aan de opdrachtgever om de drempelwaardes van de groene, oranje en rode vlakken te bepalen en zodoende te bepalen welke scores voldoende, matig, respectievelijk onvoldoende representeren, wat per meting kan verschillen. Een dergelijke weergave biedt in één oogopslag overzicht welke onderwerpen laag scoren, namelijk de onderwerpen waarbij de bolletjes in het oranje of het rode vlak vallen. Ook springen de onderwerpen in het oog waar de verschillen in perceptie het grootst zijn, namelijk de kolommen waar de witte lijn het langst is. Uit de voorbeeldresultaten blijkt dat de onderwerpen financieel management, beschikbaarheidsbeheer, incident management en problem management bij ten minste één van de doelgroepen onvoldoende scoort. Daarnaast is zichtbaar dat bij incident management de verschillen in perceptie tussen de verschillende doelgroepen Analyse In de analyse plotten we de gewogen gemiddelde scores per doelgroep in een figuur. Het interessante van een perceptieonderzoek is niet alleen dat het de onderwerpen vindt waarover de verschillende doelgroepen het eens zijn dat deze voor verbetering vatbaar zijn. Het kan in sommige gevallen zelfs een grotere toegevoegde waarde bieden voor zowel klant als leverancier, om vooral naar die Figuur 4: Voorbeeldresultaten van een perceptieonderzoek voor acht geselecteerde onderwerpen 30 de IT-Auditor nummer

11 het grootst zijn. Tevens toont de figuur dat de leverancier (zie de witte bolletjes) het hoogste scoort op alle uitgevraagde onderwerpen. De scores van de business stakeholder groep (zwart bolletje) en de regieorganisatie (grijs bolletje) liggen relatief dicht bij elkaar op de meeste onderwerpen, afgezien van het contractmanagement en beschikbaarheidsbeheer. Afronding Afronding gebeurt met een rapportage over de bevindingen van het perceptieonderzoek en de verdiepingsslagen. Het perceptieonderzoek kan vaak leiden tot een aantal op zichzelf staande aanbevelingen die de relatie tussen klant en leverancier kan verbeteren: het laaghangende fruit. Uit de resultaten kan ook blijken dat bepaalde aandachtsgebieden zich lenen voor nadere studie. Via bijvoorbeeld verdiepingsinterviews, workshops of een IT-audit kan worden ingezoomd op de resultaten om achterliggende oorzaken van de verschillen in perceptie of (on)tevredenheid te achterhalen. COMBINEREN PERCEPTIE- ONDERZOEK EN IT-AUDIT Zoals eerder vermeld, voeren wij regelmatig audits of perceptieonderzoeken uit binnen de uitbestedingscontext, maar de combinatie komt nog niet voor. Daar willen wij verandering in brengen, omdat we ervan overtuigd zijn dat de combinatie van beide typen onderzoek de efficiëntie en de effectiviteit verhoogt. Efficiënter Het perceptieonderzoek kan worden toegepast als een andere benadering om het normenkader te bepalen. Door zowel de klant, dat wil zeggen business- en regieorganisatie, als de leverancier te bevragen over onderdelen van de dienstverlening en de governance, krijgt de IT-auditor met een voor hem relatief kleine inspanning een goed beeld over hoe de prestaties worden waargenomen en waar eventueel de blinde vlekken zitten. Het resultaat van het perceptieonderzoek is dan de basis om de diepte in te gaan met een IT-audit. Het geeft veel informatie die input is voor de Voorbereidingsfase (bepalen reikwijdte en met name de diepgang van de ITaudit) en de Uitvoeringsfase (verzamelen beheersmaatregelen en bewijsmateriaal). De IT-auditor kan ervoor kiezen om voor de processen waarbij de perceptieverschillen groot zijn het normenkader uit te breiden en aanvullende werkzaamheden te doen om beheersmaatregelen en bewijsmateriaal te identificeren. De overige processen kunnen dan globaler worden onderzocht, bijvoorbeeld alleen op key controls, of in hun geheel worden weggelaten uit de audit, tenzij wet- en regelgeving dat belet. De IT-auditor kan zodoende met minder middelen een gerichter, diep- efficiënter onderzoek dus. Casus Onderdeel van het perceptieonderzoek dat in dit artikel als voorbeeld dient, was het wijzigingenbeheer. De gehanteerde definitie van wijzigingenbeheer was als volgt: Het proces dat zich richt op het administreren, goedkeuren en doorvoeren van wijzigingen aan informatiesystemen. Wijzigingen worden op ad hoc-basis doorgevoerd (niet releasematig). De technische en functionele eisen en het functionele ontwerp worden door de regieafdeling opgesteld. De leverancier maakt op basis van deze eisen een technisch ontwerp en realiseert de wijziging. Uit het perceptieonderzoek naar het wijzigingenbeheer komen de scores naar voren die in figuur 5 zijn weergegeven. Figuur 5 is de resultante van de beantwoording van de vragen uit figuur 2 en een verdieping van de laatste kolom (Wijzigingenbeheer) in figuur 4. Naar aanleiding van de resultaten uit het perceptieonderzoek hebben we verdiepingsinterviews afgenomen, waaruit opvallende zaken naar voren kwamen. De business (zie de zwarte bolletjes) heeft bijvoorbeeld geen eigen budget voor wijzigingen; de regieafdeling is namelijk budgethouder. Hierdoor is er geen rem op het aantal wijzigingen dat wordt aangevraagd en is de business moeilijk in staat zelf te beoordelen of een wijziging gerechtvaardigd is. Aan businesszijde is het bovendien niet duidelijk wie de prioriteit van wijzigingen bepaalt (vraag 1.2). De perceptie aan businesszijde is dat wijzigingen traag worden doorgevoerd (vraag 1.3). De business ervaart weinig tot geen terugkoppeling over de status van wijzigingen (vraag 1.2). Ook ziet de business het offerteproces als een proces dat onnodig veel tijd en geld kost (vraag 1.4). Eindgebruikers aan de businesszijde ervaren dat een wijziging in een offerte betekent dat deze weer onderop de stapel komt. Op het moment dat de leverancier een offerteverzoek of wijzigingsverzoek beantwoordt, is het voor de business niet altijd duidelijk in welke periode de begrote uren beschikbaar zijn. Begrote uren worden volgens de business regelmatig door de leverancier overschreden (vraag 1.6). De leverancier (zie de witte bolletjes) vindt dat de klant wijzigingsverzoeken vaak onduidelijk opstelt (vraag 1.2). Wanneer de leverancier echt doorvraagt bij de klant wat de echte vraag achter een wijzigingsverzoek is, leidt dit er regelmatig toe dat de klant wijzigingsverzoeken weer intrekt (vraag 1.1). De kwaliteit van de gerealiseerde wijzigingen is volgens de leverancier sterk afhankelijk van de kwaliteit van de wijzigingsverzoeken. Die laat regelmatig te wensen over en maakt het voor de leverancier lastig een goede urenschatting of offerte te maken (vraag 1.5). Daarnaast wordt er vanuit de klant regelmatig met prioriteiten geschoven. Dit maakt het voor de leverancier moeilijk het wijzigingenproces goed te besturen (vraag 1.1 en 1.2). Figuur 5: Resultaten perceptieonderzoek Wijzigingenbeheer (casus retailer) de IT-Auditor nummer

12 Stappenplan Het uitvoeren van een perceptieonderzoek voorafgaand aan een IT-audit is in de praktijk goed realiseerbaar. Hier volgt een eenvoudig stappenplan: 1. Bepaal samen met de klant én de leverancier de onderwerpen van het perceptieonderzoek. 2. Stel standaardvragenlijsten op; houd in de vraagstelling ook rekening met de belevingswereld van de niet-technische klant. De vragen uit het perceptieonderzoek kunnen eventueel een afgeleide zijn van een standaard normenkader. 3. Verzamel de antwoorden en maak een analyse. Waar zit de ontevredenheid en waar zitten de grote verschillen? En wat zijn de oorzaken? 4. Bepaal interessante aandachtsgebieden om de diepte in te gaan met een audit. Interessant zijn bijvoorbeeld de grote (negatieve) verschillen. Of het verschil in de mate van belang dat klant of leverancier eraan hecht. 5. Voer de IT-audit uit en bepaal of normen gehaald worden. Zo nee, dan zou dit het verbeterplan kunnen zijn. Zo ja, dan ligt het verbeterplan meer in de sfeer van het ter discussie stellen van afspraken aan de hand van de resultaten van het perceptieonderzoek. 6. Resultaat is een auditrapport met een gefundeerde scoping en een relevant advies. geeft met een relatief kleine inspanning een goed beeld van hoe de prestaties worden waargenomen door de diverse partijen en waar eventueel de blinde vlekken zitten, waarna met een audit een verdiepingsslag kan worden gemaakt op het normenkader of het verzamelen van bewijs. Bovendien wordt de effectiviteit vergroot, omdat de aanbevelingen die volgen uit de audit en het perceptieonderzoek zich richten op alle drie de dimensies van het Tevredenheidsmodel. Noot 1 Het tevredenheidsmodel en het (business)-demandsupply organisatiemodel zijn het intellectuele eigendom van KPMG EquaTerra Sourcing Advisory. Effectiever In de afrondingsfase worden de resultaten van de IT-audit genoteerd. Als uit de IT-audit blijkt dat de leverancier (en mogelijk ook de klant) niet aan de normen of gemaakte afspraken voldoet, dan richt een verbeterplan zich op het alsnog behalen van de normen. Dit is een gebruikelijke gang van zaken. Het werken volgens de afspraak of de gehanteerde normen, is echter maar één onderdeel van het tevredenheidsmodel. De verwachtingen en percepties van de klant voegen relevante context toe vanuit verschillende invalshoeken, namelijk business, regieorganisatie en leverancier. Zonder deze context is de IT-auditor mogelijk symptomatisch bezig. Met deze context zijn de aanbevelingen die volgen uit de audit en het perceptieonderzoek vollediger en doeltreffender. Zie ook de problematiek van de retailer in het tekstkader Casus, waarbij overigens geen audit is uitgevoerd na het perceptieonderzoek, maar verdiepingsinterviews zijn gevoerd. CONCLUSIE In onze praktijk komen we vaak tegen dat zowel klanten als leveranciers ontevreden zijn over hun uitbestedingsrelatie. Zowel de audit als het perceptieonderzoek, en de adviezen die hieruit volgen, worden op dit moment vaak ingezet als middel om verbeteringen in de relatie te realiseren. Volgens het Tevredenheidsmodel zijn er drie dimensies aan een uitbestedingsrelatie: afgesproken, verwachte en geleverde dienstverlening. Pas als deze dimensies samenvallen, is er sprake van optimale tevredenheid. Het is daarom belangrijk om alle drie dimensies te betrekken in het onderzoek ter verbetering van de uitbestedingsrelatie. Wij pleiten er daarom voor om de audit en het perceptieonderzoek niet afzonderlijk uit te voeren, maar juist in combinatie. Dit komt de efficiëntie van het onderzoek ten goede: het perceptieonderzoek Literatuur [FIJN10] Fijneman, R., Roos Lindgreen, E., Veltman, P., e.a. Grondslagen IT Auditing, 2e druk, Academic Services. [KPMG11] KPMG EquaTerra. Dutch Strategic Outsourcing Study, An Assessment of the Information Communication Technology Outsourcing Market and its Service Providers in the Netherlands. [NEN 2010] ISO richtlijn voor Outsourcing wordt een feit. [NORE07] NOREA en Platform voor Informatiebeveiliging. Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen. Recente+publicaties/Studierapporten/ studierapport+snbb.aspx. Drs. A. R. (Anouschka) Carlier-Algoe RE is sinds 2005 werkzaam bij KPMG IT Advisory. In haar rol als IT-auditor en adviseur is Anouschka betrokken bij cliënten in de overheids- en financiële sector. Sinds 2009 maakt zij deel uit van de KPMG Sourcing Unit. Haar specialisatiegebieden zijn IT-sourcing strategie, vendor selectie en IT-audits naar IT-uitbestedingsprojecten, -relaties en -contracten. Per 1 september 2012 treedt zij in dienst als IT-auditor bij Agentschap NL. Drs. E. P. (Eelke) Rombout is als consultant werkzaam binnen de Nederlandse sourcingpraktijk van KPMG. Zijn werkzaamheden richten zich met name op het optimaliseren van sourcingrelaties en het (her-)ontwerp van regieorganisaties. Hij heeft diverse perceptieonderzoeken binnen de uitbestedingscontext uitgevoerd. 32 de IT-Auditor nummer