Periodieke evaluatie voorkomt volgend DigiNotar-debacle

Periodieke evaluatie voorkomt volgende DigiNptar-debacle
Organisaties moeten goed blijven opletten aan wie zij hun ICT toevertrouwen. Verschillende overheden dachten dat ze voor hun digitale beveiligingscertificaten wel goed zaten bij DigiNotar. Toen dit bedrijf echter onverwachts omviel, gingen sommige overheidsdiensten volledig onderuit. Daarnaast liep het vertrouwen van burgers in die diensten een flinke deuk op. Deze zaak leert ons dus niet alleen iets over informatiebeveiliging, maar ook over hoe je moet omgaan met ICT-leveranciers.
Publieke en private organisaties besteden hun ICT in toenemende mate uit door diensten bij ICT-leveranciers in te kopen. Contracten worden veelal voor meerdere jaren afgesloten. Het tussentijds wisselen van leverancier brengt een hoop kosten en zorgen met zich mee. Opdrachtgevers en opdrachtnemers oftewel leveranciers hebben bij de uitvoering van de opdracht vaak tegengestelde belangen. Waar een opdrachtgever met name zal kijken of de dienstverlening op orde is en het contract in voldoende mate wordt uitgenut, zal de opdrachtnemer vooral kijken hoe hij de dienstverlening zo efficiënt mogelijk kan uitvoeren. Efficiënt uitvoeren betekent meestal: met zo min mogelijk inzet van middelen en personen zo veel mogelijk opbrengst uit het contract halen. Werk dat niet geregeld is in een contract zal de opdrachtnemer daarom niet uitvoeren zonder een extra rekening neer te leggen bij de opdrachtgever. Tegelijk deelt de opdrachtnemer met de opdrachtgever het belang dat zij de volledige contractperiode vruchtbaar samenwerken, omdat afbreking van het contract voor beide alleen negatieve gevolgen heeft. Service- en contractmanagement zijn nu aan het zoeken naar een balans tussen die gedeelde en tegengestelde belangen. De eigen servicemanagementafdeling controleert of de leverancier daadwerkelijk voldoet aan de normen op het gebied van continuïteit, kwaliteit en support die zijn afgesproken in het service level agreement (SLA). Dat doet men op basis van door de leverancier aangeleverde rapportages. Het is daarbij gebruikelijk dat deze rapportages maandelijks worden besproken. Bij afwijkingen worden maatregelen getroffen om de dienstverlening weer te laten voldoen aan de gestelde service levels.
Behalve bij de servicemanagementafdeling ligt er ook een taak bij de afdeling voor inkoop en contractmanagement. Bij grote en middelgrote organisaties zal deze afdeling zorgen voor de inkoop en contractering van de ICT-producten en -diensten. Denk goed na over wat er in het contract en in de bijbehorende SLA wordt afgesproken, want wat ontbreekt zal de opdrachtgever vrijwel altijd extra geld kosten. De juridische dienst kijkt of de contracten rechtmatig zijn en pas dan vindt de ondertekening plaats. Als het om een meerjarig contract gaat, zal het beheer ervan, inclusief onderhandelingen over eventuele wijzigingen, bij een contractmanager worden neergelegd.
Drie experts
Contracten worden vaak behandeld door drie experts van de opdrachtgever: de inkoper, de contractmanager en de servicemanager. Elk van hen heeft zijn eigen taak. Om die taken goed uit te voeren moeten zij goed samenwerken en informatie uitwisselen. Een goede communicatie gedurende de hele levenscyclus van een contract – dus van de eerste offerteaanvraag via de contractering tot aan de uiteindelijke beëindiging of verlenging van het contract – kan een organisatie een hoop problemen besparen. Hiervoor is er vanuit de drie disciplines tezamen een evaluatiemodel ontwikkeld met als doel om risico’s voor de dienstverlening op tijd te signaleren en ze te kunnen opvangen.
Meestal merk je pas echt hoe belangrijk de dienstverlening is wanneer deze uitvalt, zoals bij DigiNotar. We zeggen dan dat de leverancier in gebreke is gebleven. Dat gebeurt bijvoorbeeld wanneer de leverancier slechte kwaliteit levert, te duur is, zich niet aan verbeterafspraken houdt, ruziënd met de opdrachtgever over straat rolt, niet begrijpt wat we van hem vragen, achteraf niet de specialist blijkt te zijn om wie is gevraagd, de goede naam van de opdrachtgever aantast of in een dreigend faillissement zit.
Doel van de contract- en leveranciersevaluatie is nu om dit soort zaken door te hebben voordat het licht uitgaat en voordat de klanten klagend aan de telefoon hangen, zodat er nog maatregelen kunnen worden genomen om het probleem te voorkomen of de schade te beperken. Daarom moet er permanent inzicht zijn in de feiten en gebeurtenissen rond de geleverde dienst en de relatie met de opdrachtnemer, met het oog op het identificeren van mogelijke risico’s. Tijdens de looptijd van het contract kun je zo op tijd bijsturen en op een verlengingsmoment een goed onderbouwde keuze maken om al dan niet door te gaan met het huidige contract. Een derde toepassing is dat je de lessen die geleerd zijn tijdens de lopende contracten kunt meenemen bij nieuwe aanbestedingen.
3R-model
Voor de uitvoering van een evaluatie gebruikt men binnen overheidsorganisaties een model dat is gebaseerd op drie r’en: ruil, relatie en reputatie. Elke ‘r’ staat voor een voorwaarde die moet zijn vervuld om een contract succesvol te laten verlopen:
• Ruil: krijg ik als opdrachtgever geleverd wat contractueel is afgesproken, voldoen de prestaties van de opdrachtnemer en worden deze geleverd tegen een marktconforme prijs?
• Relatie: heb ik als opdrachtgever de constructieve samenwerking met de opdrachtnemer die nodig is om het contract tot een succes te maken en om het contract te behouden?
• Reputatie: is dit een betrouwbare opdrachtnemer met wie ik als opdrachtgever dit contract tot een succes kan maken en met wie ik een contractuele relatie wil houden?
Ruil
Bij het aspect ruil spelen zaken als: wordt de dienst geleverd conform de afgesproken service levels? Zijn de kosten en tarieven nog steeds marktconform? Wordt het contract voldoende uitgenut of moeten we de in het contract afgesproken capaciteit, uitgedrukt in aantallen applicaties, abonnementen, smartphones enzovoort, juist aanpassen? Denk hier, met de DigiNotaraffaire vers in het geheugen, ook aan de contractuele afspraken die minder zichtbaar zijn, zoals de informatiebeveiliging en het calamiteitenplan.
Een deel van deze vragen kan de servicemanager beantwoorden, voor een ander deel zal de inkoper de aangewezen persoon zijn. Een inkoper kan bijvoorbeeld besluiten een benchmark voor de geleverde producten en diensten uit te voeren. Een benchmark voor commodityproducten en -diensten is nog relatief eenvoudig uit te voeren. Voor niet-commodityproducten en -diensten wordt dit algauw een tijdrovende klus en ontbreekt het aan goed vergelijkingsmateriaal. Toch zal de inkoopafdeling ook van non-commodity’s moeten aangeven of hetzelfde wellicht niet goedkoper of beter bij een ander kan worden ingekocht.
Relatie
Bij het aspect relatie spelen zaken als: is de communicatie volledig, helder en op tijd? Is de opdrachtnemer altijd op het juiste moment goed bereikbaar en krijg ik de juiste persoon te spreken? Worden afspraken op tijd nagekomen? Werkt de opdrachtnemer wel voldoende mee en vullen we elkaar qua expertise aan? Dit zijn zaken die bij vrijwel elk contract van belang zijn. De relatie kan ook nog aspecten bevatten die je misschien wel van een ontwikkelaar en niet van een beheerder vraagt, zoals eigen initiatief, oplossend vermogen, creativiteit en het aandragen van vernieuwende ideeën. De relatie tussen opdrachtgever en opdrachtnemer is geen huwelijk, maar net als bij een huwelijk is het een stuk goedkoper om zo nu en dan je frustraties tegen elkaar uit te spreken dan om te gaan scheiden. De dienstverlening lijdt niet alleen wanneer er ruzie is, maar ook wanneer beide partijen langs elkaar heen praten. Overigens dient niet alleen de opdrachtgever de eerdergenoemde vragen te stellen en te beantwoorden. Ook de opdrachtnemer hoort in de gelegenheid te worden gesteld om deze vragen te stellen over de opdrachtgever. Alleen zo ontstaat een compleet beeld van de wederzijdse relatie. Bij de analyse van het relatieaspect wordt gekeken naar de overeenkomsten en verschillen in de waargenomen beelden.
Soms blijkt uit deze analyse dat er nog het een en ander te verbeteren valt. In dat geval kan een workshop met opdrachtgever en opdrachtnemer worden georganiseerd om wederzijds inzicht te krijgen in de overeenkomsten en verschillen. Het is geen uitzondering dat beide partijen een uiteenlopend beeld hebben van de onderlinge relatie. Waar de een denkt dat de afspraken altijd stipt worden nagekomen, kan dit in de ogen van de ander niet het geval zijn. Tijdens een dergelijke workshop kun je dit verschil bespreken en omzetten in acties die de wederzijdse relatie weer op het goede niveau brengen. Zonder er nu gelijk relatietherapie van te maken dient men te beseffen dat het relatieaspect vooral te maken heeft met de persoonlijke interactie tussen beide partijen.
Reputatie
Bij het aspect reputatie spelen zaken als: is het bedrijf van de opdrachtnemer organisatorisch stabiel of vinden er juist grote reorganisaties plaats, die van invloed kunnen zijn op de dienstverlening? Heeft de opdrachtgever nog steeds gekwalificeerd personeel in dienst? Passen het imago en de werkwijze van de opdrachtnemer bij de verdere doelstellingen van de opdrachtgever? Welk marktaandeel heeft het bedrijf van de opdrachtnemer nu en naar verwachting in de nabije toekomst? Is de opdrachtnemer dan nog steeds een specialist in de gecontracteerde dienstverlening? Is het bedrijf financieel solide?
De beantwoording van dit soort vragen vereist een actieve houding van de opdrachtgever. Om meer over de financiële situatie van de opdrachtnemer te weten te komen kunnen jaarverslagen worden opgevraagd. Vaak geven deze echter niet de actuele situatie weer. Om hierover meer aan de weet te komen zijn ratingbureaus als Dun & Bradstreet in te schakelen. Daarnaast zul je de vakbladen en media moeten volgen en moeten luisteren naar signalen van externe partners.
Het onderzoek moet niet alleen gaan over de vraag of er een directe dreiging is van faillissement of reorganisatieproblematiek. De aard van het contract en de organisatie zelf moeten ook richting geven aan de zoektocht naar informatie over mogelijke partners. Een ministerie kan niet geassocieerd worden met een bedrijf dat kinderarbeid gebruikt, een beveiliger niet met een bedrijf dat met een beveiligingslek in het nieuws is gekomen en een voorvechter van duurzaamheid niet met een milieuvervuiler.
Periodiek
De disciplines contract- en leveranciersmanagement hebben elk hun eigen soort evaluatie: de contractevaluatie en de leveranciersevaluatie. Deze hebben verschillende doelen en gaan uit van gegevens die op verschillende momenten beschikbaar zijn. De contractevaluatie gebeurt periodiek, waarbij steeds gedurende een periode gegevens worden verzameld en elk jaar wordt gerapporteerd wat de resultaten zijn. Bij deze evaluatie vormen ruil en relatie de hoofdmoot, omdat dit de gegevens zijn waarop tussentijds kan worden bijgestuurd.
Toch komen hier ook aspecten van de reputatie aan bod: reorganisaties, de financiële staat van het bedrijf en grote nieuwsfeiten worden meegenomen om hier, waar nodig, direct op te kunnen reageren. De evaluatie eindigt in een score op de drie aspecten, uitgedrukt in rood, oranje of groen. De score en de bevindingen worden besproken met de leverancier. Door het gesprek aan te gaan kun je bijsturen voordat de verwachte problemen zich manifesteren.
Achteraf
Gedurende een contract zijn er maar tot op bepaalde hoogte wijzigingen mogelijk. Het is daarom weinig zinvol om tussentijds te proberen iets te veranderen aan het grote plaatje. Wat voor type leverancier zou je het liefst willen hebben qua marktaandeel, strategie en beleid op het vlak van bijvoorbeeld maatschappelijk verantwoord ondernemen? Die vragen komen pas aan bod wanneer je staat voor de keuze om te verlengen of opnieuw aan te besteden. Dan voer je de volledige leveranciersevaluatie uit, met evenveel nadruk op reputatie als op relatie en ruil.
Dit houdt in dat je de gegevens en conclusies van de contractevaluaties van de afgelopen jaren bekijkt en die aanvult met gegevens over de leverancier in relatie tot de doelstellingen van de eigen organisatie. Een wezenlijk verschil met de contractevaluatie is dat een aanvullend advies wordt gegeven over onder welke condities een contract al dan niet kan worden verlengd. Wordt het contract niet verlengd, maar wil men eenzelfde soort dienst wel blijven afnemen, dan zullen opnieuw uitvraag en aanbesteding moeten plaatsvinden. Bij die nieuwe uitvraag zullen de lessen van de voorgaande evaluaties moeten worden meegenomen. Verloopt de relatie met grote bureaucratische leveranciers altijd slecht? Stel dan geen eisen die zulke organisaties bevoordelen. Zijn ICT-leveranciers grote vervuilers waar de organisatie zich voor schaamt? Stel dan eisen aan de duurzaamheid van de bedrijfsvoering. Stond de ruil in het vorige contract onder druk omdat bepaalde zaken niet eenduidig waren vastgelegd? Maak die fout dan niet opnieuw.
Dubbel en dwars
Op zich is het bijna altijd zinvol om een evaluatie uit te voeren. Houd er wel rekening mee dat daar tijd en energie mee gemoeid zijn. Er moet dus een afweging plaatsvinden. Welke contracten evalueer je wel en welke niet? Als richtlijn dient de omvang van het contract, uitgedrukt als deel van de jaarlijkse omzet van de opdrachtgever. Een realistische verhouding is dat de waarde van een contract op jaarbasis minimaal 2 procent is van de jaaromzet. Verder geldt als drempelniveau een contractwaarde van 50.000 euro op jaarbasis. Contracten onder deze omvang komen nauwelijks in aanmerking, want het uitvoeren van een degelijke evaluatie kost al snel 10.000 euro.
Dit geld wordt overigens dubbel en dwars terugverdiend wanneer blijkt dat de opdrachtgever wezenlijke risico’s loopt bij een ongewijzigde continuering van de ICT-dienstverlening. Als een contract alleen maar een licentieovereenkomst betreft, heeft het veelal weinig zin om een evaluatie uit te voeren. Maak wel een goede risicoinschatting, afgaande op welke gevolgen het heeft als de leverancier niet functioneert. DigiNotar leek op het eerste gezicht ook geen cruciale aanbieder!
Ing. Sjak Okkerman is managementconsultant bij Strict. E-mail: s.okkerman@strict.nl.
Drs. Marieke Vos is trainee bij Het Expertise Centrum. E-mail: m.vos@hec.nl.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag