• tijdschrift voor informatie en management

www.uitgeverijtiem.nl

Interview president AlgemeneRekenkamer Saska Stuiveling

Strategische stuur-instrumenten vergeleken

Thema: Outsourcing

Cloud computing kritischbezien

Fixed projecten en demitigation boomerang

Bestel de Nederlandse vertalingvan fruITion (Chris Potts).

Het voorspelt Ben drastischeverandering in de rol van CIo's

(www.uitgeverijtiem.nl)

-~------~--~------

VI::wpolnt:: out:sDurclng

Als het beoogde doel van outsourcingdeals niet of nietgeheel wordt bereikt, is in het algemeen sprake van eenzwakke ITGovernance: demand en supply zijn onvol-doende op elkaar afgestemd en - dit is het geval wanneermeerdere partijen bij de uitbesteding zijn betrokken- de integratie van de dienstverlening is onvoldoendegeborgd. Het aantal partijen waaraan genoemdediensten worden uitbesteed is dan ook een belangrijkaandachtspunt. Steeds vaker kiezen organisaties immersvoor het aangaan van relaties met meerdere serviceproviders (multi-sourcing). Maar men gaat er vaak aanvoorbij dat multi-sourcing complexiteit creeert, zowelbinnen de eigenorganisatie als bij de service providers.Multi-sourcing vergroot de noodzaak van een sterke,meer op de business gerichte IT Governance.Het behoeft geen betoog dat outsourcing van ict-diensteneen kostbare en risicovolle operatie is. Om grip te krijgenop deze operatie is het verkrijgen van zekerheid omtrentde kwaliteit en continu'iteit van de dienstverleningdie door derde partijen wordt geleverd, cruciaal voorbestuurders en in het bijzonder voor de ChiefInformationOfficers. Het toepassen van het eSourcing CapabilityModel for Client Organizations (eSCM-CL)kan hierhelpen. Aan de hand van een praktijk case zal de toepas-sing van eSCM-CLworden toegelicht. Eerst wordt de prak-tijkcase beschreven, gevolgd door een toelichting op hetmodel en de toepassing ervan. Tot slot worden de 'lessonslearned' besproken van de toepassing van eSCM-CL.

de regieorganisatie zich bezig met kwaliteitsbeheersingvan de sourced services en met de tactische sturing vande service providers en de retained it-organisatie die alleict-processen en -functies bevat die achterblijven en nietworden geoutsourced.Voor de beheersing van het transitieproces is eenprogrammaorganisatie opgezet die bij oplevering vande transitieresultaten haar verantwoordelijkheden zaloverdragen aan de regieorganisatie. Omdat het succesvan de outsourcing voor een groot deel afhankelijk isvan het goed functioneren van deze organisaties (zij zijnimmers verantwoordelijk voor het 'in control' zijn van deuitbestede diensten), zijn deze organisaties een belang-rijk onderwerp van onderzoek geweest. Group Audit &Risk Services (GARS)is de interne accountantsdienst vanAchmea. Zij neemt een onafhankelijke positie in en isrechtstreeks onder de Executive Board gepositioneerd.Vanuit haar rol he eft GARSde werking van de regie-organisatie in samenhang met de beheersing van hetsourcingproces meerdere keren beoordeeld.Om de werking van het outsourcingproces te kunnenbeoordelen is gezocht naar een methodologie die alsbasis kon dienen voor deze toetsing. GARSheeft heteSCM-CLmodel beoordeeld en toegepast.

Praktijk case AchmeaAchmea maakt deel uit van Eureko, een toonaangevendeorganisatie in financiele dienstverlening met activi-teiten in twaalfEuropese landen. Achmea is binnenederland de grootste zorgverzekeraar en te typeren alseen all finance verzekeraar (Bank, Leven, Hypotheken,Pensioenen, Schade, Zorg, Sociale Zekerheid). Bekendemerken in Nederland zijn onder meer CentraalBeheer, Interpolis, Avero, Groene Land, FBTO,AgisZorgverzekeringen en Zilveren Kruis.In 2007 heeft Achmea een outsourcingprogramma uitge-voerd dat heeft geresulteerd in een multi-sourcing dealmet drie Externe Service Providers (ESP's)op de volgendedomeinen: datacenter & platforms, werkplekvoorzienin-gen en netwerk & voice. Het outsourcingproces heeftzich, na de ondertekening van de contracten in driefasen voltrokken (zie figuur 1).Allereerst heeft een transferplaatsgevonden van de resources en de hierbij behorendetaken, verantwoordelijkheden en bevoegdheden voorde uitvoering van de sourced services. Vervolgens is detransitie gestart naar de locatie en de werkprocessen vande ESP's onder de voorwaarde dat het bestaande niveauvan de services minimaal gehandhaafd diende te blijven(Present Mode of Operation - PMO)en dat na de transitievan een service het nieuwe serviceniveau van krachtwerd.Ten slotte heeft er op basis van innovatieplannen perservice de migratie plaatsgevonden naar verbeterde ofnaar nieuwe services (Future Mode of Operation - FMO).Voor de besturing en de beheersing van de sourcedservices is binnen het ict-bedrijfvan Achmea eenregieorganisatie opgezet (ziefiguur 2).Deze richt zichvoornamelijk op de afstemming van demand op supplyen op het onderhouden van (strategische) samenwer-kingsrelaties met de service providers. Daarnaast houdt

Esourcing capability modelOm de ESP's effectiefte kunnen aansturen, moetende demand processen bij de klantorganisatie goed zijningericht. eSCM-CLis een 'best-practices' model datklantorganisaties in staat stelt om het outsourcingprocesop een gestructureerde wijze te beoordelen en te verbe-teren. Met het model worden twee doelen nagestreefd.Eerste doel is het aanreiken van een handvat aan deklantorganisatie om objectief de prestaties te bepalen ente meten. Tweede doel is het bieden van een leidraad voorhet verbeteren van de professionele prestaties van deklantorganisatie gedurende de gehele sourcing life cycle.Het uitgangspunt voor eSCM-CLis de sourcing life cycle.Deze kent de fasen 'Ongoing', 'Analysis', 'Initiation','Delivery' en 'Completion' (ziefiguur 3).In de ongoing fase staan de activiteiten die gedurende degehele sourcing life cycle uitgevoerd moeten worden.De overige fasen zijn gericht op specifieke activiteiten inde sourcing life cycle. De analysis fase richt zich op watnodig is voor het analyseren van opties voor sourcingen het identificeren en ontwikkelen van de aanpak voorhet uitbesteden van de ge'identificeerde mogelijkheden,om zeker te stellen dat de organisatie op basis van dejuiste informatie besluiten neemt over (out)sourcing. Deinitiation fase omvat het uitbestedingsproces (van selectievan de service providers tot de transfer van de resources)en het inrichten van de sourcing managementfunctie(regie). De delivery fase richt zich op het monitoren van dedienstverlening van de service providers. De completionfase heeft betrekking op het beeindigen van de uitbeste-dingscontracten en daarmee de sourcingrelatie inclusiefde transitie van de resources naar de eigen organisatie ofeen andere leverancier.De fasen van de sourcing life cycle zijn verbijzonderdnaar 17 capability areas. bat zijn logische groeperingenvan de 95 practices die binnen eSCM-CLzijn gedefini-eerd. De practices zijn verder onderverdeeld naar vijfcapability levels die het ontwikkelpad voor verbeteringvan de sourcing capabilities beschrijven. Organisaties op

tiem 33 == oktober 2009 5

level 1 hebben dienstverlening uitbesteed, maar geen ofweinig van de in eSCM-CLbeschreven practices ge'imple-menteerd. Op level 5 zijn aIle practices ge'implementeerden toont de klantorganisatie aan excellent te zijn in hetaansturen van haar sourcing activiteiten door meetbare,consistente en op een continue basis geleverde prestatiesen prestatieverbeteringen. Iedere practice is aan de handvan de drie dimensies geordend, te weten sourcing lifecycle, capability area en capability level (ziefiguur 4).De indeling van de practices naar deze drie dimensiesstelt organisaties in staat, op basis van de fase waarinde outsourcing zich bevindt, focus aan te brengen in depractices die moeten worden opgepakt.

L/ Tr.msiue / ~~-~ I/ ( presen'Modeo'Opera'iqnI7L- FUlure~9fOpetaliOfi /

______ ~/ I (PMO). ~ (FMC) _~ _ I

Figuur 1: Fasering outsourcing naar ESP

Figuur 4: Dimensies Practices (bron: ITSqc Carnegie Mellon)

Toepassing ESCM-CL bij AchmeaDe practices van eSCM-CLdekken de scope van hetoutsourcingproces volledig af en kunnen derhalvekaderstellend worden toegepast bij het opstellen van eencontrol framework voor audits en self assessments om tebepalen of de sourcing in control is. Een nadeel is echterdat eSCM-CLaIleen al vanwege zijn enorme omvang (95best practices) niet eenvoudig te hanteren is. Daarnaastligt het accent bij eSCM-CLvooral op de procesinrichtingen -besturing en in mindere mate op het halen van per-formance indicatoren.De noodzaak zich te richten op de essentie van het sour-cingproces is derhalve groot. Dit geldt ook voor het ver-krijgen van exclusiviteit (het klantspecifiek maken) vanhet control framework. De exclusiviteit en de diepgangvan het control framework zijn in deze case ondermeer verkregen door aanscherping van de practices opbasis van het door Achmea gekozen besturingsmodelvoor outsourcing, de (strategische en kritische) per-formance indicatoren die zijn overeengekomen metservice providers, de business case voor outsourcing ende programmaplannen voor de transfer en de transitie.Een belangrijke meerwaarde van de exclusiviteit van hetcontrol framework is dat de outsourcing en de beoogdeprestaties in samenhang worden beoordeeld.De focus op de essentie van het outsourcingproces isvanuit het oogpunt van pragmatisme en doelgericht-heid zeer belangrijk. Om dit te bewerkstelligen isgekozen voor een risicobenadering bij het opstellenvan het control framework. Hierbij zijn de belangrijk-ste risico's voor het outsourcingproces afgeleid van derisico-inventarisaties die door de service providers en destakeholders zijn uitgevoerd. De belangrijkste risico'szijn gebruikt bij de selectie van sourcing practices. Dezehadden onder meer betrekking op de volgende terreinen:• De contractering en in het bijzonder de verificatie vande 'as-is' diensten en resources.

• De transformatie van de retained ict-organisatie.• De governance van de demand en de supplyorganisatie.

• De aansluiting van de servicemanagementsystemenen het verkrijgen van uniforme rapportages en inzich-telijke facturen.

• De borging van Security Management.

-.-... Delivery

Figuur 2: Besturing outsourcingproces

Sou.r;II'.., ~':Il~nny Araly5lss.cu'.:lngApptG-idl

Sourc.rgPI.nnmgServi:=o Provi.jer Ev3iua"jonSourdr-3AgrHl'nfH"1SSwyj.:.Trans'-r

Analysis

Sour;:m";:SIr;lteg'ltrlaO<lgemef1:Goo.~lnan·:tI MlU1a;Jei1len~Relittivnihip~AiIOiIQerrenlV-,ilueM'il"agerrerlQ-';JaNHtJc.nal O<3t'-;Je t.4ana·JememP~µle ManBgemmlKnowfld;j_ M~m9n~Ted'nok;7l ManaiJe-meon:TIve.alf.br3QeO'erK

Figuur 3: Capability areas in eSCM-CL souring life cycle

T04IlIchtlng=~~~::;..~=.s=~£=,: ...':;..?~,,,;;;,, ..-:::r:;;:::~==:;;"'':'::::4'-;'::::::~''i:''':'=k:==r j£ I:=·-·--~~ 1'7.1--;"1: F- I~ i

I I IEi-~~ Afstemming directie Achmea IT.Commitment voor de toe-passing van het control framework is per audit verkregendoor afstemming met de directie van Achmea ITwaarbijgekeken is ofbepaalde practices terecht binnen ofbuitenscope van het onderzoek vielen en of aanvullende puntenFiguur 5: Voorbeeld normatief kader op basis eSCM-CL practice

6 tiem 33 == oktober 2009

van de directie van Achmea ITvoldoende terugkwamenin de practices in scope. Een voorbeeld uit het controlframework is in figuur 5 weergegeven. Per capability areaen per capability level zijn de practices uitgewerkt in eennormatief model.Tijdens het auditproces diende te worden aangegeven inwelke mate er aan een norm werd voldaan met verwij-zing naar en onderbouwing door evidence. Bet ingevuldecontrol framework bood ondersteuning bij het analy-seren van de bevindingen en bij het opstellen van een'fact-based' rapportage.

Toetsing op overgangsmomenten. De belangrijkste risico'sbleken per fase van de outsourcing zowel qua inhoud alsqua weging verschillend te zijn. Mede hierom is beslotenom in ieder geval voorafgaand aan belangrijke over-gangsmomenten van de fasen van het outsourcingproceseen audit uit te voeren. Dat had als voordeel dat formeleevaluatie- en beslismomenten konden worden vastgelegdtijdens het outsourcingproces waardoor de opdrachtge-ver de mogelijkheid kreeg om tijdig bij te sturen op basisvan onafhankelijke rapportages.Besloten werd om minimaal drie audits uit te voeren. Deeerste audit he eft plaatsgevonden v66r de effective dateofwel de eerste dag waarop het sourcingcontract metde externe service providers van kracht is geworden. Opdat moment vond de dienstverlening nog onder verant-woordelijkheid van Achmea plaats. De doelstelling vande audit was over de leemtes te rapporteren inzake deopzet van de regieorgansiatie voor het op effectieve wijzemanagen van de relatie met de ESP's en de borging van dekwaliteit van de sourced services. Omdat de regieorgani-satie op dat moment nog niet operationeel was, is in hetbijzonder (de gereedheid van) de opzet en - waar mogelijk- het bestaan van de regieorganisatie beoordeeld.De tweede audit was vooral toegespitst op de werkingvan de regieorganisatie in samenhang met de program-maorganisatie, de haalbaarheid van de businesscase, debeheersing van het transitieproces en de kwaliteitsbor-ging van de 'as-is' services.Voor beide audits is gekozen voor capability level 2(consistently managing sourcing) als norm, dit komt neerop het formaliseren van procedures, HR-en kennisma-nagement, het effectief monitoren en managen van desourcingprocessen. Tijdens de transfer- en transitiefasezijn de veranderingen op mens- en procesniveau erg grootwaarbij het halen van de 'as-is' serviceniveaus als eenprestatie mag worden beschouwd. De ervaring leert dattijdens de transferfase een terugval van het serviceniveauoptreedt. Om deze reden is de lat tijdens de eerste en detweede audit niet te hoog (bijvoorbeeld op level 3)gelegd.De derde audit is nog niet uitgevoerd en zal wordentoegespitst op de performance conform SLAwaarbij delat voor wat betreft het beheersingsniveau zal wordengelegd op capability level 3 (managing organizationalsourcing performance). Hierbij zal expliciete aandachtworden besteed aan benefit management, leveringconform SLAen de werking van de innovatieprocessenop het vlak van sourced services.De uitvoering van de audits levert, na analyse van debevindingen, een rapportage op die handvaten biedtom bij te sturen zodat de doelen worden gehaald ende risico's worden beheerst. Per capability area wordtaangegeven in welke mate er wordt voldaan aan het

Doe mee aan het onderzoek naar outsourcingrelatieseXcelierate Consulting en uitgeverij TIEM nodigen u van harte uit om mee tedoen aan een onderzoek naar outsourcingrelaties.Doel van het onderzoek is te begrijpen wat de huidige problemen zijn inoutsourcingrelaties en welke aspecten belangrijk zijn in het verbeteren van derelaties tussen klanten en leveranciers.Ga hiervoor naar de website www.excellerate-consulting.nl ofwww.uitgeverijtiem.nl en vul de enquete in. Het invullen van de enquete kostenkele minuten. Voor elk ingevulde enquete maken wij vijf euro over naar eengoed doe!. ~

capability level. Per capability area wordt aangegevenwat de restrisico's zijn en afhankelijk van de kans/impactvan een risico wordt een prioriteitsweging toegepast. Deaanbevelingen zijn verbijzonderd naar deze risico's enworden vervolgens uitgewerkt in een actiematrix. Detoepassing van het control framework kan in een laterstadium zonodig op onderdelen worden herhaald.

Lessons learnedIn het algemeen is de toepassing van eSCM-CLbij ditcomplexe outsourcingvraagstuk positief ervaren. In hetbijzonder de volledigheid en de toegankelijkheid van demethodologie. Hierbij moet aangegeven worden dat hetniet de eenvoud heeft van het afwerken en/of invullen vaneen checklist. Met kennis van outsourcing, de organisatieen risicobeheersing in combinatie met eSCM-CLkan eenorganisatie echter tot een exc1usief control frameworkkomen dat in verschillende stadia van de sourcing lifecycle kan worden toegepast. Hiermee kan een bestuurderzich door de tijd heen herhalend laten adviseren overde capabilities van zijn organisatie met betrekking totoutsourcing. En waar nodig op basis van de inzichten actie(laten) ondernemen om de sourcingcapabilities te verbete-ren. En daarmee de grip de outsourcing te versterken.eSCM-CLis minder geschikt voor het beoordelen vanklantspecifieke zaken zoals de inrichting van hetgekozen besturingsmodel. Verder wordt er binnen demethodologie onvoldoende aandacht geschonken aande beheersing van faseovergangen in de gedefinieerdesourcing life cycle .•

Voetnoten

1 Gartner 2006, hypecycle for business pro-cess outsourcing

2 Carnegie Mellon,The eSourcingCapability model forClient Organizationsvl.l

3 eSCM-CL is ontwik-keld door ITSqc vanCarnegie Mellon

tiem 33 == oktober 2009 7

Over de auteurs:Dennis Boersen is Manager IT Audit Supply binnen Group Audit & RiskServices van Achmea. Hij is direct betrokken bij de audit werkzaamhedenrondom de sourcing van Achmea waaronder het opstellen van het frame-work.

Rene Dawson is als programmamanager en projectauditor verbonden aanDawson & Partners BV en is betrokken geweest bij de audit van het IToutsourcingprogramma van Achmea.

Eric Veen is partner bij Excellerate Consulting. Hij is actief als managingconsultant en programmamanager op directieniveau rondom de thema'sbesturing en (IT) strategie. Veen is betrokken geweest bij de ontwikkelingvan het control framework.