ZBC Kennisbank

Risicobeheersing uitbesteding door opdrachtclassificatie

 

Organisaties kiezen er steeds vaker voor om vooral hun secundaire processen uit te besteden aan gespecialiseerde partners. En nu er ook steeds meer toezichthouders komen, die boetes moeten uitdelen, en die boetes alsmaar hoger worden, wordt het heel belangrijk die uitbesteding goed te regelen. Bovendien mag de externe accountant zich bij het opstellen van de jaarrekening niet meer alleen richten op de bedrijfsactiviteiten. Hij moet bij de risicobeoordeling ook de risico’s van de uitbestede processen meenemen.

Kortom, uitbesteding moet je goed regelen. Vanwege de Europese aanbestedingsregels echter, die in feite symptoombestrijding zijn, valt dit niet mee. Die regels zijn er op gebaseerd dat opdrachtgever en opdrachtnemer natuurlijke vijanden zijn en dat winst voor de ene verlies oplevert voor de andere. Maar zo zit de wereld anno nu niet meer in elkaar. (Zie ook ‘Europees aanbesteden leidt vaak tot minder marktwerking en hogere prijzen’.)  Laten we daarom eerst kijken naar de werkelijke belangen van opdrachtgevers en opdrachtnemers.

Waarom doe je aan uitbesteding?

Voor uitbesteding kies je in feite om je bedrijfsrisico’s te beheersen. (Zie bijvoorbeeld ‘Migratie werkplek naar de cloud is meer dan kostenbesparing alleen’. ) Opdrachtgevers willen met uitbesteding het volgende realiseren:

  • goed werkende secundaire processen die het primaire proces adequaat ondersteunen;
  • minimalisering overheadkosten van secundaire processen;
  • uitbesteding operationele risico’s en aansprakelijkheid
  • voorkomen reputatieschade.

Van een uitbestedingspartners wordt daarom de volgende toegevoegde waarde verwacht:

  • efficiency van de uitvoering;
  • competenties om eventuele problemen adequaat op te lossen;
  • schaalgrootte om inkoopvoordelen te behalen;
  • aantoonbaar in control hebben van de risicobeheersing.

Maar ook opdrachtnemers willen uiteraard hun risico’s beheersen. Voor hen zijn er eigenlijk maar twee bedrijfsrisico’s:

  • Stakeholders zijn ontevreden.
  • De bedrijfsactiviteiten zijn niet winstgevend, zodat de bedrijfscontinuïteit gevaar loopt.

Standaardoplossingen voor het beheersen van deze risico’s zijn:

  • het klantorderontkoppelpunt (KOOP) verschuiven richting klant, zodat meer standaardisatie mogelijk wordt. (Zie ook ‘Keuze klantorderontkoppelpunt cruciaal voor dienstverleners’.) Dit moet er dan toe kunnen leiden, dat opdrachtnemers 20% goedkoper kunnen aanbieden en 40% goedkoper kunnen leveren.
  • uitbesteden van de secundaire processen, zodat er een efficiënte keten ontstaat (marge is belangrijker dan omzet).

Om deze oplossingen te kunnen realiseren moeten opdrachtnemers voldoen aan de volgende voorwaarden:

  • langlopende contracten afsluiten, zodat investeringen in de kwaliteit van de dienstverlening terug verdiend kunnen worden.
  • niet jaloers zijn op de winst van de ander; het gaat erom dat je er zelf ook beter van wordt.

Als zowel opdrachtgever als opdrachtnemer zich hiervan bewust zijn, dan kunnen beide partijen moeiteloos hun risico’s beheersen en ontstaat een voor beide partijen zeer lucratief partnership.

De klant moet geen koning meer willen zijn

In de praktijk wil de klant nog al te vaak koning zijn. Meestal denkt de opdrachtgever, dat hij meer verstand heeft van het uit te besteden proces dan zijn opdrachtnemer en eist hij maatwerk. Hij vergeet hierbij dat zijn onderscheidend vermogen zit in zijn primaire proces en niet in zijn ondersteunende processen. Sterker nog, als hij afwijkt in zijn secundaire processen, doet hij zichzelf tekort. De klant mag koning zijn, maar hij moet zich dan wel als koning gedragen, dat wil zeggen zich niet met de uitvoering van de uitbestede processen bemoeien. Van de uitvoering heeft de opdrachtnemer meer verstand. En als ook inkopers, compliance officers en juristen zich nog gaan bemoeien met het partnership, dan verdwijnt vaak het vertrouwen als sneeuw voor de zon en worden opdrachtgever en opdrachtnemer voor elkaar ineens volksvijand nummer 1. De natuurlijke invulling van het contract, waarmee voldaan wordt aan de wederzijdse behoefte, ligt in het midden, vertrapt door beide strijdende partijen.
Met deze simpele constatering verander ik natuurlijk de huidige werkwijze nog niet. Daarom wil ik in dit artikel trachten de ‘gezond verstand’-aanpak te formaliseren.

Formaliseer de balans in de samenwerking

Bij samenwerking gaat het altijd over drie dingen: Verantwoordelijkheid, zeggenschap (bevoegdheid) en risico. In zijn rol van koning wil de opdrachtgever de volledige zeggenschap, en de verantwoordelijkheid en het risico legt hij volledig neer bij de opdrachtnemer.  

Uiteraard wil de opdrachtnemer precies het tegengestelde. Zo zijn bijvoorbeeld de ICT-office voorwaarden ontstaan. De leverancier garandeert  daarbij eigenlijk alleen, dat hij facturen stuurt. Aangezien deze voorwaarden op grote schaal worden gebruikt door ICT-bedrijven, is het niet gek, dat klanten op voorhand ICT-bedrijven zien als partijen die alleen hun eigenbelang dienen. (Zie ook ‘Klanten vaak rechteloos tegenover ICT-leverancier’.) Als je als opdrachtgever echter de zeggenschap (bevoegdheden) wilt, dan ben je automatisch ook verantwoordelijk en zijn de risico’s jouw risico’s. En als je als opdrachtgever je verantwoordelijkheid en de risico’s wilt uitbesteden, dan besteed je ook de bevoegdheden uit. Maar uiteindelijk gaat er natuurlijk om hiertussen de balans te vinden, waarbij uiteindelijk beide, opdrachtgever zowel als opdrachtnemer zijn gebaat.

Classificatie in vier opdrachttypen 

We onderkennen een viertal opdrachttypen, waarbij de verantwoordelijkheid, de zeggenschap en het risico steeds in balans zijn, maar waarbij deze wel steeds meer opschuiven van de opdrachtgever naar de opdrachtnemer. 

Opdrachttype 1 is in feite detachering. De medewerkers van opdrachtnemer werken volledig in opdracht en onder verantwoordelijkheid van de opdrachtgever. De opdrachtnemer is slechts verantwoordelijk voor de kwaliteit van zijn medewerkers. Bij dit opdrachttype is het resultaat maatwerk voor de opdrachtgever.
Bij opdrachttype 2 brengt de opdrachtnemer zijn standaardproducten in, maar maakt deze op maat voor de opdrachtgever. Het gebruik en het beheer van het product vallen onder verantwoordelijkheid van de opdrachtgever, waarbij de opdrachtnemer support en onderhoud verzorgt.
Bij opdrachttype 3 is er sprake van een nauwkeurig gespecificeerd resultaat, dat eenmalig geleverd wordt door de opdrachtnemer, op tijd en binnen budget (fixed price; fixed date). Na oplevering, acceptatie en eventueel garantie, krijgt de opdrachtnemer decharge. Tijdens de opdracht heeft de opdrachtnemer volledige zeggenschap, zolang hij wel voldoet aan het overeengekomen resultaat.
Bij opdrachttype 4 is er sprake van de volledige uitbesteding van een bedrijfsproces, inclusief de verantwoordelijkheden, bevoegdheden en risico’s voor en van dit proces. In principe is er geen einddatum voor de uitbesteding. Wel worden doorgaans contractueel evaluatiemomenten afgesproken en is er een exit-regeling voor het geval de opdrachtgever het proces weer in eigen beheer wil doen of als de opdrachtgever het proces wil onderbrengen bij een andere partij.
In geval van type 4 zal de externe accountant van de opdrachtgever de risico’s van het uitbestede proces willen kunnen beoordelen bij het opstellen van de jaarrekening. Bij beursgenoteerde bedrijven en in de financiële sector zien we dat vaak een bewijs hiervan gevraagd wordt middels een ISAE 3402 type II (SOC2) verklaring.
Op type 4 zijn nog verschillende varianten. Een bedrijf kan de volledige financiële administratie uitbesteden (dan is de opdrachtnemer verantwoordelijk voor een correcte uitvoering van het gehele proces) of kan een SaaS-oplossing kopen voor het zelf uitvoeren van dit proces. In dat geval zijn de service, het beheer en de hosting uitbesteed aan de opdrachtnemer.
Het is dus van belang om het opdrachttype uit te werken in de voorwaarden en het opdrachttype te vermelden in de overeenkomst met een verwijzing naar de opdrachttypen. Hiermee wordt vermeden dat tijdens de opdracht discussie ontstaat over verantwoordelijkheden en bevoegdheden. Vaak is juist dat de doodsteek voor een goede samenwerking.

Soms is een gefaseerde aanpak nodig

In sommige gevallen is de uitbesteding een stapsgewijs proces, waarvan het eindresultaat vooraf nog niet duidelijk valt te omschrijven. In het volgend geval bijvoorbeeld past een stapsgewijze aanpak:

  • De opdrachtgever heeft een behoefte die hij opgelost wil zien door uitbesteding, maar hij weet nog niet precies hoe.
  • De opdrachtnemer heeft een standaardoplossing, waarvan onderzocht moet worden of deze passend gemaakt kan worden voor de behoefte van de opdrachtgever.

Er kan dan per fase een opdrachttype worden gekozen.
Allereerst moet de opdrachtgever zijn behoeften specificeren. In deze fase wil de opdrachtgever uiteraard de volledige zeggenschap hebben. Dus ligt opdrachttype 1 voor de hand. Vervolgens moet de leverancier bewijzen, dat hij op basis van zijn standaardoplossing kan voldoen aan de eisen van de opdrachtgever. Er wordt een ‘proof of concept’ gebouwd. Dit gebeurt op basis van opdrachttype 2 of 3. Als deze proof of concept’ goed uitpakt, kan een uitbestedingscontract op basis van type 4 afgesloten worden.

Gebruik van opdrachttypen ook bij certificering

Tegenwoordig worden steeds vaker eisen gesteld aan uitbestedingspartners op het gebied van certificering. Om de scope te bepalen, kunnen de opdrachttypen worden gebruikt. De scope voor ISO 27001 kan bijvoorbeeld zijn alleen type 4 opdrachten. (Zie ook ‘Pragmatische aanpak informatiebeveiliging’.) Voor ISO 9001 geldt dat de scope so wie so alle opdrachttypen beslaat. Er kan wel voor worden gekozen per opdrachttype maatregelen wel of niet van toepassing te laten zijn. Het gaat bij de nieuwe ISO normen tenslotte om risicobeheersing. Als de klant de zeggenschap heeft (type 1 en 2), zijn de risico’s voor de dienstverlener beperkt en zijn dus diverse maatregelen overbodig. ISAE 3402 type II is alleen van toepassing bij opdrachttype 4 en dan nog alleen voor het gedeelte dat standaard is. Het deel dat klantspecifiek is, is dan getest in de ‘proof of concept’. Daar is de klant zelf verantwoordelijk voor. Als je dat op deze manier niet afspreekt, dan loop je als dienstverlener het risico failliet te gaan aan je ISAE 3402 verklaringen, omdat hier nog klantspecifieke zaken in zitten. (Zie ook ‘Een ISAE 3402 type II verklaring moet je niet willen’.)

Gebruik opdrachtclassificatie om je eigen risico’s te beheersen

Nogal wat dienstverleners proberen hun aansprakelijkheid te beperken of zelfs te ontlopen. Maar als  dienstverlener ben je dan niet interessant als uitbestedingspartner. Je geeft er blijk van geen moeite te doen om je eigen risico’s te beheersen. Een klant mag er dan redelijkerwijze vanuit gaan, dat je ook niet in staat zult zijn om zijn risico’s te beheersen. Je verdient het dan niet,  dat klanten je serieus nemen als het gaat om uitbesteding. Uitbesteding is tenslotte voor zowel de opdrachtgever als de opdrachtnemer een zeer effectieve manier van risicobeheersing. Dat mag je niet verpesten door onderbuikgevoelens.

ZBC ondersteunt organisaties bij het verkrijgen van een ISAE 3402 type II verklaring (SOC2) tegen aanvaardbare kosten door beperking risico’s.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 29 augustus 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *