Een belangrijke drijfveer voor uitbesteding is dat specialisatie kan leiden tot schaalvoordelen, en uiteindelijk tot kostenbesparingen. Door in ketens samen te werken, worden processen zo veel mogelijk op elkaar afgestemd. Dit kan ook tot besparingen en verbeteringen leiden. De keerzijde van expliciete keuzes – ten aanzien van specialisatie en positionering in de keten – is dat bedrijven en instellingen afhankelijker van elkaar worden. In een steeds meer informatie-gestuurde wereld is daarnaast het bewaken van privacy belangrijk. Uitbesteding en ketensamenwerking vragen om goede kaders en afspraken tussen de betrokken partijen. Bedrijven of instellingen die taken aan andere partijen overdragen, blijven hiervoor uiteraard verantwoordelijk. De overdragende partijen dienen de ‘regie’ te voeren ten aanzien van de overgedragen taken. Dit artikel gaat in op risicomanagement en de rol die informatievoorziening, door middel van tooling en auditing, als onderdeel van de regietaak kan spelen.
Inleiding
Uitbesteding en ketensamenwerking zijn niet meer weg te denken binnen de Nederlandse overheid en het Nederlandse bedrijfsleven. Bedrijven en instellingen lijken constant in beweging voor wat betreft de taken die zij uitvoeren en de samenwerking die zij daarbij zoeken.
Uitbestedingen zijn vaak het gevolg van strategische heroriëntaties, waarbij een focus op ‘core-business’ of ‘core-competenties’ plaatsvindt. Traditioneel gezien gaat het bij uitbestedingen om het overdragen van goed afgebakende processen, zoals bijvoorbeeld salarisverwerking en rekencentra-activiteiten. De introductie van betere, snellere en betrouwbaardere vormen van ICT heeft echter ook complexere vormen van uitbesteding mogelijk gemaakt. Door toepassing van plannings- en communicatiesystemen is het mogelijk geworden dat aanbieders van leermiddelen zich op de inhoud concentreren, omdat het drukken van de boeken en online aanbieden van de leerstof aan derden is uitbesteed. Leveranciers van computers en elektronica kunnen zich op een vergelijkbare wijze focussen op productontwikkeling en marketingactiviteiten, omdat de productiewerkzaamheden gemakkelijk kunnen worden uitbesteed.
Ook ketensamenwerking heeft zich door de genoemde ontwikkelingen op ICT-gebied verder ontwikkeld. Een voorbeeld hiervan is de automobielindustrie, waar de rol van (externe) toeleveranciers bij het ‘just in time’ en op maat produceren van auto’s enorm groot is geworden. In de retail is een vergelijkbare beweging te zien, waar bijvoorbeeld supermarktbedrijven nauw samenwerken met producenten om de voorraden te verlagen en verse waren zo snel mogelijk bij de consument te krijgen. In de bedrijfseconomie staat het actief bewaken van de wijze waarop een product of dienst tot stand komt bekend onder de naam ‘supply chain management’. Specialisatie, het najagen van schaalvoordelen, het aantrekken en behouden van gekwalificeerd personeel en het bewaken van de oorsprong, zoals in het geval van levensmiddelen, worden als de belangrijke redenen voor samenwerking genoemd.
In de publieke sector wordt de samenwerking binnen de overheid steeds intensiever. Een goed voorbeeld daarvan is de samenwerking ten aanzien van het stelsel van basisregisters. Dit stelsel bestaat uit een verzameling databases die het ‘hart’ van de overheidsadministratie vormen. Het gaat hierbij bijvoorbeeld om De Basisregistraties Adressen en Gebouwen (BAG), De Basisregistratie Personen (BRP) en De Basisregistratie Voertuigen (BRV). Het idee achter dit stelsel is dat de overheid slechts eenmaal gegevens van bedrijven of burgers opslaat. Naast kostenbesparing leidt het slechts op één plek vastleggen van gegevens binnen de overheid tot een betere grip op die gegevens, omdat er zo één waarheid ontstaat. Het stelsel van basisregisters maakt het daarbij mogelijk om beter toezicht te houden en meer ‘maatwerk’ te verlenen, voor wat betreft de dienstverlening aan burgers en het bedrijfsleven.
Voor wat betreft ontwikkelingen in de samenwerking kan blockchaintechnologie met recht op het ogenblik een hype worden genoemd. Deze technologie maakt het mogelijk dat er zonder menselijke tussenkomst afspraken worden gemaakt en bewaakt. Alhoewel de toepassingen ervan veelal nog experimenteel zijn, is de verwachting dat blockchain de druk op het risicomanagement verder zal doen toenemen, juist doordat er sprake is van het uitvoeren van transacties zonder menselijke tussenkomst.
Risicomanagement en de toepassing van tooling
Bedrijven of instellingen gaan over het algemeen zorgvuldig te werk bij het afsluiten van samenwerkingsverbanden. Belangrijk bij elke vorm van uitbesteding is dat de betreffende taken zo goed mogelijk worden beschreven en dat de relevante ervaringen hieromtrent worden verzameld. In de overheidssector hebben deze ervaringen met het afsluiten van overeenkomsten met name betrekking op het verzamelen van aandachtspunten ten aanzien van de (verplichte) vormen van aanbesteding of overdracht aan collega-overheden.
In de private sector is sprake van meer keuzevrijheid. Deze vrijheid kan voordelig uitpakken, maar stelt de betrokken partijen ook voor behoorlijke uitdagingen. Door de grootte van de uitbesteding en de hoeveelheid mogelijke aanbieders kan het gevoel ontstaan dat door de bomen het bos niet meer kan worden gezien. Third Party Intelligence (TPI) is een voorbeeld van tooling die kan helpen bij het kiezen of voortzetten van mogelijke samenwerkingsverbanden. Deze technologie meet en projecteert de risico’s van toeleveranciers, door financiële en geopolitieke riscofactoren te monitoren, en daarmee inzichten te geven die direct kunnen worden omgezet in acties. Met behulp van een dashboard maakt TPI de risico’s in het netwerk van toeleveranciers (de ‘supply chain’) inzichtelijk. Dit doet de technologie door gebruik te maken van verschillende soorten data, zoals:
- eigen data van de klant (veelal reeds aanwezig, maar vaak onvoldoende benut);
- data afkomstig uit vrije, online beschikbare bronnen, alsook afkomstig van betaalde dienstverleners (één van deze exclusieve databronnen kan de KPMG Smart Tech Solution Astrus zijn, zie [Groe16]);
- expertise en ervaring van KPMG wereldwijd, inclusief benchmarks.
Daarnaast bestaat altijd de mogelijkheid om de data van de organisatie te verrijken met behulp van vragenlijsten en audits. Dit kan van toepassing zijn indien er onvoldoende data van de toeleveranciers (online) beschikbaar. Vervolgens analyseert TPI deze data en prioriteert de informatie op basis van risico-urgentie, ofwel waar de door de klant vooraf gestelde risicogrens overschreden . De gebruiker ontvangt vervolgens, conform zijn ‘risk appetite’, een overzicht van de toeleveranciers die het meeste risico lopen. Het gaat hier bijvoorbeeld om financiële en reputatierisico’s als gevolg van de afhankelijkheid. Door onder meer de relatieve grootte van individuele toeleveranciers, de mate waarin partners individueel financieel gezond zijn en de geopolitieke spreiding inzichtelijk te maken, kunnen de daarmee samenhangende risico’s worden gemonitord, en op basis daarvan kunnen passende maatregelen worden genomen. TPI maakt hiervoor middels scenarioanalyses de gevolgen van deze keuzes inzichtelijk.
Met de toepassing van TPI kan op risicovolle situaties worden geanticipeerd, zoals een daling van de marktwaarde met zeven procent van de grootste importeur van buitenlandse bieren in de Verenigde Staten, na de verkiezing van Donald Trump als president van de VS. Deze situatie deed zich voor omdat de aandeelhouders zich zorgen maakten door de uitspraken van Trump tijdens de verkiezingen over de verhoging van de importbelasting op bier. Met behulp van TPI zouden de keuzes ten aanzien van de leveranciers van bier vroegtijdig kunnen worden geëvalueerd en bijgesteld.
Figuur 1. Screenshot van Third Party Intelligence demo-omgeving.
Regie en risicomanagement bij het beheren van uitbestedingen en samenwerkingsverbanden
Voor het risicomanagement van uitbestedings- en samenwerkingsverbanden is een goede juridische basis, in de vorm van wetten en contracten, een eerste vereiste. In een informatie-gestuurde samenleving is verder – gezien de enorme hoeveelheden gegevens – het gebruik van de juiste zoeksleutels erg belangrijk. In het stelsel van basisregisters betreft dit voor individuele personen het Burgerservicenummer (BSN). Omdat het gebruik hiervan de privacy van individuele personen kan schaden, is wettelijk vastgelegd in welke situaties het BSN mag worden toegepast. De nieuwe privacywetgeving in de vorm van de Algemene Verordening Gegevensverwerking (AVG) beschrijft de rechten van personen waarvan gegevens worden opgeslagen, en de verplichtingen van de partijen die deze gegevens verwerken.
Gezien het belang van betrouwbare informatie bij het aangaan van transacties is onlangs door de politiek het initiatief genomen om het valselijk verspreiden van geruchten wettelijk te verbieden, gezien de gevolgen die dit kan hebben op individuele transacties. Dit zorgt uiteraard voor bescherming, maar ook voor een wettelijk kader, waarmee rekening dient te worden gehouden bij het aangaan van uitbestedings- en samenwerkingsverbanden.
Risicomanagement ten aanzien van individuele verhoudingen is met name gebaseerd op de informatie die verkregen is in aanvulling op de financiële informatie. Het gaat dan om de resultaten van de dienstverlening, eventuele afwijkingen hierin en de oorzaak daarvan. In de meeste gevallen wordt deze informatie uitgewisseld tijdens relatiebeheergesprekken, of door middel van periodieke rapportages. Als er Service Level Agreements (SLA’s) zijn, wordt deze informatie meestal aangeduid als Service Level Reports (SLR’s). Voor het opstellen van deze rapportages is het van belang dat er afspraken worden gemaakt over Key Performance Indicators (KPI’s) en Key Risk Indicators (KRI’s). Verder dienen er afspraken te worden gemaakt over drempelwaarden waarbij directe escalatie plaatsvindt. Voorbeelden van KPI’s en KRI’s zijn in het geval van ICT-dienstverlening de ‘uptime’ en informatiebeveiligingsincidenten.
Voor de uitbestedende partij is het – voor het opvolgen van deze informatie en monitoren van de risico’s – van belang dat de verantwoordelijkheid voor de uitbesteding expliciet is belegd. Deze regietaken dienen met dezelfde aandacht plaats te vinden als de aansturing van taken die in huis plaatsvinden.
Figuur 2. Screenshot van Third Party Intelligence demo-omgeving.
Auditing
De uitvoering van onafhankelijke audits kan bij risk management van toegevoegde waarde zijn door de onafhankelijke blik ten aanzien van de uitgevoerde werkzaamheden en de daarover gerapporteerde informatie. Vooral als er sprake is van cruciale vormen van uitbesteding, of bij situaties met veel regulering, kan dit van belang zijn. Een audit en de opvolging daarvan helpen bij het aantoonbaar ‘in control’ zijn. Onze ervaring is dat audits – door het expliciteren van de verhoudingen in samenwerkingsverbanden en ketens – bijna altijd bijdragen aan het risicomanagement, door de verduidelijking die deze teweegbrengen.
Conclusie
ICT-oplossingen zullen naar verwachting tot veel nieuwe vormen van samenwerking leiden. Door de verbeteringen en besparingen die dit oplevert, zal de trend van uitbesteding en ketensamenwerking zich in de toekomst verder voortzetten. De afhankelijkheid zal daardoor groter worden, terwijl globalisering ook tot nieuwe risico’s leidt. Risicomanagement is daarom bij het aangaan en beheren van samenwerkingsverbanden een belangrijk onderdeel.
Voor bedrijven en instellingen die stappen zetten op het gebied van samenwerking of uitbesteding zal de informatie over de prestaties van hun partners een belangrijke basis vormen, waarmee zij het risicomanagement verder kunnen vormgeven. Tooling kan daarbij behulpzaam zijn, doordat de informatie overzichtelijk en in perspectief kan worden weergegeven. Auditors kunnen daarbij helpen door de informatie op onafhankelijke wijze te onderzoeken. Het gebruik van tooling of auditors neemt echter niet weg dat bedrijven of instellingen zich bewust moeten zijn van het feit dat zij zelf eindverantwoordelijk blijven voor de uitbestede taken; daarom dienen deze partijen te zorgen voor voldoende regie.
Literatuur
[Groe16] L. Groen, P. Özer, Mitigating third-party risks with Astrus, Compact 2016/4, https://www.compact.nl/articles/mitigating-third-party-risks-with-astrus/, 2016.