Home Outsourcing COBIT 5.1: onbruikbaar of de basis van een IT-outsourcing audit

COBIT 5.1: onbruikbaar of de basis van een IT-outsourcing audit

1078
dainamics

Veel organisatie die hun IT-dienstverlening hebben uitbesteed hebben behoefte om vast te stellen of de geleverde dienstverlening voldoet aan de in het contract vastgelegde afspraken. Organisaties kunnen ervoor kiezen om een audit uit te (laten) voeren. Biedt COBIT 5.1 handvatten voor het uitvoeren van een dergelijke audit?

COBIT 5.1 bestaat uit 37 governance- en management processen. In het domein ‘Align, Plan and Organize’ zijn er twee processen die in een audit van een organisatie die haar automatisering (deels) heeft uitbesteed bijzondere aandacht vragen. Het eerste proces is ‘Management Service Agreement’ (APO09). Essentieel is de aansluiting van door de externe leveranciers geleverde automatisering en de gecontracteerde automatisering. In een audit verdienen met name aanpassingen aandacht (“identify new or changed services or service level options”). Indien wijzigingen conform het change management proces worden uitgevoerd, blijft deze aansluiting gedurende de looptijd van het contract bestaan. Hierbij zijn de getekende contracten en de overeengekomen wijzigingen in een audit de basis input gegevens. Ten aanzien van de wijzigingen staat de vraag centraal of het change management proces op de juiste wijze is doorlopen.

Wel zullen organisaties zich moeten afvragen of er een meerwaarde is indien de gerealiseerde servicelevels hoger zijn dan de gecontracteerde service levels. COBIT 5.1 stelt ‘business requirements are beyond performance, service levels and satisfaction’. Voor externe leveranciers zijn de kosten gerelateerd aan de hogere services levels in veel gevallen substantieel, waar in de praktijk de meerwaarde voor klantenorganisaties in veel gevallen beperkt is.

Het tweede proces dat essentieel is in een audit waarbij automatisering is uitbesteed is ‘Managing Suppliers’ (APO10). Dit proces is gericht op het beperken van de risico’s van externe leveranciers die niet in staat zijn de gecontracteerde automatisering te leveren. COBIT 5.1 stelt ‘minimise the risk associated with non-performing suppliers’. Ook is dit proces gericht op het realiseren van een marktconforme automatisering.

Deze laatste doelstelling is vanuit een IT-audit perspectief wellicht minder relevant. Veel contracten bevatten immers benchmarking clausules om markconformiteit te kunnen afdwingen. De praktijk leert ons echter wel dat het uitvoeren van een benchmark onderzoek geen sinecure is en bovendien nog veel tijd en aandacht van de betrokken partijen vraagt. Ook worden de kosten die de uitvoering van een benchmarkonderzoek met zich mee brengen vaak onderschat. In veel gevallen is het in goed onderling overleg tot een aanpassing van kosten van de dienstverlening komen een beter alternatief.

Weer even terug naar een audit: bij het beperken van de risico’s staat uiteraard compliancy centraal. Opvallend hierbij is dat COBIT 5.1 binnen dit proces geen expliciete referentie maakt naar de enterprise architectuur en de IT-architectuur. In een audit van automatisering die werd uitbesteed, is het aan te bevelen om hieraan aandacht te besteden.

Verder gaat dit proces ook in op het selectieproces van de externe leveranciers: COBIT 5.1 stelt ‘select suppliers according to a fair and formal practice’. Het uitvoeren van een audit op een selectieproces is niet simpel. Er is een groot aantal partijen en stakeholders betrokken bij een selectieproces. Om achteraf vast te kunnen stellen dat het selectieproces goed verlopen is moet een gedegen reconstructie op basis van documenten en interviews met betrokkenen uitgevoerd worden. De complexiteit van veel contracten bemoeilijkt een dergelijke reconstructie.

In het kader van het beperken van de risico’s is het aan te raden om in een audit ook te kijken naar contracten die voor een externe leverancier structureel niet winstgevend zijn. Dergelijke contracten hebben een verhoogd risico, omdat externe leveranciers gedurende de looptijd van het contract de kosten van het leveren van de automatisering omlaag zal proberen te brengen door bijvoorbeeld minder en/of minder ervaren IT professionals in te zetten voor de uitvoering van de automatisering. Dit verhoogdt het risicoprofiel.

Deze twee COBIT 5.1-processen vormen een goede basis voor het uitvoeren van een audit op een IT-outsourcingsrelatie!

Prof. dr. Erik Beulen, Universiteit van Tilburg en houder van de KPMG Global Sourcing leerstoel

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here