Global sourcing en COBIT 5.1 positie in opleiding

30 maart 2015
In dit artikel:

De afgelopen decennia is het aandeel van de automatisering dat wordt verzorgd door externe leveranciers gestaag gegroeid. Organisaties die meer dan 75% van hun automatisering hebben uitbesteed zijn geen uitzondering. Ook is het aantal externe leveranciers waar organisaties mee samenwerken gegroeid. Verder wordt een steeds groter deel van de automatisering niet meer in Nederland uitgevoerd maar in lagelonenlanden zoals India, China, Polen of Roemenië. De uitbesteding van de automatisering vraagt om specifieke aandacht in een audit. Cobit 5.1 biedt een auditor hiervoor handvaten. In de Executive Master of IT-auditing van de TIAS School for Business and Society wordt ruim aandacht besteed aan het operationaliseren van audit frameworks zoals Cobit 5.1. In de recent doorgevoerde vernieuwing van het gehele programma dat sinds september 2014 wordt gehanteerd is de aandacht voor sourcing, outsourcing en het beoordelen daarvan geïntensiveerd.

Cobit 5.1 bestaat uit 37 governance- en managementprocessen. In het domein ‘Align, Plan and Organize’ vragen twee processen bijzondere aandacht in een audit van een organisatie die haar automatisering (deels) heeft uitbesteed. Het eerste proces is ‘Management Service Agreement’ (APO09). Essentieel is het aansluiten van door de externe leveranciers geleverde automatisering en de gecontracteerde automatisering. In een audit verdienen met name aanpassingen aandacht (‘identify new or changed services or service level options’). Hierbij zijn de getekende contracten en de overeengekomen wijzigingen in een audit de basis-inputgegevens. Ten aanzien van de wijzigingen staat de vraag centraal of het change-managementproces op de juiste wijze is doorlopen. Ook zullen organisaties zich moeten afvragen of er een meerwaarde is indien de gerealiseerde services levels hoger zijn dan de gecontracteerde service levels (‘business requirements are beyond performance, service levels and satisfaction’). Voor externe leveranciers zijn de kosten van de hogere services levels in veel gevallen substantieel, waar in de praktijk de meerwaarde voor klantorganisaties beperkt is.

Het tweede proces dat essentieel is in een audit bij uitbestede automatisering is  ‘Managing Suppliers’ (APO10). Dit proces is gericht op het beperken van de risico’s van externe leveranciers die niet in staat zijn de gecontracteerde automatisering te leveren (‘minimise the risk associated with non-performing suppliers’) en het realiseren van een marktconforme automatisering. Deze laatste doelstelling is vanuit IT-auditperspectief minder relevant. Veel contracten bevatten benchmarking-clausules om marktconformiteit te kunnen afdwingen. Bij het beperken van de risico’s staat uiteraard compliancy centraal. Opvallend hierbij is dat Cobit 5.1 binnen dit proces niet expliciet refereert aan de enterprise-architectuur en de IT-architectuur. In een audit van uitbestede automatisering is het aan te bevelen om hieraan aandacht te besteden. Verder gaat dit proces ook in op het selectieproces van de externe leveranciers (‘select suppliers according to a fair and formal practice’). Het uitvoeren van een audit op een selectieproces is geen sinecure. In het kader van het beperken van de risico’s is het aan te raden om in een audit ook te kijken naar contracten die voor een externe leverancier structureel niet winstgevend zijn. Dergelijke contracten hebben een verhoogd risico, daar externe leveranciers gedurende de looptijd van het contract de kosten van het leveren van de automatisering omlaag zullen proberen te brengen door bijvoorbeeld minder en/of minder ervaren IT-professionals in te zetten voor de uitvoering van de automatisering. Dit verhoogt het risicoprofiel.

Al deze dynamiek maakt het beoordelen van de automatisering en de organisatie van de automatisering voor een IT-auditor gelukkig niet saai.

Geen categorie

Prof. dr. E. (Erik) Beulen

Erik Beulen is hoofddocent in de Executive Master of IT-auditing van de TIAS School for Business and Society en houder van de KPMG Global Sourcing leerstoel aan Tilburg University.