De risico’s bij IT uitbesteding

De risico’s bij IT uitbesteding

“Als de baten niet opwegen tegen de risico’s dan moeten we de IT vooral niet uitbesteden”

Binnen dit Ministerie werd al jaren nagedacht over het uitbesteden van de IT-dienstverlening naar daarin gespecialiseerde organisaties. Veel systemen van dit Ministerie behoren tot de kritische infrastructuur en de informatie op de systemen is veelal zeer vertrouwelijk. De organisatie bevond zich in een spagaat tussen uitbesteden (omdat gespecialiseerde bedrijven het vast tegen lagere kosten kon leveren) of toch zelf organiseren (omdat er veel risico’s aan uitbesteden kleefden). Er was onvoldoende zicht op de risico’s van uitbesteden en er werd gezocht naar een methode om deze risico’s beter inzichtelijk te krijgen zodat een gefundeerd besluit kon worden genomen. 

De klant stelde de volgende vraag

De Manager van de interne Auditafdeling vroeg ons een risico management methode te ontwikkelen waarbij de risico’s van IT uitbesteding inzichtelijk moesten worden gemaakt.

De aanpak

Op basis van literatuuronderzoek is gekeken naar welke (wetenschappelijke) methodes beschikbaar waren voor het inzichtelijk maken van dergelijke risico’s en van welke geleerde lessen uit andere uitbestedingstrajecten geprofiteerd kon worden.

Hieruit is niet alleen een methode naar voren gekomen maar zijn ook de oorzaken en gevolgen van specifieke uitbestedings-risico’s bij andere grootschalige uitbestedingstrajecten in de methode verwerkt.

Het resultaat

De risico’s voor dit uitbestedingstraject zijn in kaart gebracht en de kans en de impact van de verschillende bedreigingen zijn ingeschat.

Op basis van de uitkomsten van de risico analyse is destijds besloten om de IT voorlopig niet uit te besteden. De risico’s wogen blijkbaar (nog) niet op tegen de baten.

Overigens is dit geen definitief besluit en zal na een aantal jaar wederom worden onderzocht of de risico’s al acceptabel zijn zodat alsnog tot uitbesteding kan worden overgegaan.

Het gevolg

Het gevolg is dat er nog niet is overgegaan tot uitbesteding van de totale IT van dit Ministerie en dat als de organisatie na een aantal jaar wederom voor de keuze wordt gezet (vanwege bezuinigingen opgelegd vanuit de politiek) men over een methode beschikt die ze de risico’s, de oorzaken en de mogelijke gevolgen duidelijk maakt. Op basis hiervan kan de politiek een afgewogen besluit nemen.