ICT-leveranciersmanagement: kritisch bedrijfsproces van interne beheersing voor elke gemeente (deel 2 van 4)
Een vierdelige blogserie over een impuls aan interne beheersing van ICT bij gemeenten
Onderzoek¹ van het Ministerie van BZK wijst uit dat gemeenten niet altijd hun inkoopdocumentatie op orde hebben en vaak niet beschikken over een adequate inkoopstrategie. Dit verklaart waarom in toenemende mate de rechtmatigheid van inkoop en aanbestedingen bij de controle op de jaarrekening niet op orde is. Onderliggende oorzaak is dat veel gemeenten grote moeite3 hebben met de interne beheersing van de uitvoeringskwaliteit van hun ICT-projecten vanwege een structureel gebrek aan actuele en specialistische kennis. Het wordt hoog tijd dat gemeenten een verbeterslag maken in de uitvoeringsprocessen van hun ICT inkopen en aanbestedingen en tegelijk de kwaliteit van het ICT-leveranciersmanagement duurzaam verbeteren. In een vierdelige blogserie gaan Kees Groenveld van eSpecialisten en Bart Suers van Key2Control nader in op de uitdagingen die dat met zich meebrengt en de best practices om dat te realiseren.
Door Bart Suers
In de vorige blog is Kees Groeneveld al dieper ingegaan op de ontwikkeling dat er de laatste jaren nauwelijks aandacht is bij overheden om ICT-leveranciersmanagement te verbeteren, alle evaluaties, toename van complexiteit door technologische innovaties en ambities zoals de Wet Digitale Overheid ten spijt. En het gebrek aan aandacht is echt een hardnekkig probleem geworden. Vorig jaar kreeg opnieuw 14%2 van de gemeenten een afkeurende verklaring of verklaring met beperkingen bij de jaarrekeningcontrole. In 70% van deze gevallen waren onrechtmatigheden met betrekking tot (Europese) aanbestedingen de oorzaak. Als we nog wat dieper inzoomen blijken ICT-projecten nog altijd de grootste boosdoener. Er is nog steeds sprake van veel onrechtmatige inkoop van ICT, gebrekkig ICT-contractmanagement en een gebrekkige interne beheersing van het uitvoeringsproces. Dat zijn niet mijn woorden, die staan gewoon letterlijk in het onderzoek.
Dweilen met de kraan open
En helaas is mijn ervaring niet anders. Gemeenten concentreren zich met name op het intern beheersen van budgetten aan de voorkant om verantwoording te kunnen afleggen en niet op het inrichten en intern beheersen en verbeteren van de kwaliteit in de uitvoeringsprocessen aan de achterkant, feitelijk de prestatie die je als organisatie uiteindelijk levert. Ik noem dat dweilen met de kraan open. Het is zaak om eerst aantoonbaar grip te krijgen op de kwaliteit van je uitvoeringsprocessen. Pas dan kun je vaststellen dat er op rechtmatig is gehandeld bij het inkopen of aanbesteden van ICT en gaan die cijfers pas echt omlaag. Het is dus een maatschappelijk probleem want er is voor gemeenten nog heel veel winst halen in het verbeteren van ICT inkoop, aanbestedings, en leveranciersmanagement. Winst in tijd, geld en kwaliteit.
Organisatie overstag in denken en handelen
het initiatief nemen in professioneel inrichten van hun ICT het managen van leveranciersrelaties en het inkopen van ICT is een vakdiscipline. En het meekrijgen van de organisatie in deze verandering is geen sinecure. Het is een veranderopgave en dus lange adem. Vaak beginnen die veranderopgaven ambitieus want iedereen streeft toch hetzelfde doel na? Ja zult u denken maar heeft iedereen dan ook dezelfde verwachting van het resultaat? Daar begint het vaak te zwabberen. Het verenigen van alle stakeholders achter hetzelfde doel met dezelfde verwachting over de uitkomsten; het resultaat is de grootste veranderopgave gek genoeg en niet de uiteindelijke operationele verandering in het implementeren van taken, rollen verantwoordelijkheden (de governance) of het sturen op de effectiviteit en efficiency van het proces (performance). Zo heb ik terloops al 2 bouwstenen genoemd van ons model van interne beheersing dat we toepassen bij elke veranderopgave die we realiseren met gemeenten als het gaat om de verbetering van de kwaliteit van uitvoeringsprocessen.
In kaart brengen van de mate van interne beheersing
Om aantoonbaar in control te zijn op de kwaliteit van uitvoeringsprocessen kijken we vanuit 7 perspectieven naar de organisatie. Door het beeld vanuit deze 7 perspectieven op te halen leggen we de basis om de kwaliteit van de uitvoeringsprocessen voor ICT-leveranciersmanagement en ICT inkoop- en aanbesteden aantoonbaar te verbeteren en daarmee de rechtmatigheid te borgen.
De PDCA-cyclus dient als overkoepelend sturings- en correctiemechanisme en werkt op basis van het periodiek meten van beheersingsdoelstellingen de feitelijke organisatieprestatie dus. Dit mechanisme bestaat uit een gebalanceerde mix van repressieve maatregelen en preventieve maatregelen die worden toegepast vanuit de onderliggende bouwstenen.
Bij organisatiebesturing kijken we naar alle belanghebbenden; leidinggevenden en managers die primair verantwoordelijk zijn voor hun operationele processen, staffunctionarissen zoals de inkoper en businesscontroller en ook de verbijzonderde interne controle (VIC) of interne auditfunctie (IAF). Die laatste groep wordt vaak vergeten maar zijn juist belangrijk omdat ze belast met het periodiek toetsen van de werking van ingezette beheersmaatregelen bij de leidinggevenden en managers op effectiviteit.
Met naleving kijken we naar naleving van wet- en regelgeving en organisatie specifieke regels en richtlijnen die zijn ingebed in het operationele proces. Door het treffen van de juiste beheersmaatregelen zoals procedures, handboeken, training, functiescheiding, vastleggen van bevoegdheden, taken en dergelijke ontstaat voorspelbaar gedrag in de organisatie. Dit is al een proces op zichzelf om te managen maar wel een proces dat gericht is op he borgen van de inhoud die vanuit wet- en regelgeving die afspraken voorschrijven die moeten worden nageleefd.
Bij de interne controle nemen we 2 zaken in ogenschouw. Enerzijds het treffen van passende beheersmaatregelen in het operationele proces. Anderzijds het inrichten van het interne toezicht oftewel de auditfunctie daarop, Via het interne toezicht kan namelijk de effectieve werking van de ingezette beheersmaatregelen worden getoetst. In de praktijk betekent die toetsing platweg gewoon het volgen van informatie- en geldstromen door middel van dossier- en transactieonderzoek.
Prestatiemeting richt zich op meetbare beheersdoelstellingen. Dat zie je dus terugkomen in de P&C cyclus in de begroting, voortgangsrapportage en uiteindelijk de jaarrekeningcontrole waar zoveel om te doen is in de context van de rechtmatigheid van ICT- inkopen en aanbesteden.
De menskant oftewel cultuur en ethiek krijgen vaak de minste aandacht omdat het lastig is om dit tastbaar te maken. Ook hier dienen preventieve en repressieve beheersmaatregelen in balans te zijn. Denk aan het bepalen van het volwassenheidsniveau, gedragsregels en de mate van afstemming tussen de business en IT. Omdat dit zo belangrijk is ga ik daar in een apart blog nog speciaal in op dit aspect.
Bij risicobeheer tenslotte maken we de afweging om hier niet in door te schieten. Elke onzekerheid kan wel als risico (kans x impact) worden gemotiveerd en de verleiding is groot om in een eindeloze sessie een tsunami aan risico’s als een verstikkende deken over de organisatie uit te storten. Die vervolgens als een molensteen om het proces van verandering en adoptie van interne beheersing van ICT-leveranciersmanagement hangen. Daarom stellen we 1 risico centraal en dat is het risico dat gemaakte afspraken niet in de organisatie worden nageleefd. Dat los je niet op met ‘kans * impact’, maar door kwaliteitsmanagement te introduceren.
Oplossing voor gemeenten
Het aanbesteden en inkopen van ICT en het uitvoeren van ICT-leveranciersmanagement is geen sinecure. In 2019 sloegen eSpecialisten en Key2Control daarom de handen ineen om met elkaar te gaan samenwerken. Het resultaat is een controleraamwerk ICT Inkoop, Aanbesteden en Leveranciersmanagement dat als aparte module beschikbaar kan worden gesteld in de bestaande Key2Control GRC software. Bij deze module wordt ook een documentatie set meegeleverd die is samengesteld vanuit de vertaling van o.a. eerdere handreikingen en best- practices. Om de implementatie en adoptie van deze module te borgen heeft eSpecialisten een specifiek aanpak ontwikkeld op basis van jarenlange ervaring. Die aanpak gaat uit van een vijf stappen groeimodel. Op een gecontroleerde en gestructureerde wijze kunnen overheden stappen gaan zetten in het professionaliseren van ICT-Leveranciersmanagement.
In de derde blog uit deze serie neemt Kees Groeneveld het weer over en gaat in op een bewezen aanpak en groeimodel voor ICT-Leveranciersmanagement. Bent u geïnteresseerd in onze visie en aanpak en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt. U vindt onze contactgegevens op www.especialisten.nl of www.key2control.nl