Het belang van ict voor de economie en de omvang van de sector roepen om structureel risicomanagement in de branche. In Nederland worden de risico's van ict-bedrijven zwaar onderschat. De debâcles bij Free Record Shop, Samas en Hagemeijer zijn sprekende voorbeelden. Er is daar veel geld en tijd verspild en ook reputaties liepen een flinke deuk op. Alex Kempe en Arie Benard proberen een vinger op de zere plek te leggen.
Een ict-bedrijf maakt of koopt software, verkoopt dit daarna al dan niet met extra diensten, implementeert het geheel en levert after sales diensten. Iedere fase in dit traject kent risico's, vanaf de ontwikkeling en het testen tot de ingebruikname door de klant. Het managen van verwachtingen door de ict-aanbieder is cruciaal in het hele proces.
Veel ict-bedrijven lopen tegen de gevolgen aan van de verwachtingen die de aanbieder zelf heeft gecreëerd bij de klant. Dat gaat over kwaliteit, functionaliteit, kosten en tijdsduur van de implementatie en leveringsvoorwaarden. Offertes en contracten blijken in de praktijk vaak multi-interpretabel. De koper legt een begrip als ‘live gaan' vaak net iets anders uit dan de ict-specialist.
Ook de eindgebruikerparticipatie bepaalt uiteindelijk of een ict-aanbieder volgens afspraak en planning kan opleveren. Denk aan de concrete werksituatie bij de klant, de beschikbare kennis, mensen, data en hardware. Strakke afspraken tussen klant en leverancier over de projectaanpak zijn noodzakelijk. Denk aan concrete rapportage, tijdlijnen en vooral ook interne communicatie bij het ict-bedrijf zelf. De verkoper is namelijk nooit degene die de producten daadwerkelijk implementeert.
Wederzijdse afhankelijkheid
Er zijn meer risico's voor een ict-ondernemer dan dat kunnen worden verzekerd. De verzekeringsdichtheid in de ict-branche is opvallend laag. Het is van belang ondernemers erop te wijzen dat zij er bewust voor moeten kiezen al dan niet verzekerd te zijn. Dat is belangrijk richting hun afnemers, medewerkers en aandeelhouders voor het geval er toch iets gebeurt dat schade berokkent.
Er zijn nog maar weinig gevallen bekend waarbij de koper overgaat tot het indienen van een claim. Dat komt vooral door de wederzijdse grote afhankelijkheid van partijen en de neiging om problemen zelf op te lossen en zo de relatie goed te houden. De koper heeft al zijn hoop al gevestigd op het nieuwe systeem, koos daar bewust voor en richtte de interne organisatie er al op in. De ict-leverancier investeerde in de relatie, kocht licenties in en plande zijn consultants. Meestal wordt er dan ook van twee kanten hard naar een oplossing gezocht, wordt er extra mankracht ingezet en worden problemen in den minne opgelost.
Er zullen echter steeds vaker situaties ontstaan waarin deze manier van oplossingen zoeken niet meer volstaat. Ict is op steeds meer vlakken een integraal onderdeel van de bedrijfsvoering geworden. De relaties tussen koper een aanbieder worden daardoor alsmaar professioneler. Er zijn meer ict-leveranciers en klanten zijn vrijer om te switchen. Inzet van extra personeel om een probleem op te lossen is gezien de schaarste op de arbeidsmarkt niet meer vanzelfsprekend. Het claimbewustzijn stijgt daarbij ook nog eens, zoals dat in alle markten het geval is.
Commercie en realiteit
Goed risicomanagement is ook bij ict-ondernemingen onontbeerlijk. Inzage in het interne proces door contractmanagement en rapportage zorgt ervoor dat risico's worden beperkt en verwachtingen zowel intern als extern in lijn zijn met de praktijk. Een goede verkoper schept de juiste verwachtingen en zorgt dat deze waar worden gemaakt. Accountmanagers en verkoopmedewerkers moeten zo zijn opgeleid dat zij weten wat hun product kan betekenen voor de klant en wat er van het ict-bedrijf verwacht mag worden. Als laatste punt in het verkoopproces moet er nauwgezet worden gekeken naar de leveringsvoorwaarden.
Leveringsvoorwaarden
Veel partijen krijgen te maken met de frictie tussen verkoopvoorwaarden en eigen inkoopvoorwaarden. In het geval van de standaard verkoopvoorwaarden (ICT~Office FENIT-voorwaarden) is de ict-leverancier bijvoorbeeld nooit aansprakelijk voor indirecte schade. Denk daarbij aan de inkomstenderving door kassa's en logistiek die door de uitloop of overgang niet goed functioneren et cetera. In onderhandelingen gaan aanbieders steeds vaker mee met de inkoopvoorwaarden van de prospect. Daardoor neemt de ict-aanbieder extra risico's die, voor het behoud van een gezonde vermogenssituatie en continuïteit van de bedrijfsvoering, verzekerd zouden moeten worden.
Niet alle problemen zijn uiteindelijk op basis van leveringsvoorwaarden op te lossen. Een goede verzekering sluit juist aan op die dagelijkse praktijk waarbij je niet altijd de leveringsvoorwaarden kan inroepen. Tot op heden werd er niet genoeg rekening gehouden met de nuances van de situatie bij een verzekerd ict-bedrijf. Denk bijvoorbeeld aan het feit dat in de meeste verzekeringen schade door het uitlopen van de oplevertermijn uitgesloten is. Als deze uitloop echter veroorzaakt wordt door een fout van het ict-bedrijf zelf, anders dan in de planning, zou dat als nuance in de verzekering van de ict-aanbieder moeten worden meegenomen.
Klein en groot
Al doet een ict-leverancier het nog zo goed, er is nagenoeg een honddrd procent foutmarge in ict-projecten. Bijna elk traject kent uitloop. Bijna elke opdracht kent onverwachte functionaliteitsissues. Dit geeft aan dat niet alleen voor grote automatiseringstrajecten een verzekering van belang is. Ook kleinere projecten kunnen veel risico's met zich meebrengen voor de leverancier. Een verzekering biedt een verhaalsmogelijkheid die voor alle klanten van de ict-aanbieder van belang is. Mocht er één project mislopen, lopen ook het implementatie- en after sales traject van andere opdrachtgevers gevaar, indien het ict-bedrijf in financiële moeilijkheden raakt.
Ict-bedrijven hebben een steeds grotere maatschappelijke verantwoordelijkheid om de continuïteit van hun diensten te waarborgen. Personeel is schaars en er is steeds minder uitwijk om alle problemen op eigen kracht op te lossen. Het bieden van verhaalsmogelijkheid is een volgende stap in het professionaliseringsproces van de ict-sector. Andere professionele dienstverleners zijn vaak verplicht verzekerd. Dat geldt voor ict (nog) niet. Het belang voor de economie en de omvang van de ict-branche staan niet in verhouding met de lage verzekeringsdichtheid van de sector.
Dynamische propositie
Ict-bedrijven die wel menen goed verzekerd te zijn doen er goed aan jaarlijks een controle te doen. Producten veranderen, bedrijven groeien en breiden hun aanbod uit. Als de verandering van de propositie en het bijbehorende risicoprofiel niet worden weerspiegeld in de verzekering, is de aanbieder onwetend onderverzekerd.
In de praktijk blijkt helaas dat er aan de kant van het ict-bedrijf, door tijd- en kennisgebrek, verzekeringen vaak met elkaar worden verward. Tegelijkertijd kan een verzekeringsadviseur vaak niet goed inschatten wat het ict-bedrijf precies doet. Het is dan ook van groot belang dat partijen goed afstemmen of er een bewust en weloverwogen besluit is genomen ten aanzien van de verzekering. Dat geldt in hoge mate voor bestuurders van grotere ondernemingen. Het voorkomen van risico's en dus ook het afwegen van de verzekeringsbehoefte is hun plicht.
In de ict gaat het om nullen en enen. Als die ergens per ongeluk worden omgedraaid, levert dat een schade op van een één met veel nullen. Ict is essentieel voor het bedrijfsleven en kent een extreem hoge foutmarge. Risicomanagement en het bijbehorende verzekeringsprofiel moeten ook in de ict-sector een normaal onderdeel van de bedrijfsvoering zijn.
Alex Kempe, senior risicoanalist beroepsaansprakelijkheid Nassau verzekeringen
Arie Benard, ict-specialist vanbreda Risks & Benefits
Verzekering dekt de schade
Het belang van een goede verzekering wordt met het hier volgende voorbeeld aangetoond.
Een grote ict-partij zou voor haar duizenden klanten (de opdrachtgevers) automatisch een specifiek onderdeel uit hun databases destilleren en dit cijfer aan de bevoegde overheidsinstantie sturen ten behoeve van een jaarlijkse rapportageverplichting. De ict-partij bleek onbetrouwbare gegevens in een incompleet sjabloon te hebben verwerkt waardoor alle aangeleverde getallen onjuist waren. Duizenden organisaties ontvingen van de overheidsinstantie een boete vanwege een verkeerde rapportage. Deze boete wilden de gedupeerden verhalen bij de ict-leverancier. Deze moest op zijn beurt ook grote investeringen in hardware doen om de gevraagde gegevens alsnog te kunnen genereren. Doordat de verzekering op orde was, kon in ieder geval de vermogensschade (boetes) worden bekostigd, zonder aantasting van de financiële situatie en bedreiging van het voortbestaan van de onderneming.
Risicomanagement betekent in mijn ogen niets anders dan ervoor zorgen dat na elke fase van een traject de wederzijdse afspraken (die, let op, pas gemaakt zouden moeten zijn na grondig vooronderzoek, systeemanalyse en duidelijke afspraken over deliverables en aan de hand van goedgekeurde requirements) en de afgesproken kwaliteit en inzet wordt getoetst. Dit verlaagt de foutmarge en daarmee de risico’s. Dat maakt een eventuele verzekering minder duur en daardoor interessanter voor de opdrachtnemer. Bovendien wordt op deze wijze het kaf vanzelf gescheiden van het koren: slecht presterende ict-leveranciers zullen steeds hogere premies moeten betalen en met een onverzekerde ict-er doet niemand zaken. Doe je dat toch: eigen schuld als het fout gaat.