Software is tegenwoordig het grootste kapitaalgoed van organisaties. Dat vraagt om serieus risicomanagement, maar daar is amper sprake van in het Nederlandse bedrijfsleven. Dat heeft grote financiële gevolgen en remt de innovatie.
Software is, in zijn vele verschijningsvormen, de motor van de Nederlandse economie. Dankzij software verwerkt de Rotterdamse haven 461 miljoen ton aan goederen per jaar, registreren onze banken dagelijks tienduizenden betalingen en rijden er over een paar jaar zelfrijdende auto’s door onze straten. De afhankelijkheid van software is enorm. Een storing van een uur levert al enorme problemen op.
Bijproduct
In de vorige eeuw was software nog een bijproduct dat bepaalde zaken efficiënter maakte. Sindsdien is het in hoog tempo beter, geavanceerder en intelligenter geworden. Software is uitgegroeid tot het belangrijkste kapitaal van bedrijven. De volgens Gartner jaarlijks groeiende softwarebudgetten laten dat ook zien. Maar waar software op technisch en zakelijk vlak een enorme ontwikkeling heeft doorgemaakt, is het risicomanagement ervan nog in de vorige eeuw blijven hangen.
Organisaties bekommeren zich nauwelijks om de risico’s van software, terwijl ze er jaarlijks grote percentages van hun budget aan spenderen. Veel verder dan een manueel lijstje van alle softwareproducten in de organisatie komt men vaak niet. Dat is een werkwijze die prima werkt voor fysiek eigendom, zoals kantoorgebouwen en machines. Bij software gaat het echter niet om bezit, maar om intellectueel eigendom en gebruik. Een manueel lijstje is bij lange na niet genoeg om inzicht te krijgen in die complexe wereld van ontelbare licenties, gebruiksrechten en contractuele voorwaarden. In deze virtuele wereld ligt contractbreuk altijd op de loer. Niet in de laatste plaats omdat de voorwaarden van de ene op de andere dag kunnen veranderen.
Financiële risico’s
Dit brengt vooral vanuit compliance-oogpunt grote financiële risico’s met zich mee. Het overtreden van de licentievoorwaarden kan leiden tot megaclaims van softwareleveranciers als Oracle, SAP, IBM en Microsoft. De Belgische multinational InBev kan erover meepraten. Eerder dit jaar eiste SAP zeshonderd miljoen dollar van het drankenconcern voor ongeoorloofd gebruik van software. Dergelijke sancties zijn ook in het Nederlandse bedrijfsleven niet uitzonderlijk, al weten de meeste organisaties ze buiten het zicht van de pers te houden. Onderzoek van IDC laat zien dat softwareleveranciers steeds vaker audits uitvoeren om contractbreuk aan het licht te brengen – het is een vast onderdeel van hun verdienmodel geworden.
Het spreekt voor zich dat een miljoenenclaim desastreuze gevolgen kan hebben voor de bedrijfsvoering van een organisatie. Het is bovendien een rem op innovatie. Juist de meest innovatieve bedrijven zijn volledig afhankelijk van software en een claim brengt hun voortbestaan in het geding. Met zulke grote financiële consequenties kan er angst ontstaan om nieuwe dingen te proberen en investeringen te doen.
De it-afdeling kan en moet een dergelijke situatie voorkomen, door samen met finance en legal écht werk te maken van risicomanagement van software. Het amateurisme van de vorige eeuw moet definitief worden losgelaten. Software heeft inmiddels een prominente positie in organisaties veroverd. Nu het risicomanagement nog.