Bij het uitbesteden van interne IT naar een externe dienstverlener is inmiddels wel bekend dat er rekening gehouden moet worden met 15% (regie) kosten voor de aansturing. Maar geldt deze regel ook voor het aansturen van clouddiensten of gelden daar andere uitgangspunten?
In veel organisaties worden steeds meer clouddiensten gebruikt en aangeschaft. Wat ik zie, is dat organisaties worstelen met de aansturing en het beheer hiervan. Deze worsteling wordt mede veroorzaakt door onvoldoende tijd en budget.
Bij uitbestedingen kon je aannemen dat je ongeveer 15% van de uitbestede waarde moest reserveren voor interne aansturing. Hieronder vielen dan rollen als service level management, contractmanagement, service management, etc.
Hoe zit dat met clouddiensten?
Clouddiensten zijn aantrekkelijk. Ze zijn goedkoop en betrouwbaar. Deze eigenschappen zitten inherent in de gedeelde omgeving van waaruit de diensten geleverd worden: een schaalbare IT omgeving waarin resources worden gedeeld en een eenduidige dienst wordt geleverd. Een ander kenmerk is dat een cloud dienst niet persé via IT aangeschaft hoeft te worden. Elke afdeling met een creditcard en eigen budget kan een clouddienst afnemen.
Kan nu gesteld worden dat hiermee de 15% management opslag die de organisatie zou moeten rekenen voor de aansturing van deze diensten vervalt?
Dit is niet het geval. Een clouddienst moet worden aangeschaft, contractvoorwaarden moeten worden getoetst en afhankelijk van het risicoprofiel van de dienst en het soort data dat wordt verwerkt, moet deze actief worden gemonitord en gemanaged.
De afgelopen jaren lijkt dit vergeten en zijn er ongebreideld clouddiensten aangeschaft en geïntroduceerd. Zowel IT afdelingen als business afdelingen zijn de voordelen van diensten als Office 365, Google Docs, virtualisatie in de cloud en SaaS pakketten gaan inzien. Reductie van kosten, eenvoud van implementatie en onafhankelijkheid van de interne IT dienstverlener zijn daarbij veel gehoorde voordelen. De rollen die betrokken waren bij de aansturing van de oude uitbestedingen van IT zijn opgeschoven richting service portfolio management en vraagbundeling.
In de praktijk zien we nu dat bedrijven met name op het vlak van risicomanagement, privacy en security actie moeten ondernemen om de risico’s die ze lopen binnen de perken te houden. Risico’s met betrekking tot compliancy met de privacywetgeving en risico’s met betrekking tot continuïteit, beschikbaarheid en vertrouwelijkheid (dataclassificatie!) zijn zeer beperkt meegenomen. De reden hiervoor is dat trajecten voor het aanschaffen van cloud en SaaS vaak zijn gelopen als ware het on-premise applicaties.
Een andere belangrijke reden is dat ook binnen de wetgeving en bij toezichthouders cloud in de belangstelling staat. IT heeft hierin een beperkte rol, zij zijn immers vaak geen eigenaar of beheerder van de applicatie of het contract.
Daarbij komt dat bij de levering van functionaliteit uit een privé datacenter alle randvoorwaarden al contractueel zijn ingevuld. Zaken ten aanzien van rapportage, back-up en recovery, data protectie, exit clausule zijn al geregeld en daar hoeft niet opnieuw over te worden nagedacht. Bij een landschap met veel kleine maar belangrijke cloud diensten zoals SaaS oplossingen voor financiën of HRM moeten voor elke overeenkomst dezelfde voorwaarden worden geborgd en gemonitord.
Overzicht in jouw clouddiensten landschap is belangrijk
Veel organisaties weten niet hoeveel cloud ze eigenlijk afnemen en hebben ook geen inzicht in risico’s en de wijze van aansturing. Dit komt mede omdat verandering in de wijze waarop cloud wordt ingekocht en geleverd nog niet is vertaald naar de rollen en functies in de organisatie.
Naast de noodzaak om tijdens het inkopen van clouddiensten expliciet rekening te houden met het mitigeren van aan cloud gerelateerde risico’s en het voldoen aan wet en regelgeving is het raadzaam om ook voor de besturing van clouddiensten uit te blijven gaan van een 15% opslag voor de aansturing, maar dan wel vanuit andere plekken in de organisatie, met andere rollen en met andere competenties waarbij de focus meer komt te liggen op architectuur, contract management, risico beheersing en compliance in plaats van op service management.
Meer weten?
VKA heeft ruime ervaring in vraagstukken die te maken hebben met de Cloud. Neem daarom contact met ons. We staan je graag te woord!