Toch loop je risico’s als je je IT-functies niet stevig belegt, in je middelgrote of kleine pensioenorganisatie. Wat is noodzakelijk om zelf in ieder geval geregeld te hebben als je je IT hebt uitbesteed?
1. Blijf actueel
Zorg ervoor dat je als fonds technisch bij blijft en actualiseer expliciet je IT-strategie. Het is goed om hiervoor iemand aan te stellen, want de meeste medewerkers houden zich bezig met hun eigen dagelijkse werk en niet met onderzoeken hoe hun werk efficiënter kan met nieuwe IT en welke richting dat in de toekomst moet krijgen (al kunnen ze daar natuurlijk wel input voor leveren).
Je leveranciers kunnen je hier ook maar tot op zekere hoogte bij helpen. Je leverancier is al snel genegen om zijn eigen producten te verkopen, terwijl er mogelijk betere producten in de markt zijn. Daarnaast overziet de leverancier vaak niet je volledige IT-landschap en kan deze daarom niet bepalen wat het beste is voor jouw fonds.
2. Zorg voor juiste management
Zorg voor service level management, leveranciersmanagement en contractmanagement. Het is niet handig om aan de leverancier over te laten welke service je krijgt. Leveranciers hebben het druk en reageren vaak als eerste op de grootste klant of eventueel de klant die het hardste roept. Over het algemeen zijn dat niet de middelgrote en kleine pensioenfondsen. Er moeten dus vooraf zeer heldere afspraken worden gemaakt over de vereiste servicelevels en in het contractmanagement moet worden geëvalueerd of hieraan wordt voldaan. Doe je dit niet, dan is de kans groot dat je niet het serviceniveau krijgt wat je had verwacht en lopen je processen vaak spaak.
3. Eigen incident- en problemmanagement
Voer je eigen incident- en problemmanagement uit. Het is misschien verleidelijk om incident- en problemmanagement aan je leveranciers over te laten, want ook zij hebben een incident- en problemmanagement. Maar als je zelf de incidenten niet monitort, dan kan je de leverancier ook niet achter de broek zitten. Bovendien geldt dat wat een probleem is voor het pensioenfonds, niet per se ook een probleem hoeft te zijn voor je leverancier. Je leverancier kan je problemmanagement dus nooit overnemen. Dit te meer omdat ook de oplossingen die in het problemmanagement van je eigen fonds kunnen worden gevonden, kunnen afwijken van die van de leverancier. Mogelijk kan je bijvoorbeeld een module gebruiken van een applicatie van een andere leverancier die beter werkt en waarmee het probleem is opgelost. Heb je geen eigen incident- en problemmanagement, dan loop je dus het risico voor de hand liggende oplossingen te missen en je leverancier niet in de grip te houden.
4. Gestructureerd change-, project-, projectportfoliomanagement
Als je zelfadministrerend bent, zorg dan voor een gestructureerd change management, projectmanagement en projectportfoliomanagement. Hoewel de leverancier vaak zorgt voor een projectleider die zich bezighoudt met de technische kant van de wijziging, moet de verandering ook intern worden doorgevoerd. Daarbij moet worden afgestemd op het werk dat in de staande organisatie wordt uitgevoerd en ook op het werk rondom andere projecten. Een organisatie en de mensen die er werken kunnen immers maar een beperkte hoeveelheid changes absorberen. De verandercapaciteit is beperkt. Heb je deze zaken intern niet goed geregeld, dan loop je het risico dat er te veel tegelijkertijd komt.
5. Interne functioneel beheerders
Wijs interne functioneel beheerders onder de gebruikers aan per applicatie. Hoewel het echte functioneel beheer waarschijnlijk bij leveranciers wordt uitgevoerd, is het niet altijd makkelijk voor gewone gebruikers om het probleem zo te definiëren dat het wordt opgepakt door de leverancier. Stel je een gebruiker aan als interne functioneel beheerder, dan kan deze zich bekwamen in de applicatie en de serviceverlening bij de leverancier en is dat een goede gesprekspartner voor gebruikers en beheerder bij de leverancier.
6. Stel IT-risk en information security manager aan
Stel een IT-risk en information security manager aan. Dat geldt zeker voor een zelf administrerend fonds dat de IT grotendeels heeft uitbesteed. Je leveranciers moeten allemaal voldoen aan de Good Practice Informatiebeveiliging van DNB en om dit op afstand te kunnen beoordelen, is het goed om daar iemand voor aan te stellen met ervaring in het vakgebied.
Met bovenstaande heb je een beperkte basis geregeld. Natuurlijk zijn er naast bovenstaande processen nog meer IT-processen die belangrijk kunnen zijn, gezien de specifieke kenmerken van je fonds. Hoe dan ook betekent uitbesteden niet dat een fonds zelf niets meer hoeft te doen aan zijn IT-processen.