Risicomanagement ICT contracten
Contracten worden gesloten om doelstellingen te realiseren. Zowel de leverancier als afnemer van producten of diensten wensen waarde te creëren voor de eigen organisatie. Een contract behelst daarnaast ook risico’s die ontstaan indien verplichtingen niet (kunnen) worden nagekomen en nadelige resultaten daaruit voortvloeien.
Doorgaans is de impact aan beide kanten groot. Bij ICT-contracten kunnen de risico’s rond het tekortschieten uit de contractuele verplichtingen omvangrijk zijn. Zeker bij ICT-projecten met enige omvang of complexiteit.
Welke risico's?
Claims voor schade als gevolg van tekortschieten uit de contractuele verplichtingen kunnen vele kostenposten omvatten zoals voor herstel van schade, noodvoorzieningen (uitwijk), inhuren van derden, personeelskosten, kosten van noodgedwongen langer operationeel houden van oude systemen, kosten van niet inzetten van medewerkers (leegloop), boetes en deskundigenonderzoek.
Naast de schade van de afnemer kan de leverancier, die zelf ook vele eigen uren en middelen verloren zal zien gaan en juridische kosten zal hebben, ook nog geconfronteerd worden met een andere claim, namelijk de restitutie van door de klant eerder betaalde facturen.
Nut en noodzaak risicomanagement
Om de doelstellingen van een contract te realiseren is het zaak om risico’s te onderkennen en deze zo mogelijk te beperken of uit te sluiten door het treffen van passende maatregelen. Risicomanagement is dan ook een aandachtspunt bij het sluiten en uitvoeren van contracten.
Wat is risicomanagement?
Risicomanagement is het proces van identificeren en kwantificeren van risico's en het vaststellen van beheersmaatregelen. Daarmee wordt gedoeld op activiteiten waarmee de kans van optreden of de gevolgen van risico's worden beheerst in de mate waarin dit wenselijk of noodzakelijk wordt geacht.
Een risico is de kans op het optreden van een gebeurtenis, die een negatief gevolg voor de organisatie met zich mee kan brengen. Daarmee is niet gezegd dat ieder risico uitgesloten dient te worden.
De wijze waarop een organisatie omgaat met risico’s is immers sterk verschillend. Risico’s liggen (vaak) dicht aan tegen (positieve) kansen.
De mate waarin een organisatie of betrokken personen risico’s wensen te nemen varieert en is subjectief (“risk appetite”). Risicomanagement beoogt ultimo het waarborgen van de continuïteit van de organisatie.
COSO ERM-Model
Voor risicomanagement bestaan meerdere modellen (standaarden). Met name bekend en wereldwijd toegepast is het COSO ERM-model (Enterprise Risk Management Integrated Framework) voor de beoordeling en inrichting van risicomanagement (COSO is het Committee of Sponsoring Organizations of the Treadway Commission).
Risicomanagement wordt doorgaans gezien als een proces met daarin (tenminste) de volgende zes stappen.
Identificeren van risico’s (in brede zin vaststellen van voorkomende risico’s)
Vaststellen/ontwikkelen van de beoordelingscriteria (met name in termen van impact en kans)
Beoordelen risico’s (waarden toekennen)
Risico interacties beoordelen (risico’s in hun context inschatten, ook afgezet tegen eventuele positieve kansen/opportunities)
Risico prioriteiten stellen (vaststellen mede in het licht van subjectieve criteria)
Reageren op risico’s (accepteren, reduceren, overdragen of vermijden)
Uiteenlopende risico's contracten
Contracten zijn een van de belangrijkste bronnen van risico’s die een organisatie bedreigen. Daarmee doel ik niet specifiek op “het contract” als juridisch document maar op het contract (de overeenkomst) op zich. In het kader van een ICT-contract worden verplichtingen aangegaan waarop men kan worden afgerekend.
De risico’s kunnen beperkt zijn tot een contract met een bepaalde partij maar ook tot een bundel van contracten met meerdere partijen. Denk bijvoorbeeld aan de Cloud leverancier die een SaaS-dienst aanbiedt aan tientallen klanten en geconfronteerd wordt met een storing bij de hosting provider die ertoe leidt dat de Cloud leverancier ingevolge zijn respectievelijke contracten met de klanten jegens zijn klanten tekortschiet als gevolg van die storing.
Risico’s op contracten zijn wisselend en sterk afhankelijk van de kenmerken (zoals de verplichtingen), de betrokken partijen en de omgeving (externe omstandigheden). Een korte detacheringsklus kent andere risico’s dan een overeenkomst tot ontwikkeling en implementatie van maatwerksoftware voor een core business bedrijfsproces van de afnemer met fixed price en/of fixed date. Een beschouwing van alle relevante omstandigheden draagt bij in het inzicht in het risico van het desbetreffende contract.
Contractrisicoprofiel
Een nuttig hulpmiddel om zicht te krijgen op de risico’s in een bestaand contract is het opstellen van een zogenoemd contractrisicoprofiel (Zie voor meer informatie: J. van Beckum en G.J. Vlasveld, CM Editie 2014. Contractmanagement voor opdrachtgever en leverancier, VHP Publishing 2014).
Het maken van het contractrisicoprofiel omvat:
het identificeren van risico’s die aan het contract verbonden zijn;
het vaststellen van de zwaarte ervan; en
het (per onderscheiden risico of geheel van risico’s van het contract) bepalen van de beheersmaatregelen.
Met het contractrisicoprofiel kan in kaart worden gebracht welke pijnpunten bestaan en op welke wijze die gemanaged dienen te worden.
Eigenschappen van een contract
Van Beckum/Vlasveld hebben in hun model van het contractrisicoprofiel aandacht voor de volgende eigenschappen:
Contractskenmerken (type werk/type contract, politieke gevoeligheid, doorlooptijd, contractswaarde)
Resources (beschikbaarheid, complexiteit/leveringservaring, resources profiel, project- en servicemanagementervaring)
Contractkwaliteit (contractsdossier, annuleringsconditie(s), realistische planning, realistische oplossing, factureringcondities)
Organisatorische aspecten (stabiliteit leverancier/afnemer, commitment van contracteigenaar, leverings c.q. demandeigenaar, contractboard/stuurgroep en overeenstemming project en servicemanagers)
Contractdoelstellingen (beschikbaarheid, realiseerbaarheid)
Andere aspecten (overig)
Voortdurende verbetering profilering contracten
De kracht van een contractrisicoprofiel ligt met name in het op maat maken van ervan op basis van opgebouwde ervaring en deskundigheid die is of wordt opgebouwd. Waardevolle ervaring dient niet alleen gekoesterd te worden maar vooral te worden gebruikt voor concrete inzet bij toekomstige ICT-contracten. In dat verband is het van groot belang om bij contracten ook telkens te reflecteren op verbeteringen bij toekomstige en andere contracten.
Beheersingsmaatregelen contract
Door de risico’s te identificeren en aan de onderscheiden risico’s een waarde toe te kennen wordt het ook mogelijk om een gestructureerde aanpak te ontwikkelen voor beheersingsmaatregelen waar deze mogelijk en nodig zijn. Beheersingsmaatregelen kunnen zeer uiteenlopend zijn (technisch, juridisch, financieel, organisatorisch). Een aantal (algemene) voorbeelden in willekeurige volgorde:
Monitoren en overleggen (informatie inwinnen)
Informeren (actief informatie verstrekken)
Adviseren (vertellen wat de ander zou kunnen doen/moeten doen, ook weer in gradaties)
Checken of veronderstellingen juist zijn/kennis aanwezig is
Waarschuwen voor risico’s
Vragen om een benoemd risico voor rekening te nemen
Een plan van aanpak/verbeterplan vragen
Escaleren (een issue laten behandelen door personen op een hoger niveau in de hiërarchie)
Laten onderzoeken (bepaalde expertise erbij betrekken zoals financieel, juridisch, technologisch)
Een klacht neerleggen/in gebreke stellen met aanleg klachtendossier
Aanvullende afspraken over wijzigingen maken en schriftelijk vastleggen
Opdracht teruggeven/overeenkomst beëindigen
Contractrisicoprofiel vóór het sluiten van het contract
Het contractrisicoprofiel van Van Beckum/Vlasveld gaat primair over een contract dat al is afgesloten. Het maakt deel uit van het contractmanagement van een reeds tot stand gekomen overeenkomst.
Uiteraard geldt dat het contractrisicoprofiel ook als instrument gebruikt kan worden voorafgaand aan de sluiting van een contract. Dan geldt voorts dat een belangrijk extra middel aanwezig is om risico’s te beheersen aangezien in dat stadium in beginsel de mogelijkheid bestaat om – middels onderhandeling met de andere partij – de voorwaarden van de nog te sluiten overeenkomst te wijzigen of zo nodig de overeenkomst niet aan te gaan.
Contracteren is risico’s verdelen en dat kan ook inhouden het verleggen van risico’s naar de andere partij. Een goed contract zorgt ervoor dat risico’s reeds zo veel mogelijk worden uitgesloten of beperkt.
Heeft u belangstelling om met onze ICT-jurist te overleggen wat hij of zij kan doen om u te helpen bij een contract dat op de juiste wijze met risico’s omgaat? Laat het ons weten. We komen graag met u in contact.
Literatuur
Zie voor meer informatie over risicomanagement van contracten en het opstellen en beoordelen van een contractrisicoprofiel de volgende literatuur.
Contractmanagement voor ICT op basis van CATS CM van J. van Beckum en G.J. Vlasveld, Van Haren Publishing, 2008
CATS CM (editie 2014), Contractmanagement voor opdrachtgever en leverancier van J. van Beckum en G.J. Vlasveld, Van Haren Publishing 2014
Risicomanagement in de praktijk, U.P.W.L.M. Claassen, Kluwer 2012
Procurement control, Remko van der Honing, Kluwer 2012
Kosten, baten en risico’s van ICT-investeringen, Merijn van der Zalm en Peter Noordam, Kluwer 2003
Downloads
Download hier de volgende relevante bijdragen:
Contractmanagement is een must, R. Grandia en G.J. Vlasveld, Automatiseringgids 9 juli 2010
Nut en noodzaak contractmanagement. Lessen uit de ICT-contractspraktijk, NEVI-Pianoo Congres 2014
COSO biedt in aanvulling op het Enterprise Risk Management Integrated Framework ook diverse publicaties over specifieke aandachtspunten van risicomanagement. Zie bijvoorbeeld:
COSO in the Cyber Age: Report Offers Guidance on Using Frameworks to Assess Cyber Risks, COSO, 2015 klik hier
Enterprise Risk Management for Cloud Computing, COSO 2012 klik hier
Contact en meer weten?
Heeft u vragen of wilt u contact over wat Legalz als ICT-jurist voor u kan betekenen, neem dan contact op of bel +31 (0)10 2290646 en spreek meteen een medewerker.