Bij inkoop en aanbesteding worden keuzes en (financiële) afspraken met marktpartij(en) gemaakt die impact hebben op beheer en onderhoud. Het is dan ook belangrijk om heldere contractafspraken te maken en passende stuurmiddelen in te richten.
Toetsaspecten voor dit risicogebied
1. Contracten en afspraken zijn inzichtelijk en worden onderhouden
Afspraken met leveranciers zijn beschreven in contracten en dienstverleningsovereenkomsten. Hierin staan concreet en meetbaar de afspraken en wederzijdse verplichtingen, waaronder het recht op controle en audit. Er is een actueel inzicht in alle lopende contracten inclusief de daarbij betrokken onderleveranciers. De samenwerking tussen opdrachtgever en leverancier wordt periodiek geëvalueerd en de uitkomsten komen in een contractdossier. De doelmatigheid van contracten wordt periodiek geëvalueerd.
2. De beheerorganisatie kan sturen op gemaakte afspraken
De kwaliteit van dienstverlening is gedefinieerd en wordt gemeten, beheerst en bewaakt. De beheerorganisatie ziet erop toe dat leveranciers hun afspraken nakomen. Doet een leverancier dit niet, dan moet duidelijk zijn voor betrokken partijen wat de oorzaak is en wat de consequenties zijn, zowel financieel als voor de ondersteuning van het informatiesysteem. Binnen de organisatie is voldoende kennis aanwezig om een gelijkwaardig gesprek te voeren met leveranciers.
3. Er is een exit-strategie
Er moet een vooraf opgestelde exit-strategie zijn voor de afgesloten contracten. In die strategie staat minimaal wat de alternatieve leveranciers of producten zijn en hoe de migratie van informatiesystemen en data er op hoofdlijnen uitziet. De afspraken hierover zijn ook in de daarvoor relevante contracten opgenomen.
4. Afspraken voorzien in overdracht naar een andere leverancier
Alles wat nodig is om het informatiesysteem te kunnen beheren, onderhouden en exploiteren, moet kunnen worden overgedragen naar een andere leverancier. Het gaat hierbij in ieder geval om de software, de data, documentatie, testsets, benodigde infrastructuur en de gereedschappen. De overdracht is mogelijk zonder licentiebeperkingen op software, beperkingen op het vlak van intellectueel eigendom of een dermate hoge kennisdrempel dat effectief onderhoud door een andere leverancier niet mogelijk is. Ook zijn de beperkingen voor overdraagbaarheid op infrastructuurniveau geminimaliseerd en is er rekening gehouden met de mogelijke overdracht naar een andere leverancier.
5. Hercontractering wordt tijdig voorbereid en gestart
Bij contactverlenging of -vernieuwing wordt rekening gehouden met de richtlijnen voor aanbestedingen. Om de continuïteit van de ICT-dienstverlening te garanderen, start de organisatie tijdig met de voorbereiding voor een aanbesteding.
Meer informatie
Deze documenten en links geven meer informatie over dit risicogebied:
Internationale standaarden
- Overdragen van software, NPR 5325:2017
- Cybersecurity, Supplier relationships, Part 3: Guidelines for hardware, software, and services supply chain security, ISO/IEC 27036-3:2023
- Relevante onderdelen binnen ITIL4 (Supplier Management) en COBIT (COBIT APO10.03 - Manage Vendor Relationships And Contracts)
- Guidance on outsourcing, ISO 37500:2014
Rijksstandaarden en methodieken
- Afwegingskader ICT-opdrachten, CIO-Rijk (2020)
- Strategisch Leveranciersmanagement voor de Rijksoverheid
- Handleiding Publieke Sector Comparator van het ministerie van Financiën
Interessante publicaties en artikelen