10
Sep
2014

Een risicometer voor softwaregebruik

Deze risicometer is bedoeld voor softwaregebruikers als instrument om afhankelijkheid en kwetsbaarheid te meten. Het is een raamwerk waarmee u het risico kunt meten, dat uw organisatie loopt bij het overstappen naar een nieuw softwarepakket. Aangezien elk bedrijf of organisatie eigen eisen en verwachtingen heeft ten opzichte van software, is de risicometer algemeen van aard en gericht op hoofdzaken. De risicometer houdt geen rekening met wet- en regelgeving die specifiek op uw informatiesysteem van toepassing kan zijn.

De risicometer is voor softwaregebruikers een hulpmiddel om het mogelijk te maken kosten in beeld te brengen. 

Toelichting op de risicometer

De risicometer behandelt het kostenaspect van de vervanging van een softwarepakket. Vervanging kan gebeuren om vele redenen. U kunt uit bedrijfsmatig oogpunt overstappen. U kunt echter ook gedwongen worden tot vervanging, vanwege verlies en diefstal van informatiesystemen of het wegvallen van het onderhoud van uw software. Het uitvallen van uw software kan afhankelijk zijn van gebeurtenissen bij uw producent, zoals fusies, overnames, bedrijfsbeëindiging, brand en andere calamiteiten.

In Kostenposten bij plotselinge vervanging software vindt u een overzicht van kostenposten die u te verwerken krijgt bij een plotseling wegvallen van uw software. Naast het kostenaspect zijn er echter meer aspecten aan uw informatiesysteem en de positie ervan binnen uw organisatie. Hierbij valt te denken aan:

  1. Uw marktpositie kan verzwakken ten opzichte van concurrenten die gebruik maken van informatiesystemen van andere leveranciers.
  2. Er kan sprake zijn van het verlies van niet in geld uit te drukken waarden zoals werkplezier en verstandhoudingen op de werkvloer.
  3. De vervanging van een softwarepakket is een tijdrovende kwestie. Dat geldt niet alleen voor de er direct aan te besteden tijd, maar ook voor de tijd die nodig is om uw organisatie te voltooien tot business as usual.
  Laag Gemiddeld Hoog
Beschikbaarheid; juiste tijd en plaats? Applicatie mag niet meer dan 4 dagen niet beschikbaar zijn Applicatie mag tussen 1 – 4 dagen niet beschikbaar zijn Applicatie mag minder dan 1 dag niet beschikbaar zijn
Integriteit; volledig en juist? Foutieve informatie heeft nauwelijks invloed op de correcte uitvoering van het bedrijfsproces Foutieve informatie is hinderlijk, maar een goede uitvoering van het proces is mogelijk Foutieve informatie maakt een goede uitvoering van het proces onmogelijk
Exclusiviteit (vertrouwelijkheid); voor wie alleen bedoeld? Gegevens zijn intern en extern niet vertrouwelijk Gegevens zijn op afdelingsniveau vertrouwelijk Gegevens zijn voor de beheerder ervan vertrouwelijk

Tabel 1: Overzicht belang van uw software in termen van betrouwbaarheidseisen (zie CvIB)

In tabel 1 vindt u een overzicht waarmee u een inschatting kunt maken van het belang van de positie die uw informatiesysteem inneemt binnen uw bedrijf.

Het wegvallen van uw informatiesysteem door calamiteiten bij uw producent is te voorkomen. Het nemen van stappen om deze afhankelijkheid van uw producent te verminderen is sterk aan te raden.

Kostenposten bij plotselinge vervanging software:

  1. Verschillen bezit en vermogen
    a. Productieverlies:                                                   
    b. Aanschaf nieuw softwarepakket:                             
    c. Implementatiekosten:                                            
    d. Kosten conversie oude gegevens (indien mogelijk):  
    e. Aanschaf benodigde nieuwe hardware systemen:      
    f. Vervanging maatwerk (gedeelte) software: 
  2. Verschillen contracten in- en verkoop
    a. Schade door niet naleven contracten: 
    b. Veranderingen in bestaande contracten: 
  3. Verschillen productiviteit
    a. Instructie van personeel en efficiëntieverlies personeel: 
    b. Verlies vergelijkbare gegevens voor statistieken (trendbreuk): 
  4. Verschillen Interne Organisatie
    a. Aanpassen inrichting Interne Organisatie: 
    Totaal: 

Uitwerking kostenposten

U vindt hieronder een uitwerking van het overzicht van kostenposten:

  1. Verschillen bezit en vermogen
    a. Productieverlies
    Steeds vaker is de productiviteit binnen uw organisatie afhankelijk van de software die gebruikt wordt. Bij 100% afhankelijkheid ligt uw productie stil zodra uw software uitvalt. Bij vervanging van software zullen deze kosten ook optreden, maar in mindere mate (schaduwdraaien) dan wanneer uw software door calamiteiten uitvalt, zoals bij het onverwachts wegvallen van uw softwareproducent.
    b. Aanschaf nieuw softwarepakket.
    Het aanschaffen van een nieuw softwarepakket is niet langer een eenvoudige zaak. U dient overzichtelijk te hebben wat u nodig hebt en waar u dit kunt krijgen (inhuren professionals voor advies) en u dient het betreffende pakket aan te schaffen. Dit kost tijd.
    c. Implementatiekosten
    Na de aanschaf van het nieuwe pakket dient dit geïmplementeerd te worden. Af-hankelijk van het aangeschafte pakket kan dit veel tijd kosten. Dit legt wel beslag op uw onderneming in de vorm van hardware die aangepast en/of geïntegreerd moet worden en werknemers die de implementatie moeten ondersteunen.
    d. Kosten conversie oude gegevens (indien mogelijk)
    Het overzetten van uw oude gegevens naar uw nieuwe pakket is zelden enkel een kopieerslag. Meestal is er speciale software voor nodig en soms is (volledige) conversie zelfs onmogelijk. Welk risico loopt u, als u niet langer de beschikking hebt over al uw gegevens? Ook de kosten om het overzetten te controleren door bijvoorbeeld een IT-auditor dienen hier meegenomen te worden. Denkt u in dit verband ook aan wettelijke bewaarplichten.
    e. Aanschaf benodigde nieuwe hardware systemen
    Als u bezig bent met nieuwe software, dan is het vaak nodig om gelijk ook de hardware hier op aan te passen. Deze post is afhankelijk van het pakket dat u aanschaft.
    f. Vervanging maatwerk(gedeelte) software
    Afgezien van de oplossing in de vorm van maatwerk software, heeft standaard software nog aanpassingen nodig om helemaal binnen uw organisatie te passen. Koppelingen met nog aanwezige software dienen te worden vervangen. U kunt hierbij ook denken aan “handige” bestandjes die uw personeel gemaakt heeft.
  2. Verschillen contracten in- en verkoop
    a. Schade door niet naleven contracten
    U hebt waarschijnlijk afspraken met klanten. Indien u niet aan uw verplichtingen kunt voldoen, welke schade loopt u hier dan door? Denk o.a. ook aan boeteclausules, gezichtsverlies en verlies van nieuwe opdrachten.
    b. Veranderingen in de bestaande contracten
    Als u nieuwe software in gebruik neemt, dan zullen er ook diverse contracten op-nieuw bekeken, aangepast, opgezegd of opnieuw aangegaan moeten worden. U kunt hierbij denken aan afspraken over bestelwijze, aanlevering van informatie of contracten met betrekking tot onderhoud van hard- en software.
  3. Verschillen productiviteit
    a. Instructie van personeel en efficiëntieverlies personeel
    Na implementatie van het nieuwe softwarepakket is het zaak om uw personeel zo snel en zo goed mogelijk ermee vertrouwd te maken. Verkeerd gebruik en gebrek aan kennis van het nieuwe pakket kan u veel geld kosten.
    b. Verlies van vergelijkbare gegevens voor statistieken (trendbreuk)
    Afgezien van de schade door het ontbreken van gegevens die voor het bedrijfs-proces nodig zijn, zijn er ook gegevens die u nodig hebt om uw beleid uit te stippelen of tendensen te herkennen. Welke schade loopt u als deze gegevens niet langer beschikbaar zijn.
  4. Verschillen Interne Organisatie
    a. Aanpassen inrichting Interne Organisatie
    Uw interne en administratieve organisatie dient te worden aangepast aan de nieuwe software. Dit houdt in dat u werkwijzen en procedures dient aan te passen om deze zo efficiënt mogelijk aan de software aan te laten sluiten.

De IT-jurist helpt u graag bij het toepassen van deze risicometer. U kunt de risicometer ook hier downloaden.