Hoe IT kostenbesparing en risico management hand in hand gaan

Het mag duidelijk zijn dat in de huidige economische omstandigheden er voor organisaties een duidelijke noodzaak is om tot proactieve besparingen in IT uitgaven te komen. En onder de druk van diezelfde economische neergang ontstaan er ook kansen in een sterk veranderende IT markt. Maar te rigoureus en ondoordacht ingrijpen in de kosten van IT is niet zonder risico’s. Veel organisaties zijn, soms zelf zonder het te beseffen, voor de continuïteit van hun productieprocessen en dienstverlening afhankelijk van IT geworden. Dat is waar actief risico management helpt om op een verantwoorde en veilige manier te komen tot IT kostenbesparingen en te profiteren van de kansen die de huidige IT markt biedt.

 

Onder de huidige economische omstandigheden zoeken organisaties naar manieren om de kosten van IT naar beneden te brengen. Vaak resulteert dit in een combinatie van verschillende maatregelen zoals de reductie van de hoeveelheid (ingehuurd) IT personeel, het consolideren van technologie en externe sourcing (al dan niet in de vorm van een ASP of SaaS dienst) van applicaties of IT services. Ook het overhevelen van IT oplossingen die decentraal in de business worden beheerd naar de centrale interne automatiseringsafdeling is een populaire en snelle manier om tot besparing van kosten te komen.

 

Uiteraard worden als gevolg van kostenbesparingen ook hogere risico’s gelopen. Zo leid het uitstellen van noodzakelijke technologische vervangingen en vernieuwingen of veranderingen in de sourcing van IT tot verhoging van de continuïteitsrisico’s. Traditioneel leiden bezuinigingsoperaties ook tot afname van het aantal beveiligingsmaatregelen in de infrastructuur, besparingen op identity management en het achterwege laten van compliancy en security processen en protocollen in de bedrijfsprocessen. Deze laatste bezuinigingsmaatregel zal echter voor veel organisaties geen optie zijn omdat de externe druk op compliancy juist zal toenemen. Het gebrek aan interne controle en aandacht voor compliancy wordt immers door velen gezien als een belangrijke oorzaak voor de huidige crisis.

 

Een ander belangrijk element in de toename van IT gerelateerde risico’s is dat de risicoperceptie waarmee organisaties naar de markt van IT leveranciers kijken ook fundamenteel is veranderd. Het afgelopen jaar heeft immers laten zien dat de financiële stabiliteit van zelfs hele grote organisaties niet onaantastbaar is. De bereidheid om traditionele zekerheden los te laten in de selectie van leveranciers is daardoor toegenomen. Dit resulteert uiteraard in een hoger risico dat IT projecten en besparingsoperaties mislukken, en dat in een tijd dat men zich geen financiële uitglijders kan veroorloven.

De toenemende druk om te bezuinigen op IT en de verhoogde risico’s die dit met zich meebrengt vraagt van de CIO in de organisatie een actieve rol als het gaat om risicomanagement. Hij (of zij) zal moeten afdwingen dat vanuit verschillende disciplines wordt samengewerkt om tot een realistische inschatting te komen van de risico’s die worden gelopen en de eventuele schade die hiervan het gevolg kan zijn. Een multidisciplinaire kijk op risicomanagement is noodzakelijk omdat de risico’s zich ook op verschillende terreinen kunnen voordoen. Het is dus niet voldoende om uitsluitend te kijken naar risico’s op het gebied van informatiebeveiliging, maar ook technologische, financiële en personele risico’s moeten in ogenschouw worden genomen.

 

Identificatie van risico’s door een multidisciplinair team voorafgaand aan het doorvoeren van bezuinigingen op IT kosten heeft als positief neveneffect dat vaak ook kansen om  de beveiliging van informatie te verbeteren worden geïdentificeerd. Organisaties ontdekken zo dat het principe “do more with less” ook echt inhoud kan worden gegeven. Zo blijkt het vaak mogelijk om basis netwerkbeveiliging veel goedkoper en beter uit te laten voeren door leveranciers zoals ISP’s als onderdeel van het standaard dienstenpakket.

 

Samenvattend adviseert Rubicon CIO’s om kostenbesparingen te koppelen aan actief risicomanagement. Door hiervoor een multidisciplinair team te formeren kunnen niet alleen risico’s die zich op verschillende terreinen kunnen voordoen voortijdig worden onderkend, maar ook eventuele kansen voor verbetering worden geïdentificeerd en verzilverd. De ervaren medewerkers van Rubicon Management & Consulting kunnen daarbij helpen om een snelle en gedegen start te maken. Wilt u hier met ons over verder praten? Neemt u dan contact met ons op voor een geheel vrijblijvend gesprek.