Het derde interview met een lengte van viereneenhalf uur, vond plaats op 18 april 2014 bij een aanbieder van uitzend- en projectdiensten voor de horeca en entertainment sector. Bij deze organisatie zijn ongeveer 7000 ‘jobbers’ (vooral studenten die bijverdienen ) in Nederland aangesloten. Daarnaast is
het bedrijf nog actief in zes andere landen, waarvan twee worden aangemerkt als kernmarkten (België en Duitsland).
Het bedrijf wordt gekenmerkt door een zeer decentraal organisatiemodel. Binnen de Nederlandse organisatie zijn zestien lokale vestigingen, voornamelijk in grote studentensteden, die gekenmerkt worden door een sterke ondernemer die aan de top van een lokale vestiging wordt geplaatst. De organisatie vindt het belangrijker om een goede ondernemer/manager in de regio te hebben dan er koste wat het koste gevestigd te willen zijn. Dit alles onder het motto “eerst de vent, dan pas de tent”. Deze lokale ondernemer (ook wel “kop van jut genoemd”) is ook mede aandeelhouder van de lokale vestiging. Het hoofdkantoor, waar ongeveer dertig personen werken, dat in het zuiden van het land is gevestigd, ondersteunt hierbij en bewaakt de cultuur, welke zeer bepalend is voor de visie en strategie en wordt door de gehele organisatie uitgedragen. Zo krijgen nieuwe medewerkers of zelfs stagiairs (relatief) grote verantwoordelijkheden en worden betrokken in het proces. Binnen de organisatie wordt een voorbeeld genomen aan het Kgotla principe, waarbij iedereen het recht heeft om te spreken en gehoord te worden, zonder dat iemand mag interrumperen voordat degene is uitgesproken.
De geïnterviewde werkt inmiddels meer dan tien jaar bij de organisatie en is door de organisatie heen gegroeid. Hij is begonnen als planner (een persoon die zorgt dat jobbers en opdrachtgevers worden gematcht in ‘projecten’). Daarna heeft hij bij de opstart van een nieuwe lokale vestiging geholpen, waarbij de geïnterviewde voornamelijk verantwoordelijk was voor het opbouwen van de backoffice. Ongeveer vier jaar geleden is hij op het hoofdkantoor verantwoordelijk geworden voor het verbeteren van de processen die door software worden ondersteund. Dit is gericht om de efficiëntie te verbeteren, grotere investeringen te kunnen financieringen maar ook extra controle mogelijkheden te hebben. Het hoofdkantoor kreeg hiermee direct toegang tot realtime informatie van het belangrijkste bedrijfsproces.
Gezien de core business van deze organisatie gericht is op het bemiddelen tussen het aanbod van arbeid (jobbers) en de vraag naar arbeid (relaties), is de software die hierin ondersteunt cruciaal. Hierin wordt door jobbers aangegeven hoeveel uren deze beschikbaar is en worden door accountmanagers de specifieke afspraken die met relaties zijn gemaakt vastgelegd. Vervolgens worden door accountmanagers projecten aangemaakt waarin de vraag en het aanbod samenkomen. Hierna wordt er middels deze software de gewerkte uren geaccordeerd, aansluiting gemaakt op loontabellen en het te betalen loon bepaald. Ook worden de facturen voorbereid middels een aansluiting tussen het aantal uren, de tarieftabellen en alle bijkomende kosten die worden door gefactureerd. Hierna wordt middels een interface een aansluiting gemaakt met de financiële administratie. Dit systeem wordt als enige centraal geregeld en gebruikt binnen alle afzonderlijke afdelingen en merken van de organisatie. Andere IT systemen worden decentraal georganiseerd bij de lokale vestigingen. Binnen dit systeem, waarin dus
onder andere uren worden geregistreerd en de facturen voor opdrachtgevers worden aangemaakt, liggen volgens de geïnterviewde ook risico’s. Immers indien deze informatie niet betrouwbaar is, bijvoorbeeld omdat er te veel uren worden geregistreerd en aan worden door gefactureerd, levert dit zowel extra kosten op als mogelijke reputatieschade.
In het recente verleden heeft de organisatie te maken gehad met een aantal serieuze problemen op het gebied van IT. Ten eerste crashte het eerder besproken planningsysteem dat cruciaal is voor deze organisatie en waren de gemaakte back-ups corrupt. Deze worden zeven dagen bewaard voordat ze worden overschreven, maar de laatste vijf waren niet te herstellen waardoor de alle data van de laatste vijf dagen verloren was gegaan. Dit bedrijf werkt nog met hard copy formulieren, waardoor deze handmatig opnieuw konden worden ingevoerd, maar er was sprake van schade in de vorm van overuren om de data opnieuw in te voeren, maar ook in de vorm van inefficiënte bedrijfsprocessen. Daarnaast was er nog een issue met een medewerker die het bedrijf verliet en een eigen, concurrerend bedrijf, had opgezet. Bij het vertrek heeft deze medewerker een kopie gedraaid van de complete database met klantrelaties en deze voor het eigen nieuw opgerichte bedrijf aangewend.
Volgens de geïnterviewde dienen de IT processen te zijn toegesneden op de business behoeftes en de risico’s die met deze business processen samenhangen. Dit is ook de reden waarom er bij de planningssoftware gekozen is voor een maatwerkoplossing en niet voor een “off the shelf keuze”. Om de risico’s met betrekking tot deze ontwikkeling, onder andere op het gebied van kosten en op het gebied van kennisoverdracht te beperken, heeft de organisatie besloten om dit systeem in een joint-venture te ontwikkelen samen met de een IT leverancier. Hierdoor kon op een informele manier, efficiënt worden gewerkt. Nu echter de omvang begint toe te nemen, de kosten voorspelbaarder worden en er meer geïnteresseerden zijn in de software zal deze joint venture worden ontbonden.
Wat betreft toegangsbeveiliging heeft de organisatie een systeem ingericht om zeer specifiek rechten toe te kennen aan gebruikers. Deze rechten worden niet alleen bepaald aan de hand van de functie van een persoon, maar voornamelijk op basis van de competentie van de medewerker. Indien een medewerker verantwoordelijk is voor het onderhoud van de relatie met klanten, dan krijgt deze daartoe toegang maar enkel voor die onderdelen waarvan deze medewerker benodigde kennis heeft. Wijzigingen aan het systeem worden in releases doorgevoerd, maar niet zeer uitgebreid getest. Volgens de geïnterviewde is het niet mogelijk om wijzigingen uitgebreid te testen zonder de data die in de productie systemen zit. Ook zijn hier de grootste risico’s al uit gezien het feit dat het systeem al vrij ver is uitontwikkeld en er geen harde wijzigingen worden gemaakt in de kern van het systeem.
De geïnterviewde schetst dat de organisatie niet geschikt is voor hard controls. De cultuur leent zich daar niet voor, daarom wordt voornamelijk gekozen voor soft controls als het voorlichten, opleiden, begeleiden en het aanspreken van mensen. Pas als blijkt dat dit niet werkt, worden meer ingrijpende controls gehanteerd. Pas in uiterste nood worden echte hard controls opgelegd.
Daarnaast geeft de geïnterviewde aan dat wetgeving mogelijkerwijs de cultuur kan sturen. De organisatie wil zich immers houden aan allerlei normen (ze maken een onderscheid tussen een minimale norm (wet- en regelgeving), een management norm en een wenselijke norm). Echter is het voor veel werknemers lastig om zich aan het management of de wenselijke norm te houden. Zij zien dit als minder noodzakelijk en als vervelend. Door het optrekken van de minimale norm komt deze dichter in de buurt van de wenselijke norm én zouden werknemers er mogelijkerwijs meer aandacht voor hebben. Om de governance over leveranciers tot een bepaald niveau te kunnen waarborgen worden service level agreements (SLA’s) afgesproken, waarin zaken worden geregeld met betrekking tot back-ups, security, informatie beveiliging en change management. Echt actieve monitoring hierop vindt niet plaats.
Hoewel het slechts een relatief kleine organisatie betreft, heeft de accountant het planningssysteem wel in scope. Echt steunen op het systeem doet de accountant niet, maar deze signaleert wel risico’s. De geïnterviewde geeft aan dat de organisatie hier wel serieus naar kijkt en probeert op te pakken, maar dat de bedrijfsprocessen en de cultuur die heerst belangrijker zijn dan het mitigeren van risico’s die door de accountant worden gesignaleerd.
IT governance wordt gezien als het inzichtelijk maken van fouten en hiermee omgaan. Het uitsluiten van fouten wordt nadrukkelijk niet als het hoofddoel gezien, omdat het een lerende organisatie betreft waarbij jonge mensen nadrukkelijk een podium wordt geboden om zichzelf te ontwikkelen. Wel is het belangrijk dat fouten worden opgemerkt en ingeschat, en vervolgens zo goed mogelijk worden opgepakt. Deze organisatie ziet beheersing hebben over IT systemen dan ook als “het optreden van fouten signaleren, hier op een adequate manier mee omgaan en het aantal incidenten doen afnemen door te leren van fouten”.
Als belangrijkste risico’s worden de volgende punten als het meest belangrijk gezien: het embedden in de organisatie, het “dichtslaan” van betrokkenen op een manier dat ze niet langer communiceren over risico’s en incidenten, het verliezen van privacy gevoelige informatie van alle jobbers, down time van de service (voornamelijk gedurende het weekend) en het uiteenlopen van de belangen tussen de organisatie en de IT leverancier van de planningssoftware.