Auteur:
J. J. Strating
Studentnummer:
1064878
Enterprise Risk Services
Bedrijfsbegeleiders:
M.W. de Breed RE CISA en
Drs. B.A. Gerrits
Faculteit:
Bedrijfskunde
Afstudeerrichting:
Business & ICT
1
eAfstudeerbegeleider:
Drs. D. J. Schaap
2
eAfstudeerbeoordelaar:
Drs. M. E. Boon
Groningen, Juli 2006
© De auteur is verantwoordelijk voor de inhoud van deze scriptie. Het auteursrecht voor de scriptie berust bij de auteur.
Voorwoord
Lange tijd heb ik genoten van het studentenleven in dé studentenstad van Nederland; Groningen. Het lijkt alweer een eeuwigheid geleden dat ik voor het eerst in de collegebanken plaatsnam. Op kamers gaan wonen betekende voor mij leven in een studentenhuis met vele (30) studenten, zelf koken, studeren, uitgaan, sporten en zelfs de was doen. Uiteindelijk heb ik dit allemaal gedaan om mijn studie bedrijfskunde tot een succesvol einde te kunnen brengen.
Via en naast de studie heb ik veel mensen ontmoet en veel nieuwe ervaringen opgedaan die ik anders waarschijnlijk aan me voorbij had zien gaan. Ik kijk dan ook terug op een zeer leuke periode, die ik direct over zou willen doen. Echter, een nieuwe periode in mijn leven is aangebroken en ik sta te trappelen om daarmee te beginnen.
Mijn afstudeerperiode bij Deloitte Enterprise Risk Services in Groningen is hiervoor een soort opwarmertje geweest. Ik heb hier een enorm leuke periode gehad en kan dan ook melden dat ik na deze afstudeeropdracht fulltime aan de slag ga bij Deloitte ERS. Ik ga hier een uitdagende, leuke baan tegemoet met vele leuke collega’s.
Voor het mogelijk maken van mijn afstudeeropdracht binnen ERS wil ik Dhr. T. de Breed en Dhr. R. Drewes hartelijk bedanken, na een valse start binnen Deloitte Management Support (DMS) was de overgang naar ERS erg soepel en snel geregeld. Ook Dhr. B. Gerrits wil ik graag bedanken voor het begeleiden van mijn werk.
Ook wil ik graag Dhr. E. Oud bedanken voor de nodige kennis op het gebied van mijn onderzoek. Verder wil ik natuurlijk alle collega’s binnen Deloitte bedanken voor de fijne tijd die ik gehad heb bij mijn afstudeeropdracht (zowel in Groningen, Amstelveen als Voorburg). Op wetenschappelijk terrein gaat mijn dank uit naar Dhr. D.J. Schaap en Dhr. M.E. Boon. Dhr. Schaap voor zijn prettige manier van samenwerken gecombineerd met goede adviezen en aanwijzingen op het gebied van mijn afstudeerrichting. Dhr. Boon is later bij het proces betrokken om de marketingcomponent in mijn stuk te begeleiden en beoordelen. Ook hij heeft mij op plezierige en verhelderende wijze geholpen met aanwijzingen en advies.
Echter, deze scriptie had er niet kunnen zijn zonder de nodige steun van de mensen in mijn directe omgeving. Vooral mijn ouders ben ik veel verschuldigd, zij hebben mij mijn hele studie financieel en geestelijk gesteund. Hiernaast wil ik graag mijn vriendin bedanken voor haar steun tijdens mijn afstudeertraject. Haar oneindige luistervermogen en interesse hebben mij enorm geholpen.
Ik wens u veel plezier bij het lezen van mijn laatste stuk voor de RuG.
Inhoudsopgave
SAMENVATTING... 6 INLEIDING... 8 1 DE ORGANISATIE... 11 1.1 INLEIDING... 11 1.2 DELOITTE NEDERLAND... 11 1.3 GESCHIEDENIS... 121.4 MISSIE, VISIE, DOELEN... 13
1.5 DELOITTE CERTIFICATION B.V. ... 13
1.6 DELOITTE ENTERPRISE RISK SERVICES... 13
2 ACCREDITATIE EN CERTIFICATIE... 18 2.1 INLEIDING... 18 2.2 ACCREDITATIE... 18 2.3 CERTIFICERINGDIENSTEN DELOITTE... 20 3 PROBLEEMSTELLING EN ONDERZOEKSAANPAK ... 24 3.1 INLEIDING... 24 3.2 PROBLEEMSTELLING... 24 3.3 METHODOLOGIE... 28 3.4 CONCEPTUEEL MODEL... 30
4 ONTWIKKELEN VAN DE WAARDEPROPOSITIE... 31
4.1 INLEIDING... 31
4.2 BEGRIJPEN VAN DE MARKT... 31
4.2.1 Omgevingsanalyse ... 31
4.2.2 Analyse van concurrenten en leveranciers ... 34
4.2.3 SWOT analyse ... 40
4.2.4 Conclusie ... 45
4.3 SEGMENTEREN VAN DE MARKT... 47
4.3.1 Conclusie ... 48
4.4 FORMULEREN VAN DE WAARDEPROPOSITIE... 49
4.4.1 Economische waardecreatie... 49
4.4.2 Service waardecreatie ... 51
4.4.3 Conclusie ... 57
5 UITWERKEN VAN DE WAARDEPROPOSITIE... 58
5.1 INLEIDING... 58 5.2 PRODUCT... 59 5.2.1 Diensten... 59 5.2.2 Kwaliteit ... 61 5.2.3 Conclusie ... 62 5.3 PRIJS... 62 5.3.1 Klantperspectief... 62
5.3.2 Perspectief van de verkoper... 63
5.3.3 Conclusie ... 64
5.4 PLAATS... 65
5.5 PROMOTIE... 65
5.5.1 Communicatiestrategie en -planning... 65
6 IMPLEMENTATIE VAN EEN WAARDECREËRENDE ORGANISATIE... 71
6.1 INLEIDING... 71
6.2 INRICHTEN VAN DE ORGANISATIE... 71
6.2.1 Door de klant gedefinieerde waarde als uitgangspunt ... 72
6.2.2 Procescompetenties en ondersteunende infrastructuur ... 72
6.2.3 Implementatie van organisatieontwerp en marketingstrategie... 73
6.2.4 Conclusie ... 74
6.3 BEHEERSEN VAN MARKETINGACTIVITEITEN... 76
6.3.1 Conclusie ... 78 7 CONCLUSIES EN AANBEVELINGEN ... 79 8 REFLECTIE ... 81 8.1 GEBRUIKTE THEORIEËN... 81 8.2 PROJECTAANPAK... 82 LITERATUURLIJST... 84 BIJLAGEN ... 86
Samenvatting
Dit onderzoek is uitgevoerd in opdracht van Deloitte Certification B.V. Deloitte Certification B.V. is een lege B.V. welke werknemers van Deloitte Enterprise Risk Services inhuurt voor bepaalde werkzaamheden. Vanuit de praktijk is een grote vraag naar certificeringdiensten van Deloitte gebleken welke de grondslag zijn geweest voor dit onderzoek.
De certificeringdiensten waar het hier om gaat zijn de volgende: • De ISO/IEC 27001:2005 norm voor IT-Beveiliging, • De ISO/IEC 20000:2005 norm voor IT-Beheer en • De NEN 7510 norm voor IT-Beveiliging in de zorg
In overleg met de bedrijfsbegeleiders is de volgende doelstelling geformuleerd: “Het geven van
aanbevelingen aan het managementteam van Deloitte Certification B.V. door te adviseren over het ontwikkelen en uitwerken van nieuwe productmarkt-combinaties, om te komen tot de implementatie van een organisatie waarvan de infrastructuur en procescompetenties gebaseerd zijn op klantenwensen- en behoeften.”
In dit stuk wordt deze doelstelling beantwoord door antwoord te geven op de volgende vraagstelling: “Hoe moet Deloitte Certification B.V. haar waardepropositie ontwikkelen en
uitwerken om te komen tot een implementatie van een waardecreërende organisatie?” Deze
vraagstelling is opgedeeld in een drietal deelvragen. Deze luiden als volgt: • “Hoe kan de waardepropositie ontwikkeld worden?”
• “Hoe kan de waardepropositie uitgewerkt worden?”
• “Hoe kan een waardecreërende organisatie geïmplementeerd worden?”
De eerste deelvraag: “Hoe kan de waardepropositie ontwikkeld worden?”wordt beantwoord door allereerst te bepalen hoe de markt voor Deloitte Certification eruit ziet. Dit wordt gedaan aan de hand van de PEST methode van Porter, het vijf krachtenmodel van Porter en de SWOT analyse. Uit deze onafhankelijke analyses blijkt dat de markt aantrekkelijk is voor Deloitte Certification om te gaan betreden. Vervolgens is het belangrijk voor Deloitte Certification om te bepalen hoe deze markt gesegmenteerd kan worden. Met de keuze voor de certificeringdiensten wordt echter reeds de keuze gemaakt om meerdere segmenten te bedienen, terwijl Deloitte Certification zich wel volgens de visie van de overkoepelende organisatie moet richten op de beste cliënten. De waardepropositie kan geformuleerd worden door klantintiem te handelen en zich marktgericht op te stellen. Op deze manier creëert Deloitte Certification een superieure waarde ten opzichte van concurrentie. Uiteindelijk is de waarde die de klant hecht aan de diensten cruciaal voor het bestaan van de organisatie. Om deze waarde nog wat te verhogen kan Deloitte Certification het klantwaarde model van Anderson en Narus hanteren en de werkelijke monetaire waarde van de diensten bepalen voor klanten.
De tweede deelvraag: “Hoe kan de waardepropositie uitgewerkt worden?” wordt beantwoord door de bekende marketinginstrumenten in te zetten. Allereerst is het van belang welk beleid gevoerd moet worden met betrekking tot het product? Deloitte Certification moet de nieuwe
diensten zowel individueel aanbieden als samen. Hiernaast moet een zo hoog mogelijke kwaliteit nagestreefd worden om de visie van Deloitte na te streven in alle opzichten uit te blinken. Het prijsbeleid dat hierbij gevoerd moet worden is afhankelijk van drie factoren, namelijk de kosten om de dienst te leveren, de prijs van concurrenten en de marktvraag. Deloitte Certification moet deze drie factoren goed afwegen om te komen tot een goede prijs. Hiernaast is het hanteren van een relatief hoge prijs aan te bevelen om de suggestie te wekken dat een kwalitatief goede dienst geleverd wordt. Een te hoge prijs is echter ook niet aan te raden. Het belangrijkste marketingstrument dat Deloitte Certification kan inzetten is promotie. Deloitte Certification kan gebruik maken van een aantal strategieën om de doelstellingen op het gebied van promotie te behalen. Zo kunnen bijvoorbeeld persoonlijke verkoop en vakbeurzen gebruikt worden. Hiernaast kan reclame gemaakt worden, catalogi en andere ondersteunende middelen ingezet worden en niet te vergeten kan er gebruik gemaakt worden van Public Relations. Het inzetten van deze marketinginstrumenten vergt consistentie tussen de onderlinge instrumenten. De hoge prijs en kwaliteit die Deloitte Certification nastreeft zijn hiervan een goed voorbeeld.
De derde deelvraag: “Hoe kan een waardecreërende organisatie geïmplementeerd worden?” wordt allereerst beantwoord door te bepalen hoe de organisatie ingericht kan worden. Deloitte Certification moet ernaar streven om een waardecreërende organisatie te worden. Dit kan bereikt worden door in te spelen op klantenwensen en –behoeften. Deloitte Certification kan aan de hand van deze klantenwensen en –behoeften haar eigen procescompetenties bepalen. Deze procescompetenties zijn de basis voor Deloitte Certification om de achterliggende infrastructuur van de organisatie in te richten. Vervolgens wordt de aanbeveling gedaan om de marketingactiviteiten te beheersen volgens de beheersingscyclus van Biemans (2004). Deloitte Certification kan deze beheersingscyclus hanteren om de eigen marketing activiteiten te beheersen. Deze cyclus kan een goede leidraad zijn voor Deloitte Certification op het gebied van de lopende marketingactiviteiten, de winstgevendheid, de efficiëntie en de marketingfunctie zelf.
Inleiding
Dit onderzoek is gedaan in het kader van mijn afstudeeropdracht binnen de afstudeerrichting Business & ICT van de faculteit bedrijfskunde aan de Rijksuniversiteit Groningen. Het onderzoek is uitgevoerd in opdracht van Deloitte.
De aanleiding van het onderzoek kan als volgt beschreven worden. Vanuit het veelvuldige contact dat de medewerkers van Deloitte Enterprise Risk Services hebben met klanten, is gebleken dat er een groeiende vraag is naar een drietal certificeringdiensten. Klanten hebben aangegeven graag hun kwaliteitsmanagement systemen te willen laten certificeren door Deloitte. De certificaten waar het hier om gaat zijn:
• ISO/IEC 27001:2005 (IT-Beveiliging) • ISO/IEC 20000:2005 (IT-Beheer) • NEN 7510 (IT-Beveiliging in de zorg)
Deloitte heeft een aparte B.V. voor het uitvoeren van certificeringdiensten: Deloitte Certification B.V. Op dit moment is de enige activiteit van deze B.V. het uitvoeren van GBA-Audits (GBA: Gemeentelijke BasisAdministratie). Echter, in de nabije toekomst zullen, door nieuwe wet- en regelgeving, deze werkzaamheden komen te vervallen. Wanneer Deloitte Certification B.V. besluit de drie certificeringdiensten te gaan aanbieden aan klanten, wordt het bestaansrecht van de B.V. gegarandeerd. Het belangrijkste doel van de nieuwe diensten is echter het genereren van een grotere omzet. Voordat de certificeringdiensten aangeboden kunnen worden, dient Deloitte Certification echter geaccrediteerd te worden door de Raad voor Accreditatie (RvA). Dit houdt in dat de RvA controleert of Deloitte Certification B.V. voldoet aan bepaalde richtlijnen en zal aan de hand van deze controle besluiten of Deloitte Certification B.V. de certificeringdiensten mag gaan aanbieden.
Het onderzoek is begonnen met het schrijven van een business case over het laten accrediteren van de drie certificaten. Het schrijven van deze business case is gebruikt om informatie te verwerven over de nieuwe diensten. Tevens wordt de business case gebruikt door het managementteam van Deloitte Certification B.V. om een besluit te nemen over het wel of niet laten accrediteren van de certificaten. Wanneer besloten wordt om de certificeringdiensten in het dienstenpakket op te nemen, moet hiervoor een goed marketingbeleid opgesteld worden. Vanuit Deloitte Certification B.V. is aangegeven dat marketing een ondergeschoven kindje is. Hierin ligt de aanleiding voor dit onderzoek.
Aangezien Deloitte Certification diensten levert aan bedrijven, overheden en non-profitinstellingen wordt de marketing van deze diensten ook wel business marketing genoemd. In business marketing staat waardecreatie centraal. Waarde is voor klanten het verschil tussen de leverancierspecifieke voordelen en kosten in ruil voor de aankoopprijs. Deloitte Certification moet ervoor zorgen dat de aangeboden waarde groter is dan die van concurrentie om succesvol te zijn.
Dit onderzoek is opgedeeld in een drietal onderdelen. Allereerst wordt onderzocht welke productmarkt combinaties het best ingezet kunnen worden door Deloitte Certification B.V. Vanuit de business marketing spreekt men ook wel van waardepropositie in plaats van productmarkt combinatie: wat biedt Deloitte Certification B.V. aan wie? Vervolgens zullen de nieuwe diensten op de markt gepositioneerd worden met behulp van de marketingmix. Dit zijn de welbekende vier P’s: Product, Prijs, Plaats en Promotie. In de business marketing wordt dit ook wel het uitwerken van de waardepropositie genoemd. Tot slot wordt onderzocht hoe Deloitte Certification B.V. dit kan implementeren. Dit moet ervoor zorgen dat Deloitte Certification B.V. een waardecreërende organisatie wordt. Dit wil zeggen dat de waarde (wensen) die de klant gedefinieerd heeft geleverd wordt door Deloitte Certification B.V.
Nu volgt een beschrijving over hoe dit stuk is opgebouwd. In hoofdstuk 1 wordt begonnen met het beschrijven van de organisatie waarvoor het onderzoek is uitgevoerd, Deloitte. Zo wordt een beeld geschept over de organisatie, welke in het analysedeel gebruikt wordt. In hoofdstuk 2 wordt accreditatie en certificatie beschreven. Voordat de nieuwe diensten aangeboden kunnen worden, moet de RvA eerst Deloitte accrediteren. Het accreditatieproces wordt in dit hoofdstuk besproken, naast de drie certificaten waar het allemaal om gaat.
De probleemstelling en de onderzoeksaanpak worden behandeld in Hoofdstuk 4. In paragraaf 4.2 komt eerst de probleemstelling aan bod. Hieruit komen de doelstelling, het theoretisch kader, de vraagstelling en de randvoorwaarden. Vervolgens wordt in paragraaf 4.3 de methodologie van het onderzoek beschreven en wordt in paragraaf 4.4 het conceptueel model getoond.
Het ontwikkelen van nieuwe productmarkt combinaties (ook wel waardepropositie) wordt in het volgende hoofdstuk beschreven. Begonnen wordt in hoofdstuk 4 met het schetsen van een beeld van de huidige markt. Dit wordt gedaan met behulp van een omgevingsanalyse, een concurrentieanalyse en een SWOT-analyse in paragraaf 4.2. Wanneer een duidelijk beeld geschetst is van de markt, kan overgegaan worden tot het segmenteren van deze markt (paragraaf 4.3). Het laatste onderdeel van het ontwikkelen van de waardepropositie is het formuleren van een strategische positie wat betreft de nieuwe diensten. Dit wordt gedaan in paragraaf 4.4
Wanneer bepaald is wat de productmarkt combinaties zijn wordt in hoofdstuk 5 onderzocht hoe deze het beste in de markt gepositioneerd kunnen worden met behulp van de marketingmix. Dit wordt ook wel het uitwerken van de waardepropositie genoemd. De marketingmix bestaat uit de bekende vier P’s. De P van product wordt behandeld in paragraaf 5.2, de P van prijs in paragraaf 5.3, de P van plaats in 5.4 en de P van promotie in 5.5.
Dan wordt in hoofdstuk 6 beschreven hoe Deloitte Certification B.V. zorg kan dragen voor de implementatie van een waardecreërende organisatie. Eerst wordt er gekeken naar de manier waarop de organisatie ingericht kan worden om de waarde die klanten wensen te kunnen realiseren. Dit gebeurt in paragraaf 6.2. Vervolgens wordt een manier beschreven waarop Deloitte Certification haar marketingactiviteiten kan beheersen in paragraaf 6.3. In hoofdstuk 7 worden de conclusies gegeven die uit de deelvragen getrokken kunnen worden. Naast deze
conclusies worden enkele aanbevelingen gedaan aan het managementteam van Deloitte Certification B.V.
Tot slot wordt er in hoofdstuk 8 een reflectie gegeven op dit onderzoek door de schrijver zelf. Eerst wordt een reflectie gegeven op de gebruikte concepten in dit stuk in paragraaf 8.1. Vervolgens wordt een reflectie gegeven op de projectaanpak van het afstudeertraject binnen Deloitte in paragraaf 8.2.
1 De organisatie
1.1 Inleiding
In dit hoofdstuk wordt een introductie van de organisatie gegeven waarbinnen het afstudeerproject heeft plaats gevonden. Om een overzichtelijk beeld te schetsen is de paragraaf als volgt opgedeeld. Allereerst wordt Deloitte Nederland onder de loep genomen in paragraaf 1.2. Vervolgens wordt een stukje historie uiteengelegd en worden de missie, visie en doelen van Deloitte Nederland nader verklaard in paragraaf 1.3. Wanneer dit gedaan is vindt in paragraaf 1.4 een beschrijving plaats van de afdeling waarvoor het onderzoek plaatsvindt, namelijk Deloitte Certification B.V. (paragraaf 1.5). De afstudeeropdracht is echter uitgevoerd in opdracht van Deloitte Enterprise Risk Services, een beschrijving van deze afdeling is te vinden in paragraaf 1.6.
1.2 Deloitte Nederland
Deloitte is met ruim 6.000 medewerkers en kantoren door heel Nederland de grootste organisatie op het gebied van accountancy, belastingadvies, consultancy en financieel advies. Deloitte Nederland is een onafhankelijke en zelfstandige organisatie en een memberfirm van Deloitte Touche Tohmatsu.
Deloitte Touche Tohmatsu is een organisatie van zelfstandige memberfirms, die zich richt op de hoogste kwaliteit bij het leveren van professionele dienstverlening en advies. De dienstverlening is gebaseerd op een wereldwijde strategie voor circa 150 landen. Daartoe is de expertise beschikbaar van 120.000 professionals in alle werelddelen en van onze memberfirms met hun vestigingen. Dienstverlening wordt geboden in vier professionele disciplines: accountants, belastingadviseurs, consultants, financieel adviseurs. Onze memberfirms werken zowel voor de grootste wereldwijde ondernemingen, als voor nationale bedrijven, de publieke sector als voor snelgroeiende bedrijven.
Deloitte Touche Tohmatsu is een Swiss Verein. Noch Deloitte Touche Tohmatsu, noch een van de memberfirms aanvaardt aansprakelijkheid voor het handelen of nalaten van handelen van andere memberfirms. Elke memberfirm is een zelfstandige juridische eenheid die werkt onder de naam "Deloitte", "Deloitte & Touche", "Deloitte Touche Tohmatsu" of enige andere daaraan gerelateerde naam. De dienstverlening zoals weergegeven op het intranet van Deloitte wordt geleverd door de betreffende memberfirm en niet door Deloitte Touche Tohmatsu Verein. (www.nl.deloitte.com)
1.3 Geschiedenis
Door de vele fusies en overnames door de jaren heen is de geschiedenis van het huidige Deloitte Nederland is niet eenvoudig weer te geven. Hieronder wordt echter toch een poging gedaan om het in enkele regels samen te vatten.
De Nederlandse Accountants Maatschap (NAM) is historisch gezien de belangrijkste rechtsvoorganger van het huidige Deloitte. Dit kantoor werd opgericht in 1955. In de zestiger en zeventiger jaren groeide de NAM in hoog tempo, met name door vele lokale fusies en overnames. Zo werd een uitgebreid landelijk netwerk van kantoren opgebouwd. In 1981 werd ook belastingadvies onderdeel van de snel groeiende organisatie, door een samenwerking met Begheyn & Sneep. Er was toen ook al een kleine organisatieadviestak actief. Medio jaren tachtig veranderde de naam in TRN Groep, om het belang van de internationale verbintenis met het kantoor Touche Ross te verduidelijken.
In 1988 volgde een fusie met de De Tombe / Melse Groep (TMG), eveneens een multidisciplinaire organisatie, met circa 700 personeelsleden. De TRN Groep zelf had er op dat moment ruim 2000. De Tombe / Melse is ontstaan vanuit een oorspronkelijk in Leiden gestart accountantskantoor, reeds opgericht in 1902. Als gevolg van een internationaal samengaan veranderd de naam in 1992 in Deloitte & Touche. De organisaties van Touche Ross International en Deloitte Haskins & Sells hadden toen een wereldwijde verbintenis gerealiseerd, met als nieuwe naam Deloitte Touche Tohmatsu International.
De grootste fusie uit de geschiedenis van de Nederlandse organisatie vond plaats op 1 januari 1998, toen Deloitte & Touche fuseerde met de VB Groep, een op de overheids- en non-profitmarkt gespecialiseerde accountants- en adviesorganisatie. De VB Groep had toen bijna 1400 medewerkers. Door de fusie waren op dat moment bij Deloitte & Touche dan 4800 mensen werkzaam. De jaaromzet groeide vervolgens naar circa ƒ 780 miljoen, om daarna binnen twee jaar door te groeien naar boven het miljard. Een nieuwe fusie met de zelfstandige consultancyorganisatie Bakkenist droeg daar ook in belangrijke mate aan bij.
Toen Andersen Nederland zich op 1 juni 2002 bij de organisatie voegde, werd Deloitte & Touche de grootste accountants-adviesorganisatie in Nederland. Andersen bracht ongeveer 1200 medewerkers met zich mee. Deloitte & Touche was vanaf dit moment naast marktleider in het midden- en kleinbedrijf en de public sector en ook in de markt voor grote en multinationale cliënten één van de grootste accountants-adviesorganisaties. De organisatie heeft tegenwoordig ruim 6.000 medewerkers en kantoren door heel Nederland.
In het najaar van 2003 werd de merknaam ingekort tot Deloitte, maar het blijft "member of Deloitte Touche Tohmatsu". (www.nl.deloitte.com)
1.4 Missie, visie, doelen
De missie van Deloitte Nederland missie luidt als volgt: “Deloitte wil in 2008 marktleider zijn en
op alle vlakken uitblinken – in het Engels top grades halen: in omvang, maar ook in reputatie, cultuur en in rendement. Alleen dan kun je de beste mensen en diensten blijven aantrekken en de beste dienstverlening bieden”. Dit sluit aan bij de missie van DTT: “To help our clients and people excel”.
De visie die Deloitte hierbij gehanteerd is het nastreven de “best professional services firm” te worden door het hebben van de:
• beste cliënten • beste imago • beste expertise • beste mensen • beste processen • beste resultaten
Deloitte heeft zichzelf tot doel gesteld dit te bereiken met de TOP-grading-strategie. TOP staat voor: Teaming, Operational Excellence en Positionering. (Ontwikkelingsplan 2005-2008)
1.5 Deloitte Certification B.V.
Dit onderzoek is uitgevoerd in opdracht van Deloitte Certification B.V. Deloitte Certification B.V. is een afzonderlijke rechtspersoon en de verbondenheid met de Deloitte organisatie als geheel is geregeld middels een continuïteitsverklaring van het bestuur van Deloitte. Op dit moment is de enige activiteit binnen Deloitte Certification de GBA Audit. De uitvoering van opdrachten gebeurt door gekwalificeerde auditors. Deloitte Certification is een lege B.V. van waaruit medewerkers van Deloitte ERS (Enterprise Risk Services) worden ingehuurd om werkzaamheden te verrichten.
1.6 Deloitte Enterprise Risk Services
Deloitte heeft alle diensten op het gebied van risicomanagement en control, inclusief de diensten van IT-Audit, gebundeld in Enterprise Risk Services (ERS). Betrouwbaarheid van bedrijfsprocessen, informatie en technologie is een noodzaak voor organisaties om strategische en operationele beslissingen effectief te kunnen ondersteunen. Wereldwijde beveiliging in risicogebieden als strategie, organisatie, informatie, operations, omgeving, technologie en financieel management zijn van belang voor een evenwichtige balans tussen risico’s elimineren en beheersen. Tegenwoordig moeten organisaties onder andere de volgende risico’s onder ogen zien: onbetrouwbare informatie, een operationeel proces dat stil komt liggen, computernetwerk dat gehackt wordt, fraude door personeel, wereldwijde logistieke problemen en beursgevoelige financiële verslaglegging die niet correct is.
Visintine (2003) geeft de volgende definities van risico:
Risico – “De mogelijkheid tot leiden van schade of verlies; gevaar”
“Risico is op zich niet slecht; risico is essentieel voor progressie en fouten zijn vaak een belangrijk onderdeel van het leerproces. Maar men moet leren om een balans te vinden tussen de mogelijke negatieve gevolgen van risico en de voordelen van de kans die hierbij aansluit”
De aanpak van ERS, zie onderstaande figuur, is gebaseerd op de Risico Management Cyclus. Dit wordt ook wel een benadering vanuit bedrijfsbreed perspectief genoemd. (www.nl.deloitte.com)
Figuur 1.1: De risico management cyclus (www.nl.deloitte.com, 2006)
Deloitte Enterprise Risk Services is opgedeeld naar de volgende industriegroepen: • Aviation & Transport Services
• Public Sector • Real Estate
• Energy & Utilities
• Technology, Media & Telecom • Manufacturing
• Consumer Business
• Financial Services Industry
Hiervoor worden de volgende competentiegroepen ingezet: • Webservices
Software ontwikkeling voor intern en extern gebruik • Data Quality & Integrity
Toepassen van wiskundige en statistische expertise en software vaardigheden om datagerichte problemen en vragen van klanten optimaal te beantwoorden.
• Security Services Group
Risicomanagement op het gebied van applicaties en technologische infrastructuren (beveiligingsvraagstukken)
• Control Assurance
Beoordelen van de betrouwbaarheid van de IT-omgeving (applicaties en netwerken) • Risk Consulting / Internal Audit
Ontwikkelen en implementeren van risicomanagement systemen in aansluiting op de hedendaagse behoefte van de internationale markt en klant.
Enterprise Risk Management
D’arcy stelt dat enterprise risk management een relatief nieuwe term is die steeds meer gezien wordt als de ultieme benadering van risk management. Auditors zijn aan het bekijken hoe ze de enterprise risk management benadering in de audits bij bedrijven kunnen verwerken, er worden vele presentaties gegeven bij risk management-, verzekerings- en andere meetings. Seminars die over dit onderwerp gaan leggen het proces uiteen, leveren voorbeelden van applicaties en bespreken gemaakte vordering op het werkgebied. Stukken over enterprise risk management duiken op in journals en er worden ook boeken gepubliceerd. Sommige universiteiten geven zelfs vakken genaamd enterprise risk management.
Enterprise risk management is eigenlijk de laatste benaming voor een overkoepelende risk managementbenadering binnen de bedrijfsvoering. Voorgangers zijn onder andere corporate risk management, business risk management, holistic risk management, strategic risk management en integrated risk management. Volgens het CAS (Casualty Actuarial Society) kan enterprise risk management als volgt gedefinieerd worden:
“The process by which organisations in all industries assess, control, exploit, finance and monitor risks from all sources for the purpose of increasing the organisation’s short and long term value to the stakeholders”.
Het CAS onderscheidt hierbij vier typen risico die onderwerp zijn van enterprise risk management, namelijk:
1. gevaar: bijvoorbeeld brand, diefstal, orkaan etc. 2. financieel: zoals interestpercentage, wisselkoersen etc. 3. operationeel: als klanttevredenheid, productontwikkeling etc.
4. strategisch: onder andere preferenties van klanten, technische innovatie etc. (D’Arcy, 2001)
Uit een presentatie van Deloitte ERS blijkt dat de volgende factoren hun invloed hebben op risico management. Deze zorgen ervoor dat het een “hot” item is.
Figuur 1.2: Risico Management is “HOT” (Intranet Deloitte, 2006)
IT Audit
Een belangrijk onderdeel van de werkzaamheden binnen ERS is IT-audit. Van Praat (1993, p. 13) definieert het vakgebied van IT-auditing, als volgt: IT-audit houdt zich bezig met de
beoordeling en advisering ten aanzien van objecten van de informatievoorziening in een
omgeving waarin gebruik gemaakt van automatisering. Daarmee stelt de IT-auditor zich ten doel om kwalitatief en/of kwantitatief een bijdrage te leveren aan een geschikte organisatie van de informatievoorziening, waarmee de doelstellingen van de opdrachtgever gerealiseerd worden. Deze definitie bezit drie belangrijke elementen:
1. de auditor beoordeelt (“hij doet een audit”) en adviseert
Deskundigheid, onpartijdigheid en onafhankelijkheid zijn sleutelbegrippen in het functioneren van een auditor.
2. om te kunnen oordelen moet de IT-auditor beschikken over vooraf vastgestelde normen
De activiteiten van de normeringinstelling als de International Standards Organisation (ISO) zijn hierbij van groot belang
3. er zijn objecten die onderwerp kunnen zijn van een beoordeling
worden. De automatiseringsorganisatie bestaat weer uit de ontwikkelorganisatie en de verwerkingsorganisatie.
Het audit-proces ziet er volgens Van Praat (1993, p. 21) als volgt uit. Auditors van Deloitte Enterprise Risk Services formuleren eerst in overleg met de klant wat de opdracht inhoudt en stellen vervolgens het auditplan op. Vervolgens wordt de opzet, het bestaan en de werking in onderstaande volgorde beoordeeld aan de hand van een normenkader getoetst. Aan de hand van deze beoordelingen vindt de oordeelvorming plaats.
2 Accreditatie en certificatie
2.1 Inleiding
Dit hoofdstuk geeft duidelijkheid over twee belangrijke onderwerpen op het gebied van de nieuwe diensten van Deloitte Certification, namelijk accreditatie en certificatie. Alvorens overgegaan kan worden tot de nieuwe certificeringdiensten, moet Deloitte Certification B.V. eerst geaccrediteerd worden door de Raad voor Accreditatie (RvA). Deze onderwerpen worden dan ook in deze volgorde beschreven. Eerst accreditatie in paragraaf 2.2 en vervolgens certificatie in paragraaf 2.3.
2.2 Accreditatie
Deze paragraaf beschrijft het accreditatieproces zoals deze door de RvA gehanteerd wordt. Allereerst worden de richtlijnen gegeven, vervolgens wordt overgegaan tot de beschrijving van het proces zelf.
Raad voor Accreditatie
Zowel nationaal als internationaal hebben afnemers behoefte aan zekerheid omtrent de kwaliteit van geleverde goederen en diensten. Deze kwaliteit uit zich in het op transparante wijze voldoen aan de gevraagde leveringscondities t.a.v. specificaties, tijd en prijs. De organisaties en personen die deze goederen en diensten leveren, dienen voldoende rekening te houden met maatschappelijke belangen t.a.v. veiligheid, milieu, gezondheid etc.
De Raad voor Accreditatie (RvA) levert aan deze markt accreditatie van conformiteitverklarende instellingen. Accreditatie is daarbij een hulpmiddel om doelstellingen van de verschillende marktpartijen te verwezenlijken. De RvA zal ervoor zorgdragen dat dit middel goed gebruikt wordt. Door de onafhankelijke positie van de RvA kan daarvoor het vertrouwen dat de markt van dergelijke verklaringen verwacht, worden vergroot.
In accreditatietermen is de markt van de RvA een veelomvattend begrip. Enerzijds zijn er de directe klanten van de RvA, de conformiteitverklarende instellingen (o.a. Deloitte Certification B.V.), anderzijds de consument, de overheid en het bedrijfsleven. Voor de consument/eindgebruiker is de toegevoegde waarde van de RvA gelegen in het zorgen voor transparante conformiteitverklaringen met duidelijke achtergronden. (www.rva.nl)
In de figuur hieronder staat een simpele weergave van de verhoudingen tussen de betrokken partijen bij accreditatie. Voor een uitgebreide beschrijving van het accreditatieproces en het registratieproces van de RvA wordt verwezen naar de bijlagen.
Figuur bevat gevoelige informatie
Het proces van accreditatie
Allereerst stuurt de RvA op verzoek een algemeen informatiepakket aan belangstellenden of verwijst ze naar de mogelijkheden om deze informatie van het internet te downloaden. Het accreditatieproces bestaat in grote lijnen uit een registratie gevolgd door een vooronderzoek en een beoordeling. Een accreditatiebesluit sluit het proces af. Wanneer een accreditatie wordt verleend, treedt de fase van het in stand houden van de accreditatie in werking. Voor een afbeelding van het accreditatieproces en het registratieproces wordt verwezen naar de bijlagen.
2.3 Certificeringdiensten Deloitte
Deze paragraaf beschrijft de Certificeringdiensten van Deloitte Certification B.V. Allereerst wordt de GBA audit beschreven, welke reeds uitgevoerd wordt Deloitte Certification. Hierna worden de toekomstige certificeringdiensten beschreven.
Het proces van certificering ziet er als volgt uit. Een klant doet allereerst een aanvraag tot certificering bij Deloitte Certification B.V. Vervolgens voert Deloitte Certification een proefbeoordeling uit om te controleren of certificatie überhaupt binnen de mogelijkheden ligt. Wanneer dit het geval is wordt begonnen met de echte toetsing door middel van een audit. Allereerst worden de documenten getoetst en vervolgens wordt het systeem beoordeeld wanneer het in werking getreden is. Aan de hand van deze toetsing neemt Deloitte Certification B.V. het besluit tot certificering (of niet). Objectiviteit is hierbij noodzakelijk. Wanneer een klant zijn systeem heeft laten certificeren, vindt een periodieke controle plaats om te verifiëren of nog steeds aan de eisen voldaan wordt (meestal 1 keer per jaar). Wanneer de geldigheid van een certificaat is verlopen en de klant wenst deze voort te zetten, moet een herbeoordeling plaats vinden. Deze is minder langdurig en grondig dan de eerste beoordeling. Deloitte Certification B.V. kan ook overgaan tot schorsing, intrekking of nietig verklaring van het certificaat wanneer de klant niet aan de gestelde eisen blijkt te voldoen.
Gemeentelijke BasisAdminstratie (GBA)
Alle gemeenten dienen eens in de drie jaar een audit te laten uitvoeren op de kwaliteit van hun gemeentelijke basisadministratie. Daarbij wordt gecontroleerd of de persoonsgegevens correct zijn opgenomen in de gemeentelijke basisadministratie persoonsgegevens. Daarnaast wordt een aantal belangrijke punten met betrekking tot het beheer van de GBA getoetst, zijnde de procedures voor Back up & herstel, Uitwijk en Beveiliging. Tevens is per 1 januari 2001 als verplicht onderdeel in de GBA-audit de kwaliteit van de getroffen maatregelen en voorzieningen in het kader van de privacybescherming getoetst.
Gemeenten dienen voor de GBA-audit bedrijven in de arm te nemen, die door de minister voor Grote Steden- en Integratiebeleid daartoe zijn aangewezen. Aanwijzing vindt alleen plaats als de Raad voor Accreditatie (RvA) het betreffende bedrijf heeft getoetst op zaken als continuïteit en beschikbare kennis. Deloitte Certification B.V. is zo’n bedrijf. Voor Deloitte Certification komen de opbrengsten van GBA Audit op dit moment van 30-40 gemeenten per jaar. Hierbij moet vermeld worden dat de GBA audits mogelijk een aflopende zaak is in verband met nieuwe wetgeving. Vandaar dus de zoektocht naar nieuwe afzetgebieden in de vorm van ISO certificaten. (www.bprbzk.nl)
ISO/IEC 27001:2005
De Code voor Informatiebeveiliging is de Nederlandse benaming voor de van oorsprong Engelse “British Standard” nummer 7799. Deze bestaat uit twee delen. Deel 1 bevat een logische verzameling van “best practices” ten aanzien van beveiligingsgerelateerde onderwerpen. Het
schema voor certificatie van informatiebeveiliging op basis van BS7799-2:2202 (deel 2), onlangs vervangen door ISO/IEC 27001:2005, beschrijft de criteria voor het beoordelen en certificeren van stelsels van fysieke, logische en organisatorische maatregelen voor informatiebeveiliging van een bedrijf. Het kan hierbij gaan om certificatie van grote, middelgrote en kleine organisaties. Het schema is tevens bedoeld om het gebruik van de Code voor Informatiebeveiliging in kleine en middelgrote bedrijven te stimuleren. ISO 27001 voldoet aan de eisen van allerlei organisaties, zowel in de public- als profitsector. Het kan dan ook door elke organisatie gebruikt worden. Dit komt door de flexibiliteit en mogelijkheid tot aanpassing van de norm.
Figuur 2.3: Risico’s verschillende branches (Barnard & von Solms 1998)
Certificerende instellingen, zoals Deloitte Certification B.V., worden geaccrediteerd tegen de norm NEN-EN 45012 en ISO Guide 62 voor managementsystemen. Deze norm houdt in dat aan bepaalde eisen voldaan moet worden alvorens geaccrediteerd te kunnen worden voor het uitvoeren van certificeringaudits. Belangrijk onderdeel hiervan is dat aangetoond moet worden te werken met een kwaliteitssysteem, met hierbij passend een interne audit en managementreview. Deze normen zijn in de bijlagen toegevoegd. (Barnard & von Solms, 1998).
ISO/IEC 20000:2005
De BS15000 is een kwaliteitskeurmerk van Britse bodem voor IT service management dat gebaseerd is op de IT Infrastructure Library (ITIL) van het OGC (Office of Government Commerce). Het is in 2000 ontwikkeld door het BSI (British Standard Institution) en is voortgekomen uit de Code of Practice PD0005 uit 1998. De BS15000 bestaat uit een zorgvuldige omschrijving van definities en processen binnen het IT service management (zie figuur
hieronder). Dit is iets wat al in diverse publicaties en standaardwerken is opgenomen, nu heeft het echter een officieel label. Onlangs is de BS15000 vervangen door de ISO/IEC 20000:2005. De ISO 20000 bevat geen detaillistische processchema’s en heeft ook niet de pretentie om volledig te zijn, maar is wel een algemene leidraad voor alle relevante voorkomende activiteiten binnen IT service management. Het is opgesplitst in twee delen: deel 1 is “specificaties voor IT servicemanagement” en deel 2 is “praktische richtlijnen voor IT servicemanagement”.
Figuur 2.4: Opbouw BS15000 (www.itsmf.com 2005)
Op dit moment is er in Nederland nog geen instelling die de accreditatie van ISO 20000 voor zijn rekening neemt. Net als bij de BS7799 wordt Deloitte Certification B.V. voor de BS15000 geaccrediteerd tegen de norm NEN-EN 45012 en ISO Guide 62 voor managementsystemen.
NEN 7510
De norm ‘Informatie Beveiliging In de Zorg’ gaat over informatiebeveiliging binnen de zorgsector. Onder informatiebeveiliging in de zorg wordt verstaan: het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die benodigd is om patiënten verantwoorde zorg te kunnen bieden. Naast het borgen van deze kwaliteitscriteria vereist deze norm ook dat de informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht voordat kan worden gesproken over adequate informatiebeveiliging. De norm kan beschouwd worden als een kader. Binnen dit kader kan elke proceseigenaar de voor zijn/haar proces relevant geachte informatiebeveiliging specificeren, inclusief de daarbij behorende maatregelen.
De kwaliteit van dienstverlening in de zorgsector is van groot belang, soms zelfs van levensbelang. Om patiënten het gewenste niveau van dienstverlening te kunnen bieden is het noodzakelijk dat zorgverleners op ieder moment over betrouwbare informatie kunnen beschikken. Ook is het van belang dat gevoelig informatie niet in handen van ongeautoriseerde partijen valt om de privacy van de patiënt te beschermen.
De flexibiliteit van informatievoorziening en de beveiliging van de informatie lijken met elkaar op gespannen voet te staan. De enige manier om tegelijkertijd de gewenste beveiliging en de noodzakelijke flexibiliteit in de informatievoorziening te kunnen bewerkstelligen, is om een afgewogen stelsel van beveiligingsmaatregelen te implementeren.
De complexiteit van informatiebeveiliging in de zorgsector wordt duidelijk als men kijkt naar het netwerk van zorgaanbieders, patiënten, zorgverzekeraars, overheidsinstanties en andere belanghebbenden die een rol spelen in het verzamelen, opslaan, verwerken en transporteren van informatie. Het gezamenlijk gebruik van informatie door meerdere verschillende partijen vraagt om standaarden op het gebied van informatie opslag, berichtopmaak, communicatieprotocollen, definities en codering van medische termen en, niet in de laatste plaats, informatiebeveiliging. Voor deze norm is nog geen certificatieschema ontwikkeld, evenmin is er een
accreditatieschema. In de nabije toekomst komt hier waarschijnlijk verandering in. (www.nen7510.org)
3 Probleemstelling en onderzoeksaanpak
3.1 Inleiding
Het derde hoofdstuk beschrijft de probleemstelling en de onderzoeksaanpak van deze scriptie. Allereerst wordt de probleemstelling geformuleerd. Hierin staan de bijbehorende doel- en vraagstelling en het theoretisch kader waarin dit onderzoek geplaatst is (3.2). Tevens worden de deelvragen uiteengelegd en de randvoorwaarden van het onderzoek beschreven. Het huidige hoofdstuk zal ook de methodologie behandelen in paragraaf 3.3. In paragraaf 3.4 wordt het conceptueel model geschetst dat gehanteerd wordt.
3.2 Probleemstelling
In deze paragraaf wordt de probleemstelling gegeven van het onderzoek gegeven. Het eerste onderdeel hiervan is de doelstelling, vraagstelling, begripdefiniëring en randvoorwaarden. Volgens Verschuren (1986, p. 36) bestaat de probleemstelling uit een doelstelling en een logische daaruit afgeleide vraagstelling, die tezamen precies vastleggen wat en waarom wordt onderzocht. De randvoorwaarden tenslotte geven de beperkingen aan waaraan onderzoeksresultaten en methoden onderhevig zijn. Bij het opstellen van de probleemstelling is gebruik gemaakt van de ballentent van De Leeuw (2001, p. 88). De ballentent bestaat uit de volgende onderdelen: probleemstelling, te gebruiken concepten, gegevensbronnen, meet- en waarnemingsmethoden en analysemethoden. Deze worden in de onderstaande figuur grafisch weergegeven.
Doelstelling
Verschuren (1986, p. 40) stelt dat een juist geformuleerde doelstelling bepalend is voor het welslagen van een onderzoek. Deze doelstelling vormt de basis van de vraagstelling en stuurt het proces van kennisverwerving. Daarnaast is de doelstelling van belang voor een evaluatie van het onderzoek, vooraf en achteraf. En ten slotte dient de doelstelling van een onderzoek de taak van motivering van de onderzoeker te vervullen. Voor dit onderzoek is de volgende doelstelling geformuleerd:
Theoretisch kader
Volgens Biemans (2004) kan business marketing als volgt gedefinieerd worden: “Business
marketing is de marketing van goederen en diensten aan bedrijven en overheden en andere non-profitinstellingen, die ze óf gebruiken voor de productie van hun eigen goederen en diensten óf doorverkopen aan andere zakelijke klanten”. Deloitte Certification is leverancier van
certificeringdiensten aan de fabrikant van het eindproduct- of dienst.
Figuur 3.2: Positionering business marketing (Biemans, 2004)
Anderson en Narus (1998) stellen dat business marketing gelijk staat aan het creëren van waarde aan zakelijke klanten. Anderson en Narus (1998) definiëren waarde als volgt:
Het geven van aanbevelingen aan het managementteam van Deloitte Certification B.V. door te adviseren over het ontwikkelen en uitwerken van nieuwe productmarkt-combinaties, om te komen tot de implementatie van een organisatie waarvan de infrastructuur en procescompetenties gebaseerd zijn op klantenwensen- en behoeften.
“Waarde is het uitdrukken in monetaire eenheden van technische, economische, service en sociale voordelen, welke een klantorganisatie ontvangt in ruil voor de prijs die betaald wordt voor de geleverde dienst.”
Deze definitie wordt door Anderson en Narus (1998) in de volgende formule samengevat:
Waarbij Waarded en Prijsd de waarde en prijs van Deloitte Certification zijn. Waardea en Prijsa zijn de waarde en prijs van het beste alternatief. Dit hoeft niet per se een andere leverancier te zijn. Kort samengevat moet de dienst van Deloitte Certification voor klanten dus meer waarde brengen dan een ander alternatief.
Treacy en Wiersema (1993) zijn van mening dat een bedrijf slechts concurrerend kan zijn wanneer het eén van drie waardedisciplines kiest. Zij noemen de volgende drie strategieën voor het creëren van waarde: het leveren van uitmuntende operationele prestaties, het voeren van productleiderschap en tot slot het nastreven van klantintimiteit.
Dit sluit aan bij de theorie waarmee Deloitte Certification waarde kan creëren voor klanten door middel van marktgerichtheid. Volgens Slater en Narver (1994) is een marktgerichte organisatie in staat om continue superieure waarde te creëren voor klanten. Door het systematisch verzamelen van informatie over klanten, concurrenten, toeleveranciers en andere marktpartijen en deze informatie intern te verspreiden kan Deloitte Certification een superieure waarde creëren ten opzichte van die van de concurrentie. Deze elementen van marktoriëntatie worden weergegeven in de volgende figuur.
Figuur 3.3: De elementen van marktoriëntatie (Narver & Slater, 1994)
Vanuit de business marketing spreekt men ook wel van waardepropositie in plaats van productmarkt combinatie. Waardepropositie wordt door Biemans (2004) als volgt gedefinieerd: de waardepropositie is datgene wat Deloitte Certification B.V. aan wie aanbiedt. Met andere woorden: “Welke klanten wil Deloitte Certification bedienen?” en “Welke waarde biedt Deloitte
Certification haar klanten?”.
Vervolgens zullen de nieuwe diensten op de markt gepositioneerd worden met behulp van de marketingmix. Dit zijn de welbekende vier P’s: Product, Prijs, Plaats en Promotie van McCarthy (1960). In de business marketing wordt dit ook wel het uitwerken van de waardepropositie genoemd. Om deze waardepropositie tot een succes te maken moet Deloitte Certification de organisatie zo inrichten dat de infrastructuur en procescompetenties gebaseerd zijn op klantenwensen- en behoeften. Op deze manier wordt een waardecreërende organisatie gecreëerd (Thompson, 2000).
Tot slot wordt de marketing beheersingscyclus van Biemans (2004) aangedragen om ervoor te zorgen dat de activiteiten die Deloitte Certification uitvoert bijdragen aan een effectieve en efficiënte organisatie. Marketing is hierin een belangrijke component.
Vraagstelling
Verschuren (1986, p. 65) introduceert een 2-stapsmodel voor het formuleren van een vraagstelling. Hierin bestaat de eerste stap uit de afleiding van een centrale vraag uit de doelstelling aan de hand van de gegeven literatuur over business marketing. De tweede stap houdt in de afleiding van deelvragen uit de centrale vraag. De volgende vraagstelling is geformuleerd:
Deelvragen:
De volgende deelvragen zijn uit de centrale vraagstelling afgeleid. Aan iedere deelvraag is een hoofdstuk besteed. Deze hoofdstukken bevatten subvragen welke in onderstaande paragrafen beschreven worden:
1. Hoe kan de waardepropositie ontwikkeld worden? (Hoofdstuk 4) - Hoe ziet de markt eruit voor Deloitte Certification? (4.2) - Hoe kan Deloitte Certification deze markt segmenteren? (4.3)
- Hoe moet Deloitte Certification haar waardepropositie formuleren? (4.4) 2. Hoe kan de waardepropositie uitgewerkt worden? (Hoofdstuk 5)
- Welk beleid moet gevoerd worden met betrekking tot het product? (5.2) - Welk prijsbeleid moet hierbij gevoerd worden? (5.3)
- Welk beleid moet gevoerd worden wat betreft plaats? (5.4)
- Hoe moet het beleid wat betreft promotie uitgevoerd worden? (5.5)
3. Hoe kan een waardecreërende organisatie geïmplementeerd worden? (Hoofdstuk 6) - Hoe kan de organisatie ingericht worden? (6.2)
- Hoe kunnen de marketingactiviteiten beheerst worden? (6.3)
Randvoorwaarden
- Het onderzoek dient te voldoen aan de door de RuG gestelde eisen - Het onderzoek dient te voldoen aan de door Deloitte gestelde eisen
3.3 Methodologie
Dit onderzoek kan worden getypeerd als een praktijkonderzoek, want het beoogde product dient te voldoen aan een specifieke klantgebonden behoefte aan kennis. Het praktijkonderzoek kan worden gezien als beleidsondersteunend onderzoek. Beleidsondersteunend onderzoek beoogd
Hoe moet Deloitte Certification B.V. haar waardepropositie ontwikkelen en uitwerken om te komen tot een implementatie van een waardecreërende organisatie?
voor een aanwijsbare klant concrete kennis op te leveren die bruikbaar is in een specifieke situatie en een gedeelte van de totale kennisbehoefte bevredigt (De Leeuw 2001, p.76). De aanwijsbare klant in dit onderzoek is het managementteam van Deloitte Certification, en de concrete kennis die het onderzoek moet opleveren bestaat uit het geven van aanbevelingen betreffende in de doelstelling geformuleerde onderwerpen. Beleidsondersteunend onderzoek ondersteunt het beleid van Deloitte Certification door het voortbrengen van bruikbare kennis. De eerste deelvraag: “Hoe kan de waardepropositie ontwikkeld worden?” wordt beantwoord aan de hand van een analyse met behulp van een aantal concepten. Dit is gedaan met behulp van het gebruik van bestaande informatie, zoals het intranet, het internet en tastbare documenten, in combinatie met observatie en het afnemen van mondelinge en schriftelijke interviews. Deze interviews waren meestal ongestructureerd van aard, omdat vooraf niet veel informatie voor handen was. Allereerst wordt de markt waarin Deloitte Certification zich gaat begeven geanalyseerd. Dit is gedaan door gebruik te maken van een aantal theorieën. De omgevingsanalyse is gedaan met behulp van de PEST-methode van Porter (1980), de concurrentieanalyse is verricht aan de hand van het vijfkrachtenmodel van Porter (1980) en tot slot is voor de drie afzonderlijke diensten een SWOT analyse uitgevoerd. Vervolgens wordt geanalyseerd hoe Deloitte Certification de nieuwe markt kan segmenteren. Tot slot wordt een beschrijving gegeven van hoe Deloitte Certification haar waardepropositie kan formuleren. Dit wordt ingevuld door de theorie van Treacy en Wiersema (1993), Narver en Slater (1994) en tot slot Andersen en Narus (1998).
De tweede deelvraag: “Hoe kan de waardepropositie uitgewerkt worden?” wordt beantwoord met behulp van een literatuurstudie in combinatie met het gebruik maken van beschikbare informatie over de huidige organisatie. Ook wordt informatie verzameld door middel van interviews. Het ontwerpen van de organisatie geschiedt op basis van de bekende marketingmix van McCarthy (1960). Deze marketingmix omvat de bekende vier P’s van marketing: product, prijs, plaats en promotie.
De derde en laatste deelvraag: “Hoe kan een waardecreërende organisatie geïmplementeerd worden?” wordt tenslotte uitgewerkt met behulp van een aantal concepten. Deze vraag wordt wederom beantwoord aan de hand van een literatuurstudie op het gebied van business marketing. Wanneer deze concepten in praktijk gebruikt worden, zal dit de nodige veranderingen teweeg brengen binnen de organisatie. Zo wordt de theorie van Thompson (2000) gebruikt om aan te tonen hoe Deloitte Certification de organisatie kan gaan inrichten. Vervolgens wordt de beheersingscyclus van Biemans (2004) aangedragen om te gebruiken, om de marketingactiviteiten te kunnen beheersen.
3.4 Conceptueel model
Weg gelaten in verband met gevoelige informatie
4 Ontwikkelen van de waardepropositie
4.1 Inleiding
Dit hoofdstuk geeft een antwoord op de deelvraag: “Hoe kan de waardepropositie ontwikkeld worden?” Dit is getracht te bereiken door antwoord te vinden op de volgende subvragen. In paragraaf 4.2 wordt antwoord gegeven op de subvraag: “Hoe ziet de markt eruit voor Deloitte Certification?” Paragraaf 4.3 gaat over de volgende subvraag: “Hoe kan Deloitte Certification deze markt segmenteren?” en tot slot wordt de subvraag: “Hoe moet Deloitte Certification haar waardepropositie formuleren?” behandeld in paragraaf 4.4.
4.2 Begrijpen van de markt
De subvraag: “Hoe ziet de markt eruit voor Deloitte Certification?” ligt ten grondslag aan deze paragraaf. In dit stuk wordt de markt geanalyseerd om te komen tot een zeker begrip van de markt waarin Deloitte Certification gaat opereren. Allereerst vindt een omgevingsanalyse voor Deloitte Certification plaats aan de hand van het PEST model van Porter. Dan wordt een analyse gegeven van de concurrentie en leveranciers van Deloitte Certification aan de hand van Porter’s vijfkrachten model. Tot slot wordt een SWOT analyse gemaakt voor de afzonderlijke certificeringdiensten die Deloitte Certification in de toekomst wil gaan aanbieden.
4.2.1 Omgevingsanalyse
In deze paragraaf gaat de belangstelling uit naar de trends en gebeurtenissen in de omgeving die de strategie direct of indirect beïnvloeden. De omgeving van Deloitte Certification wordt beschreven aan de hand van het PEST model van Porter (1980). Deze wordt hierbij beschreven aan de hand van politiek, economische, sociale en technologische omgevingsvariabelen.
Politieke omgevingsvariabelen
Een aantal van deze variabelen heeft invloed op de ontwikkeling van economische en juridische variabelen. Hiernaast is de ontwikkeling van het politieke klimaat van belang: hoe is de houding van politici ten aanzien van het bedrijfsleven. (Leeflang I, 1986, p. 90) Op het gebied van corporate governance spelen een aantal zaken. Allereerst de Code Tabaksblat. Hiernaast is er de Sarbanas Oxley Act.
Code Tabaksblat
Het kabinet heeft de aanbevelingen van de commissie-Tabaksblat overgenomen. Het kabinet denkt dat de gedragscode van de commissie kan bijdragen aan het herstel van vertrouwen van beleggers en burgers in het bedrijfsleven. De code corporate governance (behoorlijk bestuur) van de commissie is door het kabinet aangewezen als gedragscode voor beursgenoteerde vennootschappen. Dit betekent onder meer dat deze bedrijven in hun jaarverslag moeten aangeven in hoeverre zij de code naleven. Dit 'pas toe of leg uit'-principe was eén van de
aanbevelingen van de commissie. De commissie-Tabaksblat is ingesteld mede naar aanleiding van de grote boekhoudschandalen in Amerika en Europa.
Sarbanes Oxley Act
De Amerikaanse Wet Sarbanes-Oxley van 2002 bepaalt dat organisaties hun aansprakelijkheid moeten verbeteren door middel van gedocumenteerde financiële beleidsregels en procedures en een snellere financiële rapportering. Deze wet was vooral bedoeld om het vertrouwen van investeerders te herwinnen door het ondernemingsbeleid sterker te maken. De wet is alleen van toepassing op in Amerika beursgenoteerde ondernemingen, maar heeft ook zeker zijn invloed op ondernemingen uit andere landen. De “Sarbanes-Oxley Act of 2002” (SOX) verandert de manier waarop bedrijven omgaan met regelgeving. Tot voor kort gingen bedrijven vooral op ad-hoc en op afdelingsniveau om met bestuur, risicoanalyse en regelgeving. Hiervoor werden detail oplossingen en systemen ingericht. Door de nieuwe regelgeving - en alle commotie daaromheen - zijn bedrijven vandaag bezig met een integrale aanpak.
Maar wat hebben deze twee nu met ICT te maken? Tegenwoordig alles. Simpel gezegd is ICT van een kostenpost tot een productiefactor verworden. Soms zelfs de grootste productiefactor, daarmee arbeid, grondstoffen, en kapitaal achter zich latend. Voor een onderneming houdt dit in dat de ICT-infrastructuur moet voldoen aan de verscherpte eisen van betrouwbaarheid, beschikbaarheid en vertrouwelijkheid. Er ontstaat dus een grotere vraag naar certificeringdiensten op het gebied van IT beveiliging en IT beheer. Hier spelen de nieuwe diensten van Deloitte dus handig op in. De kwaliteit van de managementsystemen van klanten worden gecertificeerd tegen de bekende normen, zodat de klant kan aantonen dat aan onder andere de eisen van de Sarbanes Oxley Act en het Tabaksblat wordt voldaan.
Economische omgevingsvariabelen
Na een aantal economische moeizame jaren staat Nederland er in de loop van 2005 weer beter voor. De koopkracht, die dit jaar nog terugloopt, stijgt in 2006 met gemiddeld een half procent, de economische groei neemt toe, de werkgelegenheid verbetert en het begrotingstekort daalt. Volgens het CPB valt de economische groei dit jaar met 1 procent nog tegen, en groeit de economie in 2006 met 2,25 procent. Het CPB voorspelt dat de investeringen toe nemen en dat het aantal banen gaat stijgen. Het begrotingstekort komt dit jaar uit op 2 procent en loopt terug naar 1,7 procent in 2006. (www.elsevier.nl, 29-9-2005)
De voor komend jaar voorziene opleving van de Nederlandse economie is met aanzienlijke onzekerheden omgeven. Indien bijvoorbeeld de olieprijs blijft steken op 65 dollar per vat, komt de economische groei volgend jaar 0,5%-punt lager uit en verdampt ook de koopkrachtwinst. Naar verwachting loopt het EMU-tekort gestaag terug van 3,1% van het bruto binnenlands product (BBP) in 2003 tot 1,7% van het BBP in 2006. In 2004 en 2005 is deze gunstige ontwikkeling, bij de bescheiden economische groei, vooral het gevolg van substantiële ombuigingen en lastenverzwaringen. In 2006 is het budgettaire beleid daarentegen licht expansief en vloeit de tekortverbetering voort uit het verwachte conjuncturele herstel. De economie lijkt dus aan te trekken wat zijn weerslag zal hebben op het bedrijfsleven. In mindere tijden zullen bedrijven wellicht minder geneigd zijn om over te gaan tot het laten certificeren van
hun managementsystemen, echter een positieve trend zal waarschijnlijk terug te vinden zijn in de afzet van certificeringen. (www.cpb.nl, 28-9-2005)
Sociale omgevingsvariabelen
De invloeden van de sociale omgevingsvariabelen zijn nihil voor de uitkomsten van dit onderzoek en zullen dus niet meegenomen worden in dit stuk.
Technologische omgevingsvariabelen
Deze omgevingsvariabelen kunnen worden ingedeeld in beperkingen en mogelijkheden. Deze beperkingen en mogelijkheden kunnen zowel tot de interne als de externe omgeving behoren. (Leeflang I; blz. 90) Hieronder worden een aantal belangrijke ontwikkelingen beschreven op het gebied van ICT. Het is zaak voor Deloitte (Certification) om deze ontwikkelingen goed in de gaten te houden en in te springen op mogelijkheden die zich voordoen. De ICT-trends van 2005 zijn:
Breedband: dit is een snel datatransmissiekanaal. Tegenwoordig spreekt men van smalband,
middelband en breedband. Breedband is niet altijd noodzakelijk.
Wirelesscomputing: betekent zoveel als altijd en overal toegang tot het internet, email,
persoonlijke gegevens, klantinformatie en bedrijfssystemen.
Radio Frequency Identification (RFID): dit zijn elektronische chips als slimme opvolger van de barcode. Met RFID is “tracking and tracing” van goederen, apparaten en personen mogelijk. Belangrijke drijfveren voor RFID zijn ketenoptimalisatie en kostenverlaging.
Application Service Providing (ASP): wordt ook wel application hosting of outsourcing via
internet genoemd. Hierbij stelt een ASP-leverancier tegen betaling bedrijfstoepassingen en software via internet beschikbaar aan klanten.
Voice over Internet Protocol (VoIP): met andere woorden; telefoneren over internet. VoIP kan
flexibiliteit en kostenvoordelen opleveren.
Open Source Software: software waarvan de broncode vrij beschikbaar is. Gebruikers kunnen
deze onder bepaalde voorwaarden aanpassen. Voor deze software zijn geen licentiekosten verschuldigd, wel moet men rekening houden met kosten voor implementatie, beheer en onderhoud.
Electronische dienstverlening (E-business): in 2004 is er volgens Forrester 50% meer online
verkocht dan in 2003. Uit recent onderzoek van Jonker Advies blijkt dat slechts een beperkt aantal bedrijven financieel voordeel behaalt uit hun internettoepassingen. Dit wordt vooral veroorzaakt door gebrek aan kennis en onvoldoende bereidheid om alle benodigde organisatieaanpassingen door te voeren. 90% van de respondenten gaf echter aan het gebruik van internet verder uit te breiden om de marktgerichtheid en concurrentiepositie te versterken.
Enterprise Content Management (ECM): softwareoplossingen waarmee bedrijfsbreed allerlei
soorten content (data, tekst, beeld, geluid, documenten) vanuit een geïntegreerd systeem aangemaakt, beheerd en gedistribueerd kan worden, zowel binnen als buiten de organisatie
Customer Relationship Management (CRM): is primair een bedrijfsstrategie. CRM software kan
helpen om klantinteracties beter en sneller te laten plaatsvinden en klanten beter op maat te bedienen.
Domotica: hetgeen “woonhuisautomatisering” betekent. Vooral gezien de vergrijzing en kosten van de gezondheidszorg een goede oplossing voor ouderen.
Outsourcing van ICT-diensten: dit kan vele vormen aannemen. Bijvoorbeeld het uitbesteden van
het beheer van enkele desktops, printers en servers of het uitbesteden van de complete softwareontwikkeling naar landen als Rusland of India (Offshoring). ASP is ook een vorm van outsourcing.
Informatieplanning: is belangrijk in een tijd van slecht op elkaar afgestemde systemen.
Belangrijkste punten zijn hoge beheerskosten en een verslechterde reactiesnelheid. (www.kennisportal.com, 19-9-2005)
Al deze trends tonen aan de ICT binnen en buiten organisaties een steeds belangrijkere rol spelen. Er zal dus een grotere vraag ontstaan naar IT-beveiliging en IT-beheer op het gebied van managementsystemen, omdat organisaties zelf het overzicht verliezen. Deloitte Certification speelt hierop handig in met de nieuwe diensten.
4.2.2 Analyse van concurrenten en leveranciers
Deloitte Certification moet marktinformatie verzamelen om betere beslissingen te kunnen nemen, welke weer resulteren in meerwaarde voor haar klanten. Naast het kijken naar klanten en hun achterliggende markten, leveranciers en hun leveranciers, is het zaak om te kijken naar de concurrentie. Dit omdat de gepercipieerde waarde van de klant mede bepaald wordt door de diensten die concurrenten aanbieden. Om een indicatie te geven van de aantrekkelijkheid van de markt waar Deloitte Certification binnen wil gaan treden, is het 5-krachten model van Porter gebruikt. Dit model is in onderstaande figuur weergegeven.
Figuur 5.2: Vijfkrachtenmodel Porter (1980)
Intensiteit van concurrentie in de bedrijfstak
De intensiteit van concurrentie in de markt waar Deloitte Certification zich gaat bevinden wordt volgens Douma (1993) bepaald door een aantal factoren, namelijk de concentratiegraad, de mate van productdifferentiatie, de groei van de vraag, de conjunctuurgevoeligheid en de kostenstructuur, de omvang van investeringen in capaciteitsaanpassingen, de mate van overcapaciteit, uittredingsdrempels, samenwerkingsbereidheid en de mate van onzekerheid in de markt waar Deloitte Certification plaats neemt. Deze factoren worden in onderstaande stuk uitgelegd.
Concentratiegraad
De concentratiegraad van een bedrijfstak wordt bepaald door het aantal ondernemingen en de grootteverdeling van deze ondernemingen in deze bedrijfstak. Voor Deloitte Certification betekent dit dat de concentratiegraad hoog is. Er zijn slechts een klein aantal concurrenten (Kema, BSI en Ernst &Young) op het gebied van de ISO 27001 (zie onderstaande tabel). Voor de ISO 20000 is eén aanwijsbare concurrent (BSI) en voor de NEN 7510 is nog geen concurrentie, omdat de norm nog niet officieel uit is. Hiernaast zijn Kema en BSI de grootste spelers op de markt van ISO-certificeringen op het gebied van kwaliteitsmanagement systemen, zij zijn verantwoordelijk voor bijna de gehele afzet. Een hoge concentratiegraad is noodzakelijk, maar nog geen voldoende voorwaarde voor een zwakke interne concurrentie.
Instelling Aantal certificeringen ISO 27001
Kema Quality B.V. 17
BSI Management Systems B.V. 12
Ernst & Young Certifypoint 2
Tabel 5.1: Concurrentie ISO 27001 (Bron ECP: 16-11-2005)
Mate van productdifferentiatie
Hiermee wordt bedoeld de mate waarin er in de ogen van de afnemers verschillen bestaan tussen de diensten van verschillende leveranciers. Wanneer deze verschillen gering zijn, zal de kans op prijsconcurrentie groter zijn dan wanneer de verschillen groter zijn. In principe zijn de diensten die geleverd worden hetzelfde, een certificaat van bijvoorbeeld Kema zou niet beter of anders mogen zijn dan bijvoorbeeld Ernst & Young. De kans op prijsconcurrentie wordt hierdoor dus groter.
Groei van de vraag
Vaak is de concurrentie in bedrijfstakken met een groeiende vraag minder fel. Dit komt voort uit twee redenen. Ten eerste fungeert de groei als een soort smeermiddel van het concurrentieproces. Aanbieders kunnen hun marktaandeel vergroten zonder die van de concurrenten te verkleinen. Ten tweede hebben organisaties in een groeiende bedrijfstak vaak het voordeel van de schaarste aan hun kant. De groei in productiecapaciteit kan vaak de groei van de vraag niet bijhouden. De vraag naar de drie certificaten is stijgende, hetgeen kan leiden tot minder felle concurrentie. Conjunctuurgevoeligheid en kostenstructuur
De conjunctuurgevoeligheid van de bedrijfstak beïnvloed mede de interne concurrentie. Bedrijfstakken die erg conjunctuurgevoelig zijn en een groot percentage vaste kosten hebben, kunnen last krijgen van een zeer felle prijsconcurrentie. Aangezien de certificeringdiensten wel conjunctuurgevoelig zijn, maar de kosten bijna geheel variabel, mag geconcludeerd worden dat hierdoor de kans op prijsconcurrentie gemiddeld tot laag is.
Omvang van investeringen in capaciteitsaanpassingen
Deze spelen een te verwaarlozen rol in de bedrijfstak van Deloitte Certification. Hier zullen dan ook geen conclusies aan verbonden worden.
Mate van overcapaciteit
Gezien de groeiende vraag naar certificeringdiensten op het gebied van de drie bekende normen, is er een structurele ondercapaciteit van de bedrijfstak. Dit leidt naar alle waarschijnlijkheid tot minder felle prijsconcurrentie.
Uittredingsdrempels
Hoe groter de uittredingsdrempels zijn, des te langer blijft de overcapaciteit bij afnemende vraag bestaan. Aangezien er geen sprake is van een afnemende vraag, maar een groeiende, worden de uittredingsdrempels buiten beschouwing gelaten. De uittredingsdrempels voor deze bedrijfstak zijn voor Deloitte Certification laag.
