Inhoud
In vervolg op onze eerste aflevering van Studio GRC en naar aanleiding van de Deep Dive sessie over het Management Control Framework hebben we onze partner Eric van Mierlo van Cruxer geïnterviewd. De ‘hamvraag’ die wij hem gesteld hebben is waarom – en misschien nog wel belangrijker: wanneer – je als organisatie een platform zou moeten verkiezen boven een point solution.
Voordat je deze vraag gaat beantwoorden, is het misschien handig om voor de lezer duidelijk te hebben wat precies het verschil is tussen een platform en een point solution. Kun je aangeven wat naar jouw idee de verschillen zijn tussen deze twee oplossingen?
“Als ik kijk naar wat ik versta onder een point solution, dan kijk ik allereerst naar de verschillende functiegebieden binnen een bedrijf. Zo heeft bijvoorbeeld de functie riskmanagement de beschikking over een systeem voor het maken van (risico)rapportages. Een point solution is eigenlijk een specifieke oplossing voor een specifieke functie. In sommige gevallen maken meerdere afdelingen gebruik van dezelfde oplossing, maar in essentie gaat het dan nog steeds over een specifiek functiegebied of een bepaalde functiekolom die met een point solution wordt ondersteund.
Een platform solution daarentegen is een oplossing of toepassing die breder inzetbaar is en die op verschillende functiegebieden kan worden toegepast of ingezet.”
Oké, dat lijkt me helder. Wat zou je zeggen dat de voordelen en nadelen van beide oplossingen zijn ten opzichte van elkaar?
“Laat ik beginnen met een point solution. Een belangrijk voordeel is dat een point solution vaak al is voorzien van een specifieke definitie, al een bepaalde inrichting heeft staan die voor dat functiegebied redelijk snel toepasbaar is. Dat is van oudsher zo ontstaan. De vraag is of dit een voordeel blijft, want ik denk dat dat aan het veranderen is. Daar kom ik dadelijk nog op terug.
Als je vervolgens kijkt naar het voordeel van een platform solution, dan zie je dat bedrijven steeds breder kijken naar het totale, het integrale beeld en dingen met elkaar willen verbinden. Een platform voorziet in deze behoefte om inzicht te krijgen in het totaalplaatje en blijft daarmee weg van een silo-achtige benadering.
Een point solution zal namelijk ook altijd de silo-werking, die je traditioneel in organisaties hebt, - zeker in grote organisaties -, versterken. Dit kun je dan ook meteen als een nadeel van een point solution omschrijven. Een platform solution daarentegen stimuleert juist de samenwerking.
Om nog even terug te komen op het genoemde voordeel van een point solution, waarbij je al over een opzet beschikt die je vrij snel kunt toepassen; dit voordeel is eigenlijk inmiddels wel achterhaald. Je ziet namelijk in toenemende mate dat er bovenop platform solutions steeds meer aanvullende oplossingen worden geboden, waarbij bijvoorbeeld specifiek voor GRC of voor je processen of voor je architectuur een oplossing wordt gegeven. Dus de argumenten die in het verleden misschien van toepassing waren, die zijn dat nu niet meer of in veel mindere mate.
Omdat je op zo'n platform ook weer aparte oplossingen kunt bouwen, die eigenlijk met dezelfde snelheid of misschien nog wel sneller inzetbaar zijn, biedt een platform generiek gezien veel meer mogelijkheden. Als je iets aangepast wilt hebben, dan is dat binnen de mogelijkheden van het platform vaak gemakkelijk te realiseren. Terwijl je als je in een point solution iets wilt aanpassen, dan eigenlijk weer terug moet naar de leverancier en dan moet die weer terug naar de tekentafel en dat is veel kostbaarder in de zin van geld, tijd en doorlooptijd.
Ik denk dus dat de traditionele argumenten, die eerst op point solutions van toepassing waren, dat die achterhaald zijn en dat je op dit moment met een platform de flexibiliteit en snelheid hebt, die je nodig hebt om tijdig te kunnen anticiperen op ontwikkelingen die in de markt spelen. Je kunt hierbij gebruik maken van solutions van een partner, maar tegenwoordig is het ook heel goed mogelijk om deze zelf te bouwen.”
Je had het er daarnet over dat je op een platform aparte solutions kunt bouwen, maar als ik even puur naar Mavim kijk, dan biedt het Mavim-platform al koppelingen met andere oplossingen. Ik weet niet of je dat point solutions kan noemen, maar zou je die dan ook meetellen?
“Daar raak je een goed punt en dat is meteen ook de kracht van het Mavim-platform. Je hebt dus de technische laag en op die technische laag heeft Mavim een integratie met bijvoorbeeld Microsoft. Dat is tevens een voordeel van een platform: platformen worden steeds meer geïntegreerd met hun omgeving, waardoor je de mogelijkheden kunt uitnutten die bijvoorbeeld in het Microsoft Power Platform beschikbaar zijn.
Dat is ook iets wat wij (Cruxer) doen. Als ik kijk naar onze solution (het Management Control Framework, red.), dan is het een combinatie van enerzijds Mavim, waarin we een GRC-oplossing hebben gebouwd en anderzijds het Microsoft Power Platform. De kracht van Mavim zit namelijk vooral in het visueel maken van processen, architectuur en allerlei relaties die er zijn. Maar als het gaat over redelijk dynamische informatie, zoals verbeteracties of incidenten die zich voordoen, dan zit je met Mavim in een omgeving, waarin je weliswaar op een gecontroleerde en beheerste manier wijzigingen doorvoert en naar productie brengt met versies publiceren, maar waar je toch ook tegen de beperkingen van het platform aanloopt omdat de informatie statisch is. Dat is een ‘bevroren’ situatie, maar door de integratie met een Microsoft omgeving kun je de meer dynamische aspecten binnen dat Power platform oplossen.
En zo hebben wij met Mavim in het Power Platform met SharePoint lists, Power Apps en Power BI rapportages een totaaloplossing ontwikkeld.”
Wanneer zou je als organisatie voor welke oplossing moeten gaan? Wanneer is het nou wel verstandig om toch voor een point solution te kiezen?
“Er zijn organisaties die zeggen van ‘ja, weet je, leuk die integratie, maar dat gaat te ver voor onze organisatie en dat zijn vaak de corporates, hele grote organisaties waarbij als het ware die silo’s min of meer het bestaansrecht vormen voor bedrijfsonderdelen binnen die organisaties.
Wat wij dus in onze selectieprocessen altijd doen, is vragen waar hun visie ligt op dat vlak. Want als het een organisatie betreft die antwoordt: “we hebben riskmanagement, we hebben processen, we hebben architectuur en die doen gewoon allemaal hun ding en daartussenin is niet te veel interactie”, dan is dat een organisatie die ik per definitie niet zou adviseren om voor een platform solution te gaan. Een platform solution vraagt namelijk om interactie die zij helemaal niet willen, en ook niet hebben vanuit hun cultuur en zo.
Maar gelukkig beseffen veel organisaties dat ook, dat ze steeds groter en complexer worden en dat juist het besturen van die samenhang steeds belangrijker wordt. En dat zijn organisaties die dus investeren in samenwerking, om dat meer op een eenduidige manier met elkaar te doen en om meer begrip te krijgen van hoe ze zijn georganiseerd.
Dat wil overigens niet zeggen dat ze dan helemaal allemaal hetzelfde moeten zijn, maar begrip is wel een heel belangrijk aspect en een platform als Mavim geeft je inzicht in hoe je bent georganiseerd, hoe gefragmenteerd dat ook mag zijn.
Het heeft te maken met hoe je je strategie en je beleid uit wilt dragen. Met de uiteindelijke cultuur van de organisatie, met hun strategie en hun visie. Daarbij zitten cultuur en visie heel, heel dicht bij elkaar; die hebben heel veel verwantschap met elkaar en vaak zie je in de visie terugkomen hoe ze willen zijn. Cultuur - voor zover je dat kunt meten - is meer de weergave van hoe ze vandaag de dag zijn als organisatie, maar zij werken dan vaak wel in hun visie en in hun strategie aan de wijze waarop ze willen acteren.
Dat zijn dus belangrijke aspecten bij de keuze voor een platform of niet.
We zien bij kleinere organisaties, die te maken hebben met veel regulering, die veel meer een ‘regieorganisatie’ zijn, dat zij veelal de voorkeur geven aan een platform oplossing. Zo zijn bijvoorbeeld pensioenorganisaties streng gereguleerd en moeten zij verantwoording afleggen aan DNB en de AFM. Daar spelen ook behoorlijke belangen want in principe zijn het de grootste vermogensbeheerders van Nederland. Maar zo'n pensioenorganisatie is in wezen een hele kleine organisatie. Omdat ze samenwerken met andere partijen zoeken zij ook oplossingen in zo'n platform, omdat een platform ze inzicht geeft in de samenhang in hun relaties en ze vanuit dat inzicht hun organisatie weer beter kunnen besturen. Een point solution helpt ze dan niet op dat moment, simpelweg omdat die niet zijn ingericht op de regie van een organisatie en zeker niet op regie over de verschillende functiegebieden heen. En uiteindelijk vertaalt zich dat ook weer in de kosten.”
Dat is een hele interessante constatering, want eerlijk gezegd zou ik gewoon denken dat point solutions over het algemeen wat goedkoper zijn en dat kleinere organisaties dus eerder geneigd zullen zijn om deze aan te schaffen. Maar dat blijkt dus in de praktijk niet helemaal het geval?
“Dat klopt, maar zoals gezegd hangt dat wel heel erg samen met de visie van zo’n organisatie.
Een platform biedt simpelweg meer flexibiliteit doordat je er relatief eenvoudig zaken op kunt bouwen, inrichten en configureren waardoor je veel beter in staat bent om te anticiperen op veranderingen. Daarmee heb je minder kosten in verband met afstemming en bespaar je op de overall-kosten.
Met point solutions moet je niet alleen kijken naar de kosten van de verschillende point solutions, maar naar de overall kosten die voor de organisatie hoger zullen zijn omdat er sprake is van verborgen kosten doordat de verschillende silo’s (en point-solutions) niet op elkaar zijn afgestemd.
Dat is destijds ook onze eigen afweging geweest is. Wij wilden zelf geen software ontwikkelaar/leverancier zijn, dus zijn wij op zoek gegaan naar een pakket dat we konden gebruiken. Zo zijn we bij Mavim terecht gekomen. We hebben ons volledig gefocust op het doorontwikkelen van onze solution en alleen maar dat. Ik ben er zelf namelijk van overtuigd dat er binnen een aantal jaren een solution staat die zich in verschillende markten heeft bewezen en die gewoon goed toepasbaar is. Dan kun je de voordelen van zo'n platform echt gaan uitnutten.
Zo konden we met de komst van nieuwe vereisten in het kader van de Sanctiewetgeving en de Wet tegen witwassen bij een tweetal van onze klanten eigenlijk vrij snel aantonen welke
maatregelen zo'n organisatie moet gaan nemen om aan die wetgeving te voldoen en het vervolgens in te bedden in hun proces of in hun bedrijfsvoering.
Andere pakketten blijken daar in de praktijk toch meer moeite mee te hebben om dat aan te tonen. Waar dat in zit? Wel, ieder zit op zijn eigen stukje van die puzzel. En daar is de klant uiteindelijk niet mee gebaat.”
Heb jij het gevoel dat organisaties wel steeds meer de ‘juiste keuzes’ maken? Ik kan me namelijk goed voorstellen dat je in een bepaalde fase of in een beginstadium prima met een point solution uit de voeten kan, en dat je pas later steeds meer behoefte hebt om dingen te kunnen integreren en meer inzicht en transparantie te creëren.
“Oei, dat vind ik een lastige vraag om te beantwoorden, want dat kan ik moeilijk overzien. Maar wat ik wel zie is dat de klanten waarbij we het platform hebben ingezet dat die heel tevreden zijn, dat die juist volop aan de slag zijn met die doorontwikkeling en dat dan eigenlijk de ontwikkeling van de organisatie en de inzet van die solution elkaar versterken.
Organisaties die een keuze hebben gemaakt voor een point solution, die kom ik meestal na een paar jaar weer tegen. Maar goed, dit soort investeringen doe je niet voor twee of drie jaar, maar voor minimaal vijf jaar. En, afhankelijk van de branche duurt het ook langer om zo'n besluit te nemen. Een overheids- of een semi-overheidsinstantie heeft echt wel tijd nodig om een dergelijke beslissing te nemen.
Laten we onze oplossing zien aan experts uit de markt (mensen die niet bij één organisatie zitten, maar die bij meerdere organisaties actief zijn), dan reageren zij heel enthousiast. Dat is ook de reden waarom wij de interactie met deze personen opzoeken omdat zij als geen ander de kracht van onze oplossing kunnen onderschrijven.
Nou kom ik wel steeds meer bedrijfjes tegen die (ook) een integratie hebben met een ander platform of meerdere platforms, die ook een GRC-oplossing bieden en die veel raakvlakken hebben met wat wij doen. Maar vaak bieden dat soort bedrijven alleen maar een oplossing voor bijvoorbeeld de IT-processen en faciliteren zij niet de andere bedrijfsprocessen waar je ook compliant mee moet zijn.
Een andere beweging die je in de markt ziet is dat ERP leveranciers wat meer opschuiven richting compliance en de mogelijkheid bieden om modules op hun ERP-systeem te zetten of te bouwen. De oorsprong is dan echter nog altijd IT en dat is dan meteen weer de beperkende factor.
AFAS zie ik die beweging ook maken. En op SAP kon je traditiegetrouw al eigen maatwerksoftware bouwen. Kanttekening daarbij is meteen dat die investering zeer groot is en je een afhankelijkheid hebt met de onderliggende software. Als de ontwikkelaar van onderliggende software bijvoorbeeld op een gegeven moment zegt “nu gaan we linksaf”, dan kan het zijn dat je oplossing ineens niet meer werkt.
Anderzijds zie je dat organisaties steeds meer op zoek zijn naar een hulpmiddel om op een meer efficiënte en effectieve manier hun bedrijfsprocessen te monitoren. Dan komt het DTO-verhaal (Digital Twin of an Organization, red.) om de hoek kijken. Hier worden in feite modeling, monitoring en execution bij elkaar gebracht en in het midden van die drie domeinen vind je de DTO.
Nu zit Mavim in dit spectrum meer aan de kant van modeling, maar heeft wel bewust de keuze gemaakt om te integreren met de twee andere domeinen (monitoring en executie). Èn met een cloud integratie, zodat je niet tegen lifecycle managementproblemen aanloopt. Bovendien scoort de integratie met Office 365 erg goed omdat we daarmee de basis leggen voor de digitalisering van een bedrijfsvoering.
We hebben dan ook vertrouwen in de visie van Mavim en zien dat jullie in de afgelopen jaren flinke stappen hebben gezet. Dat wil niet zeggen dat we er zijn, want ik denk dat Mavim echt nog wel uitdagingen heeft, maar we zien een patroon waar we vertrouwen in hebben.“
Waarom Cruxer?
“Vervolgens rijst natuurlijk de vraag waarom je dan voor Cruxer zou (moeten) kiezen? Het antwoord daarop is dat wij een integrale oplossing bieden voor GRC, processen en architectuur. Een oplossing die samenwerking faciliteert, die datadriven is en die alle toetsingskaders al bevat. Je kunt klein starten, maar je hebt wel de visie van hoe je de reis, van waar je naartoe wilt gaan, wilt vormgeven.”
Wat zou jij organisaties adviseren? Niet in de zin van, ze moeten kiezen voor of een point solution of een platform, maar aan welke dingen zouden ze moeten denken, welke argumenten zouden ze moeten afwegen op het moment dat ze in een pakketselectie zitten?
De belangrijkste argumenten die een organisatie in overweging zou moeten nemen bij de keuze uit verschillende pakketten, zijn eigenlijk de antwoorden op de vragen: Willen we überhaupt een integrale oplossing, of liever niet? Wie willen we als bedrijf zijn? In welke mate willen we zelf regie houden?
Over Eric van Mierlo
Eric van Mierlo is partner bij Cruxer. Zijn kracht ligt in het ontwarren van (schijnbaar) onoplosbare, complexe vraagstukken, in het brengen van duidelijkheid en richting als anderen het vaak niet meer weten en in mensen en organisaties helpen om op eigen kracht weer verder kunnen naar het volgende level. De verspilling van energie, geld en tijd gaan hem aan het hart. Daarnaast put Eric veel voldoening en energie uit de puzzel om zaken weer terug te brengen naar zijn eenvoud en is hij pas geslaagd als iedereen weer weet hoe het zit.
Staat jouw organisatie aan de vooravond van een pakketselectie of zit je er al middenin en ben je benieuwd naar de longlist met plussen en minnen die Cruxer van verschillende pakketten heeft gemaakt? Of ben je nieuwsgierig naar de integrale GRC-oplossing van Cruxer? Neem dan contact op met Eric van Mierlo, partner bij Cruxer
inspiratie
