U maakt het de auditors steeds lastiger

Compliance Week, een online publicatie over inderdaad compliancy, heeft de uitkomsten van een enquête onder de lezersgroep gedeeld en daarin komt ook de groep aan bod die IT diensten levert. Auditors en risk professionals vinden het steeds lastiger met die groep om te gaan. Dat CW een Amerikaanse titel is, maakt deze keer weinig uit. Auditors en risk managers werken internationaal namelijk via min of meer dezelfde regels en procedures. Op basis van net geen 200 enquêtes (dat zou net genoeg moeten zijn) is een aantal trends duidelijk geworden. Audits vinden plaats intern maar er zal ook goed worden gekeken naar externe leveranciers. Iedereen die IT diensten levert aan groter bedrijven of overheden zal daar wat van meekrijgen. Namens de klant wil men ook na het zetten van de handtekeningen blijven weten wat voor vlees men in de kuip heeft. Tussentijdse wijzigingen in de structuur van een bedrijf of het verliezen van een bepaalde certificering moeten bekend zijn. Daarover staan in de contracten die men sluit al het nodige, maar periodiek zullen aanvullende vragen komen. Die vragen worden niet zomaar gesteld, de bedrijven en instanties die dit (laten) doen moeten kunnen aantonen altijd in control te zijn en zekerheid te hebben dat de leveranciers zeggen wat ze doen en doen wat ze zeggen.

Tijdrovend

Het klinkt als tijdrovend en logisch tegelijk. Tijdrovend is het zeker en volgens CW is de trend dat men steeds meer tijd nodig heeft om zicht te houden. Voornaamste reden daarvoor is dat met name IT bedrijven veel meer uitbesteden of betrekken van derden. In normaal Nederlands: de keten wordt steeds langer. Langer en daarmee helaas ook minder transparant. De veel genoteerde klacht is volgens CW dat men direct na de eerste schakel in de keten van een toeleverancier verzandt. Het is nadrukkelijk geen onwil van de leverancier-van-een-leverancier, maar het ontbreekt ze aan middelen en tijd te reageren op de verzoeken van auditors en risk managers. Deze situaties zijn voor de klant en zijn leveranciers, met de achterliggende ketens, onwenselijk. Een oplossing is niet in zicht. Voorheen was er de regel dat olifanten het met olifanten deden. De grote bedrijven klopten bewust aan bij grote leveranciers, want alleen die waren in staat aan alle eisen te voldoen. Deels klopt dat verhaal nog, maar uitgerekend bij IT hebben ook de grootste aanbieders ondertussen een heel ecosysteem (“marktplaats”) onder zich. Klinkt als een slimme zet, maar het zorgt ervoor dat auditors een complexere keten voor zich zien van bedrijven die niet bekend zijn vragenlijsten, onderzoeken en dergelijke.
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
09:30 - 17:00 - Utrecht
09:30 - 17:00 | Utrecht
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein