Compliance Week, een online publicatie over inderdaad compliancy, heeft de uitkomsten van een enquête onder de lezersgroep gedeeld en daarin komt ook de groep aan bod die IT diensten levert. Auditors en risk professionals vinden het steeds lastiger met die groep om te gaan.
Dat CW een Amerikaanse titel is, maakt deze keer weinig uit. Auditors en risk managers werken internationaal namelijk via min of meer dezelfde regels en procedures. Op basis van net geen 200 enquêtes (dat zou net genoeg moeten zijn) is een aantal trends duidelijk geworden.
Audits vinden plaats intern maar er zal ook goed worden gekeken naar externe leveranciers. Iedereen die IT diensten levert aan groter bedrijven of overheden zal daar wat van meekrijgen. Namens de klant wil men ook na het zetten van de handtekeningen blijven weten wat voor vlees men in de kuip heeft. Tussentijdse wijzigingen in de structuur van een bedrijf of het verliezen van een bepaalde certificering moeten bekend zijn. Daarover staan in de contracten die men sluit al het nodige, maar periodiek zullen aanvullende vragen komen.
Die vragen worden niet zomaar gesteld, de bedrijven en instanties die dit (laten) doen moeten kunnen aantonen altijd in control te zijn en zekerheid te hebben dat de leveranciers zeggen wat ze doen en doen wat ze zeggen.
Tijdrovend
Het klinkt als tijdrovend en logisch tegelijk. Tijdrovend is het zeker en volgens CW is de trend dat men steeds meer tijd nodig heeft om zicht te houden. Voornaamste reden daarvoor is dat met name IT bedrijven veel meer uitbesteden of betrekken van derden.
In normaal Nederlands: de keten wordt steeds langer. Langer en daarmee helaas ook minder transparant. De veel genoteerde klacht is volgens CW dat men direct na de eerste schakel in de keten van een toeleverancier verzandt. Het is nadrukkelijk geen onwil van de leverancier-van-een-leverancier, maar het ontbreekt ze aan middelen en tijd te reageren op de verzoeken van auditors en risk managers.
Deze situaties zijn voor de klant en zijn leveranciers, met de achterliggende ketens, onwenselijk. Een oplossing is niet in zicht.
Voorheen was er de regel dat olifanten het met olifanten deden. De grote bedrijven klopten bewust aan bij grote leveranciers, want alleen die waren in staat aan alle eisen te voldoen. Deels klopt dat verhaal nog, maar uitgerekend bij IT hebben ook de grootste aanbieders ondertussen een heel ecosysteem (“marktplaats”) onder zich. Klinkt als een slimme zet, maar het zorgt ervoor dat auditors een complexere keten voor zich zien van bedrijven die niet bekend zijn vragenlijsten, onderzoeken en dergelijke.
