Verander complexiteit: Inkoop expertise

Vandaag gaan we in op de complexiteitsfactor: Inkoop expertise

De inkoopafdeling begeleidt je bij het inkoopproces. Zij weten met welke aspecten rekening moet worden gehouden maar hebben, uiteraard, geen zicht op de middelen die jij moet inkopen. Als project manager of project organisatie zul je de specificaties op moeten stellen.

Welk ondersteunend personeel heb je van buiten nodig? Welke expertise moet die bezitten? Wanneer moeten ze beginnen en voor hoeveel uur?

Koop je goederen in voor de verandering dan zul je ook daarvoor de specificaties uit moeten werken zodat de leverancier je de juiste spullen kan leveren. Voer je een nieuwe applicatie in? Dan zul je goed moeten kijken op welk platform dat systeem straks bijvoorbeeld moet draaien.

Natuurlijk hoef je het niet allemaal zelf te weten maar minimaal moet je de functionele kant van de zaak goed kunnen beschrijven. Besteed je de zaken uit dan moet je zelf nog steeds de regie in handen houden. Jij bent er uiteindelijk verantwoordelijk voor.

Dit wil overigens niet per definitie zeggen dat je dikke pakken papier als onderliggende contracten moet hebben. Het gaat er nu juist om de goede dingen af te spreken en die op papier te zetten. Want bij een geschil zul je net zien dat dat niet is afgedekt in dat overdreven dikke contract.

Beveiligingseisen in contracten

De keten is zo zwak als de zwakste schakel, een mooi gezegde en misschien een dooddoener, maar toch waarheid als een koe als je het mij vraagt. Ok, vaak horen we dat de zwakste schakel in het geheel van informatiebeveiliging het personeel is. Misschien waar, misschien niet. We moeten er zeker alles aan doen om de medewerkers mee te krijgen in onze beveiligingsaanpak, want een belangrijke rol spelen ze zeker.

Vandaag gaan we niet in op de medewerkers maar juist op de keten. Als organisatie staan we niet los van de wereld maar we maken onderdeel uit van een bedrijfskolom. Toeleveranciers en afnemers en ergens in het midden staan wij (of aan het begin of eind natuurlijk). Als de keten zo zwak is als de zwakste schakel moeten we dus ook goed kijken naar hoe onze leveranciers en afnemers hun beveiliging hebben ingericht. Wij willen zelf niet de zwakste schakel zijn, maar willen ook zeker niet dat de anderen er een potje van maken. Juist daarom de volgende vraag:

Wordt in contracten met derden ingegaan op de beveiligingseisen die over en weer gesteld mogen worden?

Zo, dat is nogal een vraag en gelukkig hebben we allerlei Service Level Agreements afgesloten. Juist, hartstikke goed zeker een eerste stap. Maar hebben we in die SLA ook afgesproken hoe we omgaan met de beveiliging? Hoe we de beschikbaarheid, integriteit en exclusiviteit geborgd hebben? Dat we audits uit mogen voeren bij onze leveranciers (en doen we dat dan ook)? Weet je dat zeker? Misschien zijn we op een mooi punt aangeland om nog eens kritisch naar onze SLA’s te kijken.

Een beveiligingsparagraaf nemen we voortaan op in onze SLA’s. Hoe die er exact uit moet zien hangt heel erg van de diensten af die we afnemen. Maar als we eisen gaan stellen aan onze leveranciers en onze afnemers dan mogen we zelf niet de zwakste schakel zijn, zelf blijven we dus ook kritisch op onze aanpak.

Ok, de bezwaren zijn me bekend. Die leverancier moet dat maar lekker zelf regelen en als het misgaat dan kan hij een claim verwachten. Op zich prima, maar misschien wat kortzichtig. De claim is altijd gemaximaliseerd en inzicht ontbreekt vaak in hoe goed of slecht de leverancier het voor elkaar heeft.

Maar stel nou dat je een autofabrikant bent…laten we Toyota als voorbeeld nemen. Jij krijgt je remmen aangeleverd door een leverancier. Schroeft ze op de auto en hop, naar het dealerkanaal. Na verloop van tijd kom je er achter dat de remmen toch niet helemaal functioneren zoals je wilt en je roept voor de zekerheid alle auto’s van een bepaald type terug voor herstelwerkzaamheden. Gelukkig kun je een claim neerleggen bij de remmen leverancier die de kosten dan maar moet vergoeden. Nog los van het feit of je remmen leverancier over de middelen beschikt om al die kosten voor zijn rekening te nemen (bij faillissement geldt: van een kale kip valt niet te plukken…en je bent een leverancier kwijt), maar denk je nu echt dat al die Toyota rijders zich bedenken dat het de schuld is van de leverancier? Nee, Toyota loopt in dit voorbeeld imagoschade op…en die is vele malen hoger dan de claim die neergelegd kan worden bij de leverancier.

Kortom: we zorgen er eerst zelf voor dat we de informatiebeveiliging goed op orde hebben maar direct daarna gaan we ook in op de beveiliging bij onze leveranciers en afnemers. Zo versterken we de gehele keten en zorgen we voor echte continuïteit. We willen juist de claims voorkomen en willen onze leveranciers en afnemers graag helpen. Doen we het op deze wijze dan wordt de band tussen onze organisatie en alle andere partijen alleen maar versterkt.