- Det er kundens ansvar å følge med

I forholdet mellom leverandør og kunde, er det kunden som er nærmest til å følge med på de rammebetingelsene som gjelder for vedkommende virksomhet. Ikke omvendt.

I kapitlet "Strategiske utfordringer" i rapporten "It i praksis 2010" - utarbeidet av Rambøll Management Consulting i samarbeid med Den Norske Dataforening - nevnes på side 11 at det i bransjer som er sterkt regulert, for eksempel finans- eller helsesektoren, ofte er prosjekter som primært er drevet av nye lovkrav og standarder. Da kan gjennomføringen ofte bli preget av at man halser etter for å nå tidsfristene for implementering, uten å løfte blikket og se på hva som kan oppnås av innovasjon og endringer i samme åndedrag.

Som det fremgår av "It i praksis" kan virksomheter innen slike bransjer velge å etablere en egen prosjektkategori (for sine it-prosjekter) kalt compliance. Videre fremgår at man:

"Alternativt kan velge en svært proaktiv tilnærming og alltid gå etter andre verdier samtidig som man løpende implementerer ny lovgivning i løsningene. På den måten kan virksomheten eksempelvis videreutvikle kjerneprosessene samtidig som man støtter nye krav til compliance. Grunnet korte tidsfrister implementerer mange de nye lovkravene direkte. Dette kan i en del sammenhenger være for defensivt. Virksomheten bør i stedet mer kreativt se på muligheter for samtidig å videreutvikle egen arkitektur."

Defensiv

Det kan ikke understrekes sterkt nok at dette er en svært defensiv måte å forholde seg til nye lovkrav på. Jeg må dessverre bekrefte at min erfaring med mange offentlige anskaffelser knyttet til endringer i rammebetingelser er preget av en slik til dels passiv og defensiv holdning.

I flere anbudsinnbydelser for it-utviklingsprosjekter i offentlig sektor ser man at det fremsettes krav om at leverandøren skal sørge for at leverte løsninger til enhver til skal oppfylle krav til compliance med det til enhver tid gjeldende regelverk innen det virksomhetsområde systemene leveres for. Samtidig pålegges potensiell leverandør aktiv plikt til selv å følge med på eventuelle endringer i regelverk og rammebetingelser som gjelder for den aktuelle oppgaveløsningen.

Dette er etter min oppfatning for passivt fra vedkommende offentlige innkjøper. Enhver aktør som plikter å forholde seg til et sett med rammebetingelser, har selv et overordnet ansvar for å følge med på og overholde de rammebetingelsene som til enhver tid gjelder.

I forholdet mellom leverandør og kunde, er det kunden som er nærmest til å følge med på de rammebetingelsene som gjelder for vedkommende virksomhet, og å meddele eventuelt endrede krav til sin leverandør når endringene får konsekvenser for det som skal leveres.

Bestilleransvar

Så budskapet ut fra "It i praksis" må i denne sammenheng være:

Velg en proaktiv tilnærming og gå alltid etter andre verdier samtidig som ny lovgivning implementeres i løsningene. Kombiner videreutvikling av kjerneprosessene samtidig som nye krav til compliance støttes gjennom de prosessene som utvikles.

Leverandører kan og bør ikke overlates ansvaret for overvåking av regelverksendringer. Dette er et bestilleransvar, og vedkommende offentlige virksomhet må kunne hvilke rammebetingelser som gjelder, og stille relevante krav til sin leverandør ut fra dette.