Waarom bestaan auditors en compliance officers eigenlijk?
- Om te zorgen dat andere mensen niet aan hun werk toekomen.
- Om verandering nog stroperiger te maken.
- Om schuldigen aan te wijzen.
- Om ellende te voorkomen door risico’s adequaat te beheersen.
Met je onderbuikgevoel roep je al snel A, B én C! Het correcte antwoord zou D moeten zijn. Waarom worden audit en compliance in de snelle wereld van IT als een sta-in-de-weg gezien? Zeker in de wereld van DevOps hebben ze een broertje dood aan ‘mensen die niet het charisma hadden om begrafenisondernemer te worden’. Het probleem is alleen dat afgeven op audit en compliance contraproductief is.
De wendbaarheid van IT binnen grote ondernemingen was ‘zo traag als dikke stront door een trechter’. Met cloud, api’s en containers is een nieuw tijdperk ingeluid waar snelheid en flexibiliteit het nieuwe normaal worden. Met deze nieuwe bouwstenen is het ontwikkelen en in gebruik nemen van nieuwe software radicaal aan het veranderen. Zelforganisatie in teams is een hoeksteen van de agile-wijze-van-werken. Alleen is in deze verandering één groep niet goed meegenomen: de auditors en compliance officers.
Vooral auditors ergeren zich vaak groen en geel aan DevOps. Weliswaar is alles retesnel, maar nemen nieuwe risico’s exponentieel toe. Op de DevOps Enterprise Summit in Londen, afgelopen juni, overhandigden enkele experts een olijftak aan de auditors, in de vorm van een heuse liefdesbrief. Deze brief ging gepaard met de publicatie van de DevOps Risk Control Matrix (zie QR-code). Doel: laten zien dat DevOps zich eigenaar voelt van risicomitigatie.
Beheersing van de ‘blast radius’ bij falen, het voorkomen van ‘dark launches’, het plannen van ‘evil user stories’ en gebruik van ‘chaos testing’, zijn straks de normaalste zaak van de wereld van ‘agility first’. Het bashen van auditors was een tijdje leuk als een soort van occupy-beweging, maar nu agile volwassen wordt, zijn audit en compliance niet langer de vijand.
De boodschap achter de liefdesbrief van DevOps luidt: “Wij zijn met elkaar verbonden in het ontwikkelen en beheren van betrouwbare, veilige en hoogwaardige IT: inclusief beveiliging, audit en compliance.” Juist door de automatisering van (papieren) controls worden audit-processen agile. ‘Audit evidence’, zoals source code control, logfiles en check-ins, wordt automatisch gegenereerd. Daarmee kunnen auditors ‘groene vlaggen’ uitreiken en hoeven ze zich niet alleen maar bezig te houden met het signaleren van onvolkomenheden.
Het wachten is nu op een liefdesbrief van de auditors aan DevOps!