På grund av orsaker (ganska omfattande sådana) har källkritik efter sekelskiftet blivit ett viktigt verktyg inte bara för historiker och journalister. Den digitala världen är översållad med avsiktligt och/eller oavsiktligt felaktiga uppgifter och en sentida amerikansk president visade att även uppenbara lögner kan fungera rätt framförda. Den politiska desinformationen läggs ovanpå det välbekanta lagret av ekonomisk desinformation a.k.a. marknadsföring och behovet att källkritik finns i varje steg av våra vardags- och arbetsliv.
Mitt yrke idag är att vara konsult. Ordet "konsult" är en avledning från latinets consulere som betyder rådgöra och det är nog så jag uppfattar min roll: att utifrån min specialistkompetens: att ge kunden mer eller mindre handfasta råd som ska gynna deras verksamhet på bästa möjliga sätt. Det ligger en etisk dimension i detta. Kunden ska, menar jag, kunna lita på att de råd som ges är utan dolda motiv och utan jäv. Med en uttjatad fras skulle jag vilja hävda att konsulten arbetar i en förtroendebransch där det med tanke på det enorma säljtrycket är ännu viktigare att hålla sig någorlunda "ren".
Samtidigt arbetar jag liksom andra konsulter i affärsdrivande företag där den ekonomiska vinsten är förutsättningen för verksamheten. Att intressekonflikter kan uppstå mellan kundens egentliga intresse och konsultföretagets är inte särskilt märkligt. Att tämligen harmlösa försök till merförsäljning ingår i spelets regler är nog de allra flesta medvetna om. Om råden som ges är påverkade av andra motiv, mer eller mindre osynliga för kunden, är en annan och större fråga som alltför sällan diskuteras.
I det följande kommer jag att rikta in mig på konsulttjänster inom informationssäkerhet och de svårigheter som kan finnas att lämna ojäviga råd när det gäller just det området. Ett grundläggande problem är att informationssäkerhetskonsulter idag alltför ofta hanteras som någon slags it-konsulter istället för stöd för organisatorisk förändring. Många företag har idag ett kombinerat utbud av produkter/tjänster som olika typer av it-lösningar eller säkerhetsteknik och informationssäkerhet. Efter att ha suttit i ledningen på den typen av företag vet jag att vinstmarginalen i de flesta fall är lägre (av naturliga skäl) på konsulttjänster än på produkter/it-tjänster. Ett sådant företag har alltså ett starkt incitament att prioritera dessa produkter och tjänster framför att sälja konsulttjänster - något annat vore företagsekonomiskt inkompetent. Däremot kan konsulttjänster vara ett bra komplement och även fylla olika marknadsföringssyften.
Det är inte bara de rena konsulttjänsterna som kan bli svåra att genomföra på ett oberoende sätt. Många företag har olika typer av mer subtila marknadsföringsmetoder som att hålla konferenser, genomföra utbildningar, podda/blogga, dela ut priser och i vissa fall ta fram material som till synes ska guida inte bara kunder utan även den bredare massan. Dessa aktiviteter har knappast ett alturistiskt syfte utan är avsedda att strategiskt gynna företagets affär. Dessa aktiviteters bias tycks undgå förvånandsvärt många trots att det vid en närmare granskning lätt går att inse inriktningen och att det är svårt att föreställa sig motsatsen.
Låt oss till exempel, helt hypotetiskt naturligtvis, tänka oss ett stort it-bolag som är partner med stora amerikanska molntjänstleverantörer. Bolaget erbjuder också ett antal konsultområden där man uppger att man är specialiserad på molntjänster från ovan nämnda molntjänstleverantörer. Under 2021 har det blivit alltmer tydligt att amerikanska molntjänster är näst intill omöjliga att använda för den stora bulken information i svensk förvaltning med hänsyn tagen till dataskydd och OSL. Inte helt oväntat drar det igång en intensiv lobbyverksamhet från de stora bolagen och dess svenska minioner för förskjuta bilden av vad som är möjligt. En aktör som ser sitt ansvar är det svenska it-bolaget som känner sig manat att ge ut en vägledning angående användningen av molntjänster. Förment objektivt går man igenom förutsättningarna och kommer fram till att det är varje organisations sak att utifrån sina förutsättningar göra bedömningen av huruvida molntjänster är möjliga eller inte. Detta ger en inbjudande dörröppning för alla de kommuner m.fl. som är hårt och kärleksfullt kedjade till sina molntjänster: det går att leva vidare som vanligt och t.o.m. gå djupare in i relationen. Och ärligt talat vore det inte helt orimligt att ett företag skulle ge råd om att deras egna tjänster är olämpliga att använda? Den typen av objektivitet kan vi svårligen avkräva ett kommersiellt bolag.
Jag tog upp exemplet bara för att illustrera hur ett aktiebolag inte bara bör utan t.o.m. skall ha en intern logik där de mest lönsamma affärerna prioriteras (här finns ju en massa saker man skulle kunna lägga till om strategi och långsiktighet men jag har här simplifierat frågan avsiktligt). För konsulter som är måna om att ge sina kunder så goda råd som möjligt kan detta vara ett svårlöst dilemma, inte minst om man jobbar med informationssäkerhet. Eftersom det inte finns något etiskt råd för informationssäkerhetskonsulter att vända sig till i denna typ av spörsmål ställde jag ett par frågor på Linkedin och Twitter:
1) Kan ett konsultföretag inom informationssäkerhetsområdet samtidigt vara leverantör av produkter/tjänster inom området? Kan detta påverka hur du uppfattar ojävigheten i rådgivningen som konsulterna ger?
2) Kan man delta i olika typer av företagsevent (konferenser, mässmonter, säljmöten) och samtidigt uppfattas som "oberoende"? Var går gränsen?
Frågorna var riktade till yrkesverksamma konsulter och jag fick glädjande nog ett antal svar där många ansträngt sig för att verkligen presentera sin syn på saken. Tack till alla er som svarade!
På första frågan finns tre huvudsakliga hållningar i svaren:
- Nej, det går inte att vara lojal mot kundens behov i en sådan situation.
- Det är svårt men kan ofta vara nödvändigt eftersom leverantören av exempelvis it-tjänster även förväntas leverera konsulttjänster. Det kräver en stor transparens hos leverantören för att kunden ska få en rättvis bild av sammanhanget. Vissa pekar på att den enskilda konsulten måste ha en stark egen integritet som guideline i arbetet.
- Ja, vad är problemet? Alla konsulter är jäviga i ena eller andra riktningen och det är alla medvetna om. Osäkra kunder får inhämta second opinions hos andra konsulter.
Själv är jag inte alls övertygad om att alla känner till alla beroenden och att en ökad transparens om detta vore mycket välgörande så att kunden själv kan avgöra vad man är beredd att köpa. Ännu mindre övertygad är jag om att en enskild konsults integritet är stark nog att gå emot företagets affärslogik. Den konsult som pratar ner det egna företagets produkter får sannolikt svårigheter i en eller annan form. Detta trots att jag träffat många konsulter med väl utvecklad integritet och etik. Om företaget inte lever upp till säljmålen kan pressen både formellt och informellt bli hård. Sitsen kan bli extra svår för konsulten eftersom kunder ofta vill ha en bekväm lösning där samma företag kan leverera olika typer av lösningar och de konsulter som offereras då är väl insatta i övriga lösningar. Ett förrädiskt helhetspaket är det lätt att tycka som utomstående men jag förstår lockelsen.
Fråga 2 visade sig svårare att besvara och i princip alla svar innehöll någon fras av typen "det beror på". Gränsen mellan att delta som en fristående aktör och att finna sig vara en del i konferensarrangörens marknadsföring är inte enkel att definiera. Självklart är mötesplatser för att utbyta kunskap och åsikter välkomna men i vissa sammanhang riskerar men att fungera som draghjälp för en produkt eller tjänst även om man vinnlägger sig om en kritisk hållning. Detta sker inte minst genom att arrangören framstår som mer trovärdig om man släpper fram någon enstaka kritisk röst. I värsta fall är det så att konsulten med det högburna och kritiska huvudet tappar litet av sin trovärdighet medan arrangören vinner litet i samma valuta. Personligen, överkritisk som jag är, tycker jag nästan alltid att den som deltar i alltför kompisaktiga sammanhang med företagsrepresentanter med uppenbart säljuppdrag förlorar litet i respekt.
Själv saknar jag idag beroenden vilket är skönt men jag har alla förståelse för de konsulter som balanserar mellan integritet och försäljning. Sammantaget skulle jag dock vilja se en mer utvecklad förmåga till källkritik vid offentliga upphandlingar av konsulttjänster. Kanske gemensamma riktlinjer hur man ska förhålla sig i konsultupphandlingar för att undvika att få allt för jäviga konsulter? Kan det t.o.m. vara är det möjligt att ställa krav på oberoende i offentliga upphandlingar eller åtminstone krav på att leverantörer av konsulttjänster ska redovisa beroenden? Och är det möjligen dags att diskutera någon slags code of conduct för konsulter?
Med risk för att jag nu gjort mig osams med alla kollegor i branschen vill jag ändå önska alla ett gott 2022 med hopp om att pandemin viker undan!