‘IT’ers dienen zich bewust te zijn van hun compliancerol’
Rudolf Liefers - principal consultant, Atos Consulting

Hoe ontwerpt u een ICT compliance framework? Wat zijn de juiste processen voor het inbouwen van specifieke controls? Hoe maakt u efficiënt gebruik van overeenkomsten tussen wet- en regelgeving en voorkomt u dubbel werk? De antwoorden op deze vragen krijgt u tijdens de tweedaagse cursus ICT Compliance van IIR. Maar de training behandelt ook de praktijk waarin u het framework van uw eigen organisatie ontwikkelt en deze kan toepassen en integreren. Over het belang van een goed compliance framework spraken we met Rudolf Liefers, principal consultant bij Atos Consulting, medeschrijver van het boek COMPRIS (over praktische handvatten voor organisaties om Compliant IT Services te leveren) en één van de trainers van de cursus ICT Compliance.

‘Wet- en regelgeving hangt vaker samen met IT dan men beseft', vertelt Rudolf. ‘Neem bijvoorbeeld de milieuwetgeving, een onderwerp die niet vaak gelinkt wordt aan IT. Maar als je weet dat een computercentrum een enorme warmtestraling heeft, dan weet je ook dat milieuregels voor IT gelden. Maar ook de Arbo regelgeving kent een hele sterke IT-component, denk maar aan de werkplekken voor IT-medewerkers.'

Een control framework is een dynamisch geheel
‘Het is daarom belangrijk dat IT-managers, -medewerkers en -specialisten zich bewust zijn van hun compliancerol en meedenken over de invulling van het control framework. Een control framework is namelijk een dynamisch geheel', legt Rudolf uit. ‘Het moet voortdurend aangepast worden aan gewijzigde, vervallen en nieuwe wet- en regelgeving. Maar bij veel bedrijven ontbeert daarvoor de kennis. Het gevolg is dat ICT-compliance frameworks, omdat men zeker van zijn zaak wil zijn, veel groter en duurder zijn dan nodig. Er worden namelijk regels toegevoegd die niet noodzakelijk zijn voor de organisatie of regels en wetten worden dubbel geïmplementeerd, doordat er geen samenwerking is vanuit verschillende specialismen. Ook bij de implementatie van een nieuw control framework gebeurt dit. Een voorbeeld is een bank, waarbij als gevolg van nieuwe regelgeving in eerste instantie nagenoeg de gehele IT-omgeving op compliance werd gescreend. Maar de bank hoefde eigenlijk maar voor een gedeelte van het IT-landschap de nieuwe wetten en regels te implementeren, waardoor ze met een scope-beperking van bijna 75% al had voldaan aan de compliance-eisen. Dat is een factor van drie à vier keer meer werk en kosten dan strikt noodzakelijk.'

Compliance en de impact op IT
De oorzaak van deze situatie is volgens Rudolf dat iedere specialist die betrokken is bij een control framework zich richt op zijn eigen vakgebied. ‘Daarbij houden compliance officers niet altijd genoeg rekening met de impact van wet- en regelgeving op IT-systemen. Bij financiële bedrijven bijvoorbeeld zijn er polissen die tot de dood van de polishouder, en soms nog daarna, opvraagbaar moeten blijven. In dat geval moet je werken met een informatiesysteem dat veertig à vijftig jaar beheerd moet kunnen worden of dat makkelijk geconverteerd kan worden naar een ander systeem. Maak je de verkeerde keuzes dan moet een bedrijf vaak noodgedwongen blijven werken met verouderde informatiesystemen.

Om kosten te besparen en efficiënter te werken zouden IT-compliance en business compliance meer moeten samenwerken. Nu wordt compliance vanuit verschillende invalshoeken aangepakt door specialisten die volledig langs elkaar heen werken. Een ontwikkeling die ook een paar jaar terug bij de banken plaatsvond bij de implementatie van Basel II en SOXA. Iedere manager hanteerde daarbij zijn eigen doelstellingen en er was geen goede communicatie tussen de betrokkenen.'

Het is goed om even naar buiten te kijken
‘Juristen, auditors en IT-specialisten moeten daarom meer met elkaar overleggen bij het ontwikkelen en onderhouden van een control framework', vindt Rudolf. ‘Ze zouden af en toe een pas op de plaats moeten maken. Zich afvragen wat ze aan het doen zijn en wat de mogelijke raakvlakken in de programma's zijn. Ook is het goed om even naar buiten te kijken en leermomenten met elkaar te delen. Een grote rol hiervoor ligt bij de vakverenigingen, waar veel wordt georganiseerd, maar die door vakprofessionals veel te weinig worden benut.'

Voldoen aan alle compliance-eisen die voor uw organisatie van belang zijn en kosten besparen?
>> Ga naar meer info over de cursus ICT Compliance van IIR

Bekijk hier het Linkedin profiel van Rudolf Liefers

Geplaatst op 23-10-2009
Volg ons op Twitter