&
FINANCE
CONTROL
Corporate governance
INZET VAN ICT BIJ COMPLIANCE AAN REGELGEVING Wat betekent compliance aan regelgeving voor de inzet van ICT? De conclusie is dat compliance kan leiden tot duidelijke rollen in een organisatie, heldere sturing op de implementatie van regels en vaak tot nieuwe ICT-infrastructuur en -applicaties. Rond 20 grote organisaties werden geïnterviewd in vijf sectoren. In de financiële sector was compliance apart organisatorisch vormgegeven. In andere sectoren trof men aandacht voor compliance aan bij ICT-security of -risicomanagement. DOOR THEO THIADENS
G
overnance of sturing binnen een organisatie zorgt ervoor dat beleid vertaald wordt naar uitvoering (Soul, 2009). Dat gebeurt binnen de geldende wetten en regels. ICT-governance betekent dat de inzet van ICT spoort met het beleid en dat de organisatie erop stuurt om uit de inzet van IT waarde te halen tegen een aanvaardbaar risico, waarbij ze binnen de wet blijft (Soul, 2009). Anno 2012 betekent dit dat vaak eisen worden gesteld waaraan alleen te voldoen is door organisatorische maatregelen te treffen én met inzet van ICT. Een voorbeeld hiervan is de SarbanesOxley (SOx-)wetgeving, waaraan organisaties die zijn genoteerd aan de New York Stock Exchange (NYSE) moeten voldoen. Deze wetgeving eist dat organisaties zo zijn ingericht dat de financiële informatie is beschermd tegen computermisdaden en fouten van medewerkers. Implementatie ervan betekent het duidelijk beschrijven van de rollen van medewerkers, functiescheiding, rapportages, toegangscontrole en het zorgen voor waarschuwingen, waarbij de juiste personen over een moge-
Bij dit artikel hoort de online cursus ‘Compliance’ Met deze cursus kunt u punten behalen in het kader van uw permanente educatie (PE). Ter kennismaking kunt u de cursus ‘Best in finance’ gratis volgen en uw eerste studiepunten behalen. Kijk voor meer informatie en een overzicht van alle cursussen op www.finance-control.nl.
26
|
lijke inbreuk worden geïnformeerd (Spears, 2010). Zoals een van de geïnterviewde organisaties opmerkte: ‘SOx eist dat men weet hoe het beleid wordt uitgevoerd.’ Werken binnen geldende wet- en regelgeving vereist zo een set basismaatregelen. Een additionele regeling kan voor extra te nemen maatregelen zorgen, zoals de ABN-AMRO en NXP in hun interview aangeven. Nakomen van het geheel aan wetgeving en regels wordt ook compliance genoemd. Compliance wordt gedefinieerd als het naleven van wet- en regelgeving, vrijwillige standaarden én het werken volgens de normen en regels van de organisatie. ICT-compliance is een onderdeel hiervan (Liefers c.s., 2008). ICT-compliance gaat in op de maatregelen die genomen moeten worden voor sturing, organisatie en inzet van ICT, om tot volledige compliance te komen. Liefers c.s. definieerden een methodische aanpak om handvaten te bieden om om te gaan met ICTcompliance. Zij noemen deze methode ‘Compris’, wat staat voor compliance regarding IT services. In figuur 1 is deze methode weergegeven. Het model geeft globaal de onderwerpen weer die in dit artikel deels en in de bijbehorende cursus in zijn geheel aan de orde komen. In de cursus staat centraal hoe grote organisaties met meer dan duizend medewerkers omgaan met het onderwerp compliance in relatie tot de inzet van ICT. Eenentwintig grote organisaties in zes verschillende sectoren werden hiervoor onderzocht. Hierbij stonden de volgende negen vragen centraal: a. Aan welke wetten, regels, standaarden en normen moet de organisatie compliant zijn?
JUNI 2012
b. Hoe is de organisatie georganiseerd om deze compliancy te realiseren? c. Wat betekent compliant zijn voor de informatievoorziening en de ICT? d. Maakt de organisatie op het terrein compliance en ICT gebruik van een methode? e. Welke producten levert de organisatie op op het terrein van compliance en ICT? f. Is de organisatie met een inhaalslag bezig op het terrein van compliance en wat houdt deze in? g. Wat zijn de voordelen van het werken aan compliance en ICT? h. Gebruik de organisatie tools om compliant te zijn en te blijven? i. Hoe gaat de organisatie om met toekomstige wetgeving?
onderscheiden sector innamen of dat de onderzoekers slechts één organisatie in die sector interviewden (KPMG). In de cursus komen in de theorie wel punten van aandacht voor, waarbij voorbeelden uit deze organisaties zijn gebruikt.
In dit artikel wordt ingegaan op de eerste drie vragen; in de cursus komen alle negen vragen aan bod. Bij het beantwoorden van de vragen wordt een onderscheid gemaakt naar vijf sectoren: overheid, semioverheid, hoger onderwijs, de financiële sector en de industriesector. De tabellen betreffen achttien organisaties. Dit zijn vier organisaties in de publieke sector, vijf in de semioverheid, drie hogescholen, drie organisaties in de financiële sector en drie productiebedrijven. Naast deze organisaties werden ook de Bijenkorf, Microsoft en KPMG geïnterviewd. De gegevens van deze organisaties zijn niet in de tabellen opgenomen. Redenen hiervoor zijn of dat deze organisaties een aparte plaats in de
zijn. Na bestudering van deze figuur is duidelijk dat er voor alle organisaties een basiskader van wetgeving is waaraan zij compliant moeten zijn. Hieronder vallen het Burgerlijk Wetboek, de belastingwetgeving en de Wet op de bescherming van de persoonlijke levenssfeer. Voor aan de NYSE genoteerde private bedrijven valt hier ook wetgeving als SOx onder. Daarnaast zijn voor vele organisaties extra regels van toepassing. Deze regels kunnen van toepassing zijn op organisaties werkend in een bepaalde sector, organisaties van een bepaald type als een ziekenhuis en voor de organisatie specifiek, zoals de Kadasterwet. Ook kan de organisatie besloten hebben om aan een aantal standaarden en normen te voldoen. Vaak maakt het voldoen aan één regel, het voldoen aan andere gemakkelijker. Zo merkt het ministerie van Economie, Landbouw en Innovatie (ELI) op dat de invoering van maatregelen als gevolg van het besluit om compliant te willen zijn aan de standaard ISO27001, het de organisatie gemakkelijker maakt om compliant te zijn aan de algemene en sectorwetgeving. Kijken we naar sectorwetgeving, dan zien we dat voor de diverse in dit artikel onderscheiden sectoren vaak eigen regels gelden. Binnen de overheid zijn dit bijvoorbeeld de wetgeving ter bescherming van staatsgeheimen, de Wet Openbaar Bestuur en het Besluit Informatiebeveiliging Rijksdienst. Bij bedrijven op het terrein van de railinfrastructuur is dit de spoorwegwetgeving; bij nutsbedrijven de Gaswet en de Elektriciteitswet. Daarnaast kennen alle organisaties eigen interne regels. Om aan de regelgeving te voldoen maken zij vaak gebruik van standaarden. Hieronder vallen auditstandaarden als SAS70/ ISAC3402, beveiligingsnormen als ISO27001 en IT-standaarden als Prince2, ITIL en BiSL. Het streven van de onderzochte
Strategisch beheersen van de regelgeving
Wet– en regelgeving, standaarden en normen
Bepalen compliance impact
Sturing en organisatie informatievoorziening en ICT
Opstellen compliancerapportage
Besturen complianceproces
Realiseren complianceprogramma
Compliancerapportage
Beoordelen compliancerapportage
IT-processen en -objecten
Figuur 1 Compliance regarding IT services (Compris) volgens Liefers c.s. (2008)
JUNI 2012
Compliant aan wetten, regels, standaarden en normen Figuur 2 geeft globaal per organisatie weer aan welke wetten, regels, normen en standaarden organisaties compliant moeten
‘SOx eist dat men weet hoe het beleid wordt uitgevoerd’
|
27
W W W. F I N A N C E - C O N T R O L . N L
&
FINANCE
CONTROL
Compliance: waaraan?
Overheid Semi-overheid (ministerie ELI, Poli(luchthaven, Woningtie, CJIB, Kadaster) (4) corporatie Ymere, Ziekenhuis Amphia, Railinfrastructuurbedrijf Essent) (5)
Hogescholen (Fontys, InHolland, Hogeschool Arnhem en Nijmegen) (3)
Financiële sector (ABN-Amro, DeltaLloyd, Achmea) (3)
Industriesector (ASML, DAF, NXP) (3)
Algemene wetgeving o.a.
- Burgerlijk Wetboek - Wet Computercriminaliteit - Wet Bescherming Persoonsgegevens - Belastingwetgeving
- Burgerlijk Wetboek - Wet Computercriminaliteit - Wet Bescherming Persoonsgegevens - Belastingwetgeving
- Burgerlijk Wetboek - Wet Computercriminaliteit - Wet Bescherming Persoonsgegevens - Belastingwetgeving
- Burgerlijk Wetboek - Wet Computercriminaliteit - Wet Bescherming Persoonsgegevens. - Belastingwetgeving
- Burgerlijk Wetboek - Wet Computercriminaliteit - Wet Bescherming Persoonsgegevens - Belastingwetgeving
Sectorwetgeving o.a.
- Archiefwet - Wet Bescherming Staatsgeheimen - Wet Openbaarheid van bestuur
- Archiefwet
- Archiefwet - Wet Hoger Onderwijs (WHW) - Accreditatiewetgeving - Arbeidswetgeving - Wetgeving op financieel terrein
- Wet Melding Ongebruikelijke Transacties (MOT) - Basel II voor beheersing risico - Archiefwet - Wet ter voorkoming witwassen en financieren terrorisme
- REACH
Plus soms specifieke zoals: - Kaderwet ZBO - Kadasterwet
Plus specifieke: - WSW financiering woningcorporaties - Veiligheidswet- en regelgeving - Gaswet - Elektriciteitswet - Wet onafhankelijk netbeheer
Specifieke Eigen interne proceregels voor de dures organisatie - ISO9001 o.a. - ITIL - Prince-2
Eigen interne procedures
Eigen interne procedures
Eigen interne proceduEigen interne proceres en technische bevei- dures ligingsstandaards - ICT policy - Eigen kwaliteitsmodel
Standaarden en normen o.a.
ITIL Cobit ISO9001
ITIL/ISO20000 BISL ISO27001
IFRS Code Tabaksblat SAS70/ISAE3402
SAS70/ISAE3402 ISO TS 16949 ITIL/ISO20000
Streven is om 100% compliant te zijn
Streven is om 100% compliant te zijn
Streven is om 100% compliant te zijn
Streven is om 100% compliant te zijn. Wel is er t.a.v. security ruimte in wijze van realisatie
ISO27001 25% SAS70/ISAC3402
Doel
Figuur 2 Compliant waaraan?
organisaties is over het algemeen om 100 procent compliant te zijn. DAF merkt op dat de regelgeving hierbij ruimte laat tot keuze in de maatregelen nodig om compliant te zijn en geeft als voorbeeld daarvoor de maatregelen op het terrein van security. De Bijenkorf stelt expliciet dat 100 procent compliance wat haar betreft niet altijd gewenst is uit organisatorisch oogpunt en uit kostenoverwegingen.
primaire proces: het aantrekken van geld. De organisatorische inbedding van compliance krijgt vaak minder aandacht in organisaties in de andere sectoren die onderzocht zijn. In veel van de organisaties in deze sectoren is het aandacht geven aan compliance organisatorisch primair belegd bij een afdeling voor risk, security, ICT of financiën. Deze
Organisatie van compliance In figuur 3 wordt ingegaan op de wijze waarop organisaties aandacht geven aan compliance. Uit de figuur komt naar voren dat de wijze waarop zij organisatorisch vormgeven aan het onderwerp compliance sterk verschilt per onderscheiden sector. In de financiële sector is de organisatorische inbedding waarin aan dit onderwerp aandacht wordt gegeven ver ontwikkeld. Organisaties in deze sector hebben aparte afdelingen die geheel gericht zijn op het onderwerp compliance. Niet compliant zijn is in deze sector een risico, dat zich direct vertaalt in hogere tarieven in delen van het
Vaak maakt het voldoen aan
28
|
een regel, het voldoen aan een andere gemakkelijker afdelingen geven bij het kijken naar regels op dit terrein vrijwel direct aandacht aan de mogelijkheden die ICT biedt om het omgaan met compliance-eisen mogelijk te maken. De conclusie over de organisatorische inbedding van het
JUNI 2012
Compliance: organisatie
Overheid (ministerie ELI, Politie, CJIB, Kadaster) (4)
Semi-overheid (luchthaven, Woningcorporatie Ymere, Ziekenhuis Amphia, Rail-infrastructuurbedrijf Essent) (5)
Hogescholen (Fontys, InHolland, Hogeschool Arnhem en Nijmegen) (3)
Financiële sector (ABN-Amro, Delta Lloyd, Achmea) (3)
Industriesector (ASML, DAF, NXP) (3)
Beleid op het terrein van compliancy
25% voert beleid en screent systematisch wetten
60% kent beleid, bijv. compliancemanagement en integriteitbeleid
Neen
Ja, centrale regels én control framework
33% ja vanuit CFO, rest beleid per domein of per wet (SOx)
Aanwezige verklaringen?
Accountantsverklaring Auditrapportages
Naast financiële, vele: veiligheidsvergunning, vergunning levering elektriciteit enz.
Accountantsverklaring Auditrapportages
67% SOx en Wft, naast financiële verklaring als jaarverslagen en audits
Naast financiële ook ISO-certificaten en SOx-verklaringen
Complianceprogramma
25% heeft borging, toetsing, naleving en verantwoording middels een jaarlijks rapport
60% kent compliancepro- 33% heeft een actiegramma. Hierin aan welke programma regels voldaan/te voldoen/hoe/wanneer
Ja
67% heeft programma, komende van Finance
Neen
Neen
Neen
Neen
67% ja: IT-compliance board of SOx steering committee
-Compliance of- 25% heeft compliance fice? officer
60% kent compliance officer
Neen
Ja
33% heeft compliance officer
- Plaats compli- Wisselend: ance - binnen ICT - risicomanagement - directe planning - Finance & Control
Wisselend: - ICT - security officer - juristen - regularity affairs
Wisselend: - binnen organisatie (33%) - binnen ICT (67%)
67% bij risicomanagement 33% bij compliance officer
Wisselend per sector: - ICT - afdeling Risk - Security Compliance & Quality
Aantal medewerkers?
Tussen 4 en 7 fte’s
Van 2 fte’s tot alle afdelingen betrokken
Van ad-hoc acties tot allen betrokken bijv. bij borging cijfers
Van 17 fte’s tot 120 fte’s
Van 3fte’s tot vele
Bij elke maatregel direct ICT-implicaties meenemen?
In 75% van de gevallen, wisselend qua initiator
Ja
67% kijkt bij wetten naar gevolgen voor ICT
Ja, er is permanent communicatie tussen compliance, risk en ICT
Deze worden vaak impliciet meegenomen
Inrichting organisatie voor compliance: - Compliance board
Figuur 3 Organisatie op het terrein van compliancy
onderwerp compliance kan zijn, dat aandacht voor het onderwerp binnen de verschillende sectoren organisatorisch verschillend is vormgegeven. Loopt u figuur 3 verder door, dan ziet u dat niet elke organisatie expliciet beleid heeft geformuleerd waarin staat hoe ze omgaat met het onderwerp compliance. Iedere organisatie kent auditrapporten of/en jaarverslagen. Daarin komt het onderwerp compliance aan de orde. Naast auditrapporten en/of jaarverslagen kennen andere sectoren dan overheid en onderwijs op dit terrein ook andere verklaringen, zoals SOxcompliantverklaringen, veiligheidsverklaringen en vergunningen. Implicaties ICT Figuur 4 geeft weer wat de gevolgen zijn voor de organisatie en de inzet van ICT van een organisatie als gevolg van compliant zijn aan wetten, regels, normen en standaards. De voorJUNI 2012
naamste regelgeving waaraan organisaties in de sectoren semioverheid, hogescholen en financiële instellingen compliant moeten zijn, is specifiek voor de onderscheiden sector. Voor de onderzochte industriële bedrijven zijn dit vooral de algemene wetten en regels en het voldoen aan de SOx-wetgeving. Compliant zijn leidt in de onderzochte organisaties tot aanscherping van de rollen en de procedures om met gegevens om te gaan. Wetgeving als SOx leidde er bij DAF toe dat het bedrijf extra controles moest inrichten op het toestemming geven om data te mogen benaderen. Wetgeving in de ziekenhuiswereld leidde ertoe dat automatisch reproduceerbaar wordt wie tot patiëntgegevens toegang heeft gekregen. Compliant zijn aan regelgeving wordt vaak ondersteund door extra inzet van ICT. Door eisen als 7/24-toegang tot kabel- en leidingengegevens moest het Kadaster niet alleen fulltime een operationeel rekencentrum met uitwijkrekencentrum inrichten, maar ook een 7/24-bereikbare servicedesk. Uit figuur 4
|
29
W W W. F I N A N C E - C O N T R O L . N L
&
FINANCE
Compliance: impact, kosten
CONTROL
Overheid (ministerie ELI, politie, CJIB, Kadaster) (4)
Semi-overheid (luchthaven, Woningcorporatie Ymere, Ziekenhuis Amphia, Rail-infrastructuurbedrijf Essent) (5)
Hogescholen (Fontys, InHolland, Hogeschool Arnhem en Nijmegen) (3)
Financiële sector (ABN-Amro, Delta Lloyd, Achmea) (3)
Industriesector (ASML, DAF, NXP) (3)
- rollen helder
Ja
60% niet immer
Ja
Ja
Ja
- procedures helder
67% ja, bijv. service beschrijving per dienst
60% niet immer
Niet altijd
Ja
Ja
In de wetgeving staan de exacte eisen
In de wetgeving staan de exacte eisen
Staat in wetgeving, ISO27001 en regels Nederlandse bank
Wetgeving bepaalt
Vaak accent op access en bewaring, bijv.:
Accent op eisen aan bewaren, access, controleerbaarheid en continuïteit, bijv.:
Vooral aandacht Aandacht voor logging en voor bewaren, re- access en traceerbaarheid produceerbaarheid en acces:
Bewaartijd alle studentdata 6 maand, bewaartijd aangegeven data 10 jaar
Bewaartermijn kan 5, 7 of 10 jaar zijn
Soort impact 1. Organisatie
2. Impact op de ICT- In de wetgeving inzet staan de exacte eisen Bijvoorbeeld: - loggen gegevens
Vaak accent op access en bewaring, bijv.:
- back up
Bewaartijd arBewaren woningdachiefwet vs. beta 2 jaar t.o.v. fiwaartijd compta- nanciële data 5 jaar biliteitswet 7 jaar
- access
Access eis bijv. door kabels en leidingenwetgeving van 7*24 uur servicedesk
Reproduceerbaarheid leidt logging en back-up
- traceren
Bewaartijd patiëntdata 15 jaar t.o.v. financiële data 5 jaar
- bewaartijd
Access eisen, zoals data alleen in te zien bij juiste rol is automatisch gekoppeld aan functie
Logging van alles wat op netwerk gebeurt en bewaren gegevens halfjaar en rapportage-eisen
Voor infrastructuur en applicaties. Single sign on en logs zorgen voor vastlegging van wie naar data keek
Eigen compliancysystemen gebouwd (bijv. voor rendementsrapportage onderwijs), elke beweging op netwerk gelogd en identificatiemanagementsysteem gebouwd; extra opslag studentendata gedurende langere termijn
Extra kosten
Extra kosten door bijv. langere bewaartermijnen of noodzaak van twee permanente operationele rekencentra
Bijv. voor SOx-gerelateerde applicaties moet een aanvraag tot toegang eerst door de data-eigenaar worden goedgekeurd. Hierbij wordt ook gecheckt of de aanvrager niet te veel bevoegdheden krijgt
Van ‘eigenlijk niet’ vanwege het woord proportionaliteit in de regelgeving tot extra maatregelen als gevolg van duurzaamheidseisen eigen bedrijf
Van eigenlijk niet tot: - voor SOx zijn er speciale toegangsprocedures; - er zijn monitoringsystemen voor de uitvoering van compliancymaatregelen gemaakt; - we hebben onze adminstratie en risico’s in kaart gebracht
Figuur 4 Organisatorische en ICT-gevolgen van het voldoen aan wetten en regels
blijkt duidelijk dat in elke sector eisen voor compliance geleid hebben tot aanscherping van rollen en procedures en dat in elke sector inzet van extra ICT-middelen nodig was. Deze
30
|
ICT werd ingezet om de toegang tot data te bewaken, om feitelijke toegang te loggen, om gegevens te bewaren en om te kunnen rapporteren.
JUNI 2012
Hierbij zijn er verschillen. Deze betreffen onder andere de maximale bewaartijd van gegevens per sector en per soort gegevens. Een ziekenhuis bewaart patiëntgegevens vijftien jaar; het onderwijs studentgegevens tien jaar enzovoort. Conclusies Sturing en organisatie van ICT is waarde halen uit de inzet van ICT, waarbij die inzet gebeurt met zo min mogelijk risico en deze inzet een organisatie helpt om te werken binnen wettelijke kaders. In dit artikel is ingegaan op de hulp die ICT biedt bij het compliant zijn aan wetten, regels en standaarden. Uit dit artikel worden ten minste drie zaken duidelijk. Het eerste is dat compliance aan wetten en regels in veel organisaties tot de dagelijkse gang van zaken behoort. Door de misstanden bij de hogescholen, de financiële sector en de industrie komt er steeds meer aandacht voor het volgen van bestaande regels (zie het hoger onderwijs). Het tweede is dat er nog altijd nieuwe regels ontwikkeld of be-
lopen de topmanagers in deze bedrijven het risico om persoonlijk strafrechtelijk vervolgd te worden. Het streven naar compliant zijn leidde tot een aanscherping van rollen en procedures in de onderzochte organisaties. Het had ook duidelijk impact op de bewaartermijnen van gegevens, de access hiertoe, de reproduceerbaarheid ervan en de rapportage erover. Vele van de onderzochte organisaties konden nieuwe inzet van IT noemen als direct gevolg van de eis om compliant te zijn aan wetgeving. Alleen in de financiële en industriële sectoren werd nog het geluid gehoord dat eisen aan het compliant zijn eigenlijk niet tot extra inzet van ICT leidde. Literatuur ~ Kenniskring Compliance, lectoraat ICT governance, Fontys (2012) ‘Compliance aan regels en standaards: wat zijn de gevolgen voor de ICT inzet?’ Eindhoven, Fontys hogeschool, <www.ict-management.com/nl/beheer/Lectoraat%20Fontys%20compliance%20and%20ICT.htm>. ~ R. Liefers, c.s. (2008) Compris: compliance regarding IT services, Den Haag, Academic Service. ~ D. Soul, in Applegate c.s. (red.) (2009) Corporate Information Strategy and Management: Text and Cases, Irwin, New York, McGrawhill. ~ J. Spears (2010) ‘User Participation in Information Systems Security Risk Management’, MIS Quarterly, 34 (3), p. 503-522.
Sturing en organisatie van ICT is waarde halen uit de inzet van ICT staande regels veranderd worden. Handhaving van deze regels wordt mede mogelijk gemaakt door de zich steeds verder ontwikkelende mogelijkheden van de techniek. Voorbeelden hiervan zijn Basel III-, Solvency 2- en de SOx-wetgeving. Ten slotte wordt duidelijk dat de regelgeving leidt tot extra aandacht voor de organisatie van compliance en voor de ondersteuning van compliance aan wetgeving en regels door ICT. Het artikel liet verder zien dat organisaties de aandacht voor compliance aan wetten en regels op verschillende wijzen hebben georganiseerd. In de financiële sector is er duidelijk sprake van specifieke afdelingen op dit terrein en een duidelijke sturing van compliance vanuit de top van de organisatie. In andere sectoren kan dit anders liggen. Soms initieert een speciale afdeling als Regularity affairs bij Essent de acties op het terrein van compliance. Dan weer is het de afdeling Risk, Compliance, Security and Quality zoals bij NXP, de security afdeling, de financiële afdeling en dan weer de ICT-afdeling. De oorzaak van deze verschillende manieren van organiseren is vaak dat organisaties anno 2012 hun focus hebben gericht op het nakomen van bepaalde wetgeving. Een voorbeeld is bij de Bijenkorf het compliant zijn aan de PCI-regelgeving. Deze regelgeving komt van de creditcardmaatschappijen. Zonder aan deze regeling compliant te zijn kan de Bijenkorf 4 miljoen creditcardtransacties niet meer uitvoeren. Een voorbeeld hiervan is ook de SOx-wetgeving bij de onderzochte organisaties in de industriële sector. Zonder hieraan compliant te zijn JUNI 2012
Dit artikel over compliance aan wetten, regels, standaards en normen en de gevolgen voor de ICT van een organisatie is het resultaat van een onderzoek van het lectoraat ICT governance van Fontys Hogeschool. In dit onderzoek naar compliance en de gevolgen voor de inzet van ICT werd de situatie in 21 organisaties in 5 sectoren van de samenleving onderzocht. Het onderzoek werd begeleid door een kenniskring. In de kenniskring hadden zitting Jacqueline van den Broek, Yvette Friebel en Casper Schellekens (Fontys) en Eric Bigot (Simac). De interviews in het empirische deel van het onderzoek werden uitgevoerd door studenten uit de hoogste klas van het hbo. De studenten waren Tim Balmer, Wesley Bercx, Roel Bierens, Chun Teng Chiu, Tom Drissen, Ferdy de Groot, Mark van Heesch, Stefhan van Helvoirt, Benny van Heugten, André Heyms, Danny Hildebrand, Bart van Hooijdonk, Paul Ketelaars, Jeroen van de Laar, Luke Peeters, Stefan Pijls, Niels Relou, Stefhanie Silvius, Niek Smeets, Sander Snels, Steven van Stiphout, Dawid Tabak, Roy Teeuwen, Ron Triepels, Lars Uitslag, Bart van Deursen, Mitchell van de Ven en Robin Vossen.
|
31
W W W. F I N A N C E - C O N T R O L . N L