IT-servicemanagement: de stand van zaken Toekomstvaste compliance, feit of fabel?
1.6
Toekomstvaste compliance, feit of fabel? e sterk toegenomen belangstelling voor IT-governance wordt voor een belangrijk deel veroorzaakt door de noodzaak te voldoen aan de externe eisen die aan een organisatie worden gesteld: met een mooi woord ‘compliance’. De komst van ISO 20000 versterkt dit effect. Rudolf Liefers, Johan Sturm en Daniel van Burk analyseren op uitnodiging van de redactie de situatie ten aanzien van compliance, en de relevantie daarvan voor ITservicemanagement.
45
D
INTRODUCTIE Gebeurtenissen met maatschappelijke impact (fraudes, aanslagen) zien we enige tijd later terug in nieuwe en veranderende regelgeving. Zo zagen de Sarbanes-Oxley Act (SOX), de Nederlandse Corporate Governance Code (Tabaksblat), de Wet Bescherming Persoonsgegevens (WBP), Basel II, de Wet Computer Criminaliteit (WCC) en het Intellectueel Eigendomsrecht (IE) het licht. Niet alleen overheden zorgen voor regels en toezicht, organisaties leggen elkaar, bijvoorbeeld in uitbestedingsrelaties, ook eisen op en vereisen van elkaar bewijslast in de vorm van bijvoorbeeld een SAS-70 verklaring. De verwachting is dat de nieuwe ISO 20000norm voor nog meer druk zal gaan zorgen. Tenslotte worden leveranciers van software steeds kritischer naar hun klanten, wanneer het gaat om bewijslast ten aanzien van het legale gebruik van software. Flink wat nieuwe eisen en regels zijn dus de afgelopen jaren uitgestort over de diverse marktsectoren. In het kielzog van de regels volgen de toezichthouders die willen weten of die regels ook worden nageleefd. Veel van de regels worden vertaald naar eisen aan de ICT-voorzieningen en -procedures. De vraag die dan opkomt is hoe ervoor te zorgen dat de organisatie in kwestie op een toekomstbestendige manier aan de regels kan voldoen.
1
EXTERNE EISEN AAN BEHEERSING VAN IT Compliance is een blijvertje geworden. Dit betekent dat wanneer de acute aandacht voor compliance vermindert, de noodzaak om aantoonbaar aan de eisen te voldoen blijft bestaan. De genoemde gebeurtenissen met maatschappelijke impact en de daaropvolgende veranderende regelgeving hebben dus iets fundamenteels veranderd in het ITwerkveld. Het aantonen van de beheersing van het ontwikkelen en beheren van IT is namelijk een externe verplichting geworden, waarbij de overheid en haar toezichthouders eisen stellen aan de kwaliteit van IT. Het gaat dan meestal om vertrouwelijkheid, integriteit en beschikbaarheid van IT, maar ook om de controleerbaarheid van procedures en processen. Het aantoonbaar voldoen aan weten regelgeving zal de komende jaren nog steeds van iedereen de nodige aandacht blijven vergen, ook doordat het aantonen van de compliant status een jaarlijks terugkerend fenomeen wordt en vaak al is. Dit maakt het meer dan de moeite waard om goed te kijken naar de mogelijkheden om de kosten voor compliance omlaag te brengen.
IT Service Management, best practices, deel 4 Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net
DE SPELERS IN HET COMPLIANCEVELD
46
De verschillende wetten en regels en bijbehorende toezichthouders zorgen voor een breed spectrum aan eisen, die regelmatig worden onderzocht met een audit. Doelstelling en scope van de onderzoeken van de diverse auditors variëren echter sterk. Niet altijd is volledig helder wie waarom naar welke aspecten kijkt. Ook kunnen de vragen van een auditor van toezichthouder B wellicht erg bekend voorkomen na het eerdere bezoek van een auditor van toezichthouder A. Minstens zo lastig is dat de wet- en regelgeving niet altijd volledig onderling consistent is. De ITorganisatie heeft echter wel de verantwoordelijkheid om deze zaken zo effectief en efficiënt mogelijk aan te pakken. Omdat wet- en regelgeving een organisch ontstane ‘lappendeken’ is, is het lastig een indeling te maken voor een eenduidige classificatie van alle wetten en regels. Bij de classificatie is relevant wie de spelers zijn, welke wet- en regelgeving zij hebben uitgevaardigd
en wat de effecten daarvan voor IT zijn. In tabel 1 volgt een lijst met spelers. Deze geeft geen uitputtende opsomming, maar slechts een beeld van de spelers die er ten aanzien van compliance zijn.
PERSPECTIEVEN VAN WET- EN REGELGEVING Wet- en regelgeving is steeds vanuit een ander doel en perspectief opgesteld. De eisen die hieruit voortvloeien sluiten daardoor bijna per definitie niet op elkaar aan of vertonen overlap. Bekende voorbeelden buiten de ITsfeer zijn de restauranteigenaar in een grote Nederlandse stad, die van de gemeente de vuilnis niet buiten mocht zetten, maar van de Keuringsdienst van Waren mocht het niet binnen blijven staan. Of denk aan het voorbeeld van de vloer: deze moet soms volgens de arbonorm stroef zijn en volgens de hygiënewetgeving glad. Een verschil met bovengenoemde wetten is het aspect dat bij diverse wet- en regelgevingen een omkering van de bewijslast nodig is. In plaats van een opsporingsinstantie die moet aantonen dat een or-
Spelers ten aanzien van compliance Karakter Overheden: veelal opstellers van wet en regelgeving Nederlandse wetgever Wetgeving (verplichtend) Europese Unie Wetgeving (verplichtend), direct danwel indirect door middel van implementatie in de Nederlandse wetgeving Amerikaanse wetgever Direct voor in Amerika (VS) genoteerde bedrijven Indirect, via eisen gesteld door bijv. Amerikaanse (VS) bedrijven Toezichthouders: toezichthouders zijn weliswaar geen wetgevende instanties, maar door hun ‘macht’ om al dan niet goed te keuren hebben hun regels feitelijk de zwaarte van wetgeving. De Nederlandsche Bank (DNB) Regelgeving (verplichtend) (incl. Pensioen- & Verzekeringskamer (PVK)) Europese Commissie Toezicht op naleving richtlijnen door lidstaten Autoriteit Financiële Markten (AFM) Regelgeving (verplichtend) Algemene Rekenkamer Eisen vanuit controleperspectief (dwingend adviserend) College Bescherming Persoonsgegevens (Adviserend) Accountants Eisen vanuit controleperspectief (dwingend adviserend) Securities and Exchange Committee (SEC) Eisen vanuit controleperspectief (dwingend adviserend) Zelfregulering: de regels van brancheorganisaties gelden veelal als norm binnen het maatschappelijk verkeer. In specifieke gevallen kan/mag je daar wel van afwijken, maar dan alleen op basis van een goede argumentatie. Brancheverenigingen Adviserend (tamelijk dwingend karakter) Tabel 1 Spelers in de wet- en regelgeving
Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net
IT-servicemanagement: de stand van zaken Toekomstvaste compliance, feit of fabel?
ganisatie zich niet aan de wet houdt, dient de organisatie zelf aan te tonen dat zij zich wel houdt aan de wet. Een bekend voorbeeld is het ‘in control’ statement dat een onderneming voor SOX opstelt.
WET- EN REGELGEVING VEREISEN CONTROLS Omdat wet- en regelgeving op het gebied van IT-beheer meer ‘principle-based’ dan ‘rulebased’ is, worden geen hele specifieke beheersmaatregelen (‘controls’) vereist. Wel zal een organisatie die maatregelen moeten treffen waarmee zij zelf ‘in control’ is. SOX vereist hiervoor het ‘in control’ statement. In dit wettelijk voorgeschreven document verklaart de leiding van de organisatie dat zij dusdanig beheersmaatregelen hebben getroffen dat zij hun organisatie beheersen. Hiervoor dient de organisatie zelf een effectief control framework in te richten en de maatregelen te toetsen. Dit lijkt wel heel veel ruimte aan een organisatie te geven om ‘iets’ in te richten en zelf aan te geven dat goed te vinden. Het dwingt een organisatie echter wel om haar eigen verantwoordelijkheid te nemen en op basis van een risicoanalyse haar beleid te bepalen en maatregelen te treffen. Een organisatie kan niet volstaan met het eenvoudig implementeren van een voorgeschreven set maatregelen en hopen dat dit afdoende is. Deze eigen verantwoordelijkheid om op basis van een risicoanalyse de juiste maatregelen te treffen geldt naast SOX ook voor bijvoorbeeld eisen van DNB (ROB) en privacy-wetgeving (WBP).
Requirements Voor het definiëren van de controlemaatregelen kan gebruik worden gemaakt van de Control Objectives van CobiT en BS 7799-2 (Code voor Informatiebeveiliging). Ook het onlangs geïntroduceerde ISO/IEC 20000 (voorheen BS15000) biedt een normenkader, in dit geval gericht op IT-servicemanagement. Aan de hand van deze requirements kan worden gerapporteerd over de wijze waarop aan wet- en regelgeving wordt voldaan.
VAN CONTROL-FRAMEWORK NAAR ORGANISATORISCHE MAATREGELEN Het control-framework geeft de eisen (control objectives) waaraan de organisatie moet voldoen. Om deze eisen in de praktijk werkend krijgen kan gebruik worden gemaakt van methoden, technieken en best practices die al veelvuldig worden toegepast. Hierbij wordt onderscheid gemaakt in requirements en practices (zie tabel 2). Alhoewel deze indeling geen eenduidig beeld geeft van specifieke normen per organisatie ontstaat wel standaardisatie en uniformering bij diverse branches. Organisaties die aan SOX-regelgeving moeten voldoen hanteren vaak CobiT, IT-dienstverleners hanteren vaak ISO/IEC 17799, terwijl software-ontwikkelaars CMM en ASL hanteren, om invulling te geven aan wettelijke eisen. Sommige van deze normen kunnen extern getoetst en gecertificeerd worden (ISO), andere normen kunnen intern of extern getoetst worden zonder specifieke certificering. De manier waarop aan deze normen kan worden voldaan vraagt een gestructureerde inrichting en procesmatig werken van de IT-organisatie. Ook hier zijn meerdere modellen toepasbaar. Vooralsnog is het gebruik maken van de al toegepaste normenkaders binnen een organisatie en deze ‘mappen’ op de van toepassing zijnde wetgeving de beste aanpak. Hierbij wordt zo veel mogelijk gebruik gemaakt van reeds bestaande processen en werkwijzen en niet voor bijvoorbeeld SOX een afzonderlijk en geheel nieuw changemanagementproces voor de SOX-kritische applicaties ingericht.
47
1
Practices Voor de inrichting kan gebruik worden gemaakt van de ruim voorhanden zijnde best practices op het gebied van IT-processen en servicemanagement. Bijvoorbeeld ITIL, ISO/IEC 17799 (best practices voor securitymanagement) en ISO/IEC 20000 Part 2 (best practices voor servicemanagement).
Tabel 2 Onderscheid tussen requirements en practices IT Service Management, best practices, deel 4 Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net
Wet
48
Aspecten met impact op IT Services
Confidentiality (beveiliging, privacy, intellectueel eigendom) Wet Adequate beveiliging computercriminaliteit Beleid omgang met computergerelateerde (WCC) beveiligingsincidenten Monitoren gebruik bedrijfsnetwerk Bewaren bewijsmateriaal (logging en herleidbaarheid naar personen) Distributie computerprogramma’s Auteursrecht (IE1) Kopieerbeveiliging Wet bescherming Bepalen Verantwoordelijke versus Bewerker persoongegevens (WBP) Achtergrondstudies Passende beveiliging & Verkenningen nr. 23 Gedragscode Internet en e-mailgebruik (CBP) Gedragscodes Verplichtingen en aansprakelijkheid bewerker per branche
Telecommunicatiewet
Beperking doorgifte gegevens buiten de EU Maximale bewaartermijnen Melden elektronische communicatiedienst
Medewerking aftappen Beveiligen netwerken, diensten en persoonsgegevens Integrity (betrouwbaarheid, transparantie, beheersing) Aanbestedingsrecht Transparantie, objectiviteit en non-discrimimatie bij aanbesteding Wetboek elektronische Raadpleegbaarheid overeenkomst handel Authenticiteit en integriteit overeenkomst Tijdstip totstandkoming overeenkomst (juiste systeemtijd) Sarbanes-Oxley Program Development PCAOB Auditing Program Changes Standard Nr. 2 Computer Operations Access to Programs and Data Titel 9 Boek 2 BW / Toegangsbeveiliging IFRS (Verplichtingen Functiescheiding Jaarrekeningen) Change management Continuïteitsmaatregelen Besluit voorschrift Beleidsdocument Informatiebeveiliging informatiebeveiliging Bepalen van maatregelen rijksdienst 1994 (VIR) Vastleggen, Implementeren, Uitvoeren en (ex art. 9 Besluit IVR Controleren 1990)
ISO/IEC 20000
CobiT
ISO/IEC 17799
Security mgt Incident mgt
DS5 DS5
4 13
Security mgt Capacity mgt
DS13 DS11
10 13
Release mgt Security mgt Service level mgt Security mgt Security mgt Service level mgt Security mgt Capacity mgt Service level mgt Security mgt Security mgt
AI7 AI2 PO4
12 11 7
DS5 DS7 PO4
4 8 6
DS11 DS11 PO1
10 7 6
DS5 DS5
10 4
Supplier mgt
AI5
6
Continuity mgt DS11 Security mgt DS5 Security mgt DS13
10 10 10
Release mgt Change mgt Continuity mgt Security mgt Security mgt Security mgt Change mgt Continuity mgt Security mgt
12 12 10 11 11 10 12
AI2 AI6 DS13 DS5 DS5 PO4 AI6 DS4 DS5
Security mgt
DS5
14 5 4
Security mgt
DS5
6
1 IE = Intellectueel Eigendom is een verzamelbegrip voor meerdere rechten, waaronder Auteursrecht
Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net
IT-servicemanagement: de stand van zaken Toekomstvaste compliance, feit of fabel?
Availability (continuïteit, stabiliteit, toegankelijkheid) Archiefwet 1995 Duurzaamheid opslag Minimale bewaartermijnen Algemene Wet Goedkeuring conversie Rijksbelastingen Minimale bewaartermijnen Wet Financieel Toezicht (Wft) Informatiebeveiliging - ROB2 2.5 - Kader BCP Continuïteit van IT - ROB 2.6 Risico’s, afspraken en toezicht bij uitbesteding Wet Financiële Beheer ‘op orde’ Dienstverlening (Wfd) Basel II Beveiligingsrisico’s (Operationele risico’s) Continuïteitsrisico’s Wet melding Bewaartermijn transacties ongebruikelijke transacties (MOT)
Continuity mgt Capacity mgt Change mgt Capacity mgt
DS11 DS11 AI7 DS11
15 7 12 7
Security mgt Continuity mgt Supplier mgt Service level mgt Security mgt Continuity mgt Capacity mgt
DS5 DS4 DS2 DS1
4 14 6 10
DS5 DS4 DS11
4 14 7
49
1
Tabel 3 Relevante wet- en regelgeving, en de impact op IT-services en de meest bekende formele normenstelsels
WET- EN REGELGEVING MET IMPACT OP IT-SERVICES In Nederland is een verzameling wetten en regels van toepassing op diverse organisaties. Dit is ongeacht de aard van de bedrijfsvoering of de doelstelling van de organisatie. Daarnaast bestaan er wetten en regelstelsels, die specifiek voor een branche zijn opgesteld, bijvoorbeeld voor banken of voor de telecomsector. Deze wetten gaan, vooral vanwege outsourcing, in toenemende mate ook gelden voor partijen die zich buiten de betreffende branche bevinden.
geeft wel een overzicht van de ‘problemen’ en de mogelijke ‘oplossingsrichtingen’. Per aspect is een verwijzing opgenomen naar het primair betrokken IT-servicemanagementproces (conform ISO/IEC 20000), waar de verantwoordelijkheid belegd kan worden. Een verwijzing is opgenomen naar de processen van CobiT en de hoofdstukken van ISO/IEC 17799 waarin toepasbare maatregelen zijn uitgewerkt, waarmee aan de eisen kan worden voldaan. Daarnaast is nadere regelgeving voor de betreffende wet cursief aangegeven.
In de voorgaande paragrafen is ingegaan op welke manieren veel organisaties de afgelopen jaren zijn omgegaan met het (her)bruiken van onder andere best practices en formele normenstelsels. Tabel 3 bundelt de bij de auteurs beschikbare kennis over relevante wet- en regelgeving, de impact die deze heeft op IT-services (èn daarmee op IT-servicemanagement) en de meest bekende formele normenstelsels, waarmee de onderkende aspecten kunnen worden ingevuld. De tabel heeft niet de pretentie compleet te zijn, maar
De paradox van beheersing In een tijd waarin onder druk van de trend naar transparantie en nieuwe wet- en regelgeving steeds meer aandacht is ontstaan voor de beheersing van IT is er ook een flink aantal nieuwe modellen en best practices ontstaan. Vijf jaar geleden waren veel organisaties met name in de weer met de invoering of verfijning van servicemanagementprocessen op basis van de ITIL best practices. Tegenwoordig kunnen organisaties kiezen uit een veelheid aan modellen en best practices.
2 ROB = Regeling Organisatie en Beheersing (van De Nederlandsche Bank)
IT Service Management, best practices, deel 4 Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net
50
ISPL, ASL en BiSL werden geïntroduceerd, CobiT kende als gevolg van SOX een flinke opleving. Ook de BS/ISO standaarden voor beveiliging en servicemanagement mogen zich in een toenemende belangstelling verheugen. Al deze modellen en best practices kennen verschillende doelen en aandachtsgebieden, maar kennen ook op onderdelen overlap. In de praktijk wordt op diverse plekken in de organisatie gebruik gemaakt van één of meerdere van deze modellen, vaak zonder dat mensen of afdelingen het van elkaar weten. Totdat men erachter komt dat het wel praktisch is als bijvoorbeeld de incidentafhandeling binnen de processen uit ITIL, ASL en BiSL op elkaar aansluit, omdat deze processen niet los van elkaar gezien kunnen worden. Door introductie van een veelheid aan processen en controls is het maar de
vraag of de beheersing van de IT-processen daadwerkelijk toeneemt, of dat organisaties de grip juist dreigen te verliezen. We noemen dit de paradox van beheersing.
BEVINDINGEN UIT DIVERSE COMPLIANCE-ONDERZOEKEN In de periode juni 2005 tot april 2006 heeft de afdeling Beheer van het NGI een onderzoek gehouden naar de impact van de verhevigde aandacht voor compliance op het beheer van de informatievoorziening. Een ander onderzoek op hetzelfde terrein is van de hand van Atos Consulting. Hierin werd gekeken naar de mogelijkheden om de eisen vanuit wet- en regelgeving in combinatie met de interne ITgovernance eisen te verenigen in één compliance framework. Beide onderzoeken geven interessante waarnemingen.
Onderwerp Waarnemingen Onduidelijke eisen In brede kring bestaat de perceptie dat er nog geen echte duidelijkheid is over de werkelijke impact van compliance op IT-servicemanagement. Voor organisaties is niet precies duidelijk welke wet- en regelgeving nu echt van invloed is op de manier waarop het IT-beheer wordt uitgevoerd en waaruit die invloed bestaat. Ook wordt niet altijd het onderscheid gemaakt tussen de eisen die wet- en regelgeving stelt aan de informatiesystemen en de eisen die worden gesteld aan het beheer van de informatievoorziening. Wat meespeelt is dat veel wet- en regelgeving weinig tot geen concrete normen biedt waaraan voldaan moet worden. Daarnaast verschillen de eisen ten aanzien van de verantwoording nogal per wet of regel. Ten slotte is het voor velen onduidelijk welke aanvullende wet- en regelgeving er nog op stapel staat en welke gevolgen dat met zich meebrengt. Kosten voor Het voldoen aan wet- en regelgeving lijkt vooralsnog met name kosten en inspanningen compliance zijn met zich mee te brengen, die bovendien aanzienlijk zijn. Bij sommige organisaties is de hoog inspanning die nodig is om compliant te worden, veel groter dan bij andere organisaties. De mate van chaos uit het verleden bepaalt vaak de hoogte van de kosten voor ITcompliance. Reorganisaties Veel IT-organisaties zijn de afgelopen jaren gefuseerd met andere IT-organisaties. Vaak is maken er gereorganiseerd. Soms hanteert men diverse werkwijzen voor hetzelfde proces, omdat compliancedit historisch zo is gegroeid. Dan moet de effectiviteit van controlemaatregelen ook steeds projecten moeilijk separaat worden aangetoond. Controlfuncties In het kader van efficiëntieverbeteringen is in de jaren voordat wet- en regelgeving blijken prominent in beeld kwam bezuinigd op overhead zoals procesmanagement-activiteiten. wegbezuinigd Voorbeeld is het opheffen van internal-controlafdelingen die bij veel bedrijven heeft plaatsgevonden. De aandacht voor de kosten van compliance wordt versterkt door het feit dat wet- en regelgeving niet alleen een eenmalige investering vereist, maar tevens een jaarlijks terugkerende overhead genereert.
Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net
IT-servicemanagement: de stand van zaken Toekomstvaste compliance, feit of fabel?
Onderwerp Nieuwe functies
Gebruik van best practices
Waarnemingen In organisaties ontstaan nieuwe rollen en functies als gevolg van de invoering van nieuwe wet- en regelgeving. De compliance officer is een rol/functie die tegenwoordig in veel organisaties wordt waargenomen. Ten aanzien van de borging valt op dat er moeilijk een trend is te ontdekken in de manier waarop de werkzaamheden in de organisatie worden belegd (centraal of decentraal, lijn of staf, hoog of laag in de organisatie). Blijkbaar is hier nog niet een soort de facto best practice gevormd. Veel organisaties maken voor een groot deel van de invulling van de controlemaatregelen gebruik van frameworks en best practices waar zij reeds mee werkten. Waar mogelijk worden deze gebruikt en/of aangescherpt om aantoonbaar te maken dat aan eisen uit wet- en regelgeving wordt voldaan.
Tabel 4 Waarnemingen uit recent onderzoek
Tabel 4 geeft aan dat de introductie van nieuwe wet- en regelgeving een forse impact heeft op het IT-servicemanagement. Het blijkt dat velen nog zoekende zijn naar de balans tussen de geleverde inspanning ten opzichte van het te bereiken resultaat. Hier zal mogelijk de komende jaren meer ervaring ontstaan. Waarbij het ongewis is welke invloed toekomstige wet- en regelgeving zal hebben op IT-servicemanagement.
NAAR EEN TOEKOMSTVASTE COMPLIANCESTRUCTUUR Uit de bovenstaande onderzoeksresultaten kan worden afgeleid dat er voor veel organisaties ten aanzien van compliance nog veel winst te boeken is door: • duidelijkheid te verkrijgen in de eisen waaraan men moet voldoen en deze op elkaar af te stemmen; • deze eisen uit te werken in een framework waarin interne en externe eisen samenkomen en resulteren in een externe verantwoording die voldoet aan de eisen van de toezichthouders; • keuzes te maken in de frameworks en best practices die worden toegepast en vooral ook welke niet; • organisatorische en procesmatige complexiteit terug te dringen zodat met een eenvoudiger en uniforme set maatregelen kan worden volstaan. Bovengenoemde stappen helpen om de weten regelgeving die nu van kracht is op een
51
1 efficiënte wijze in te passen in de bedrijfsvoering. Daarnaast helpen ze om ook de baten te verkrijgen die het professionelere beheer van de informatievoorziening met zich mee zou moeten brengen. Daarmee is voor de huidige wet- en regelgeving een belangrijke stap gezet. Daarnaast is geconstateerd dat veel organisaties niet weten welke nieuwe eisen er nog op hen afkomen als gevolg van nieuwe of veranderende wet- en regelgeving. En dat er nog het nodige aan zit te komen, daar lijkt iedereen het wel over eens.
VERLENGEN VAN DE HOUDBAARHEID VAN COMPLIANCE Dat werpt de vraag op hoe organisaties hiermee om moeten gaan. Gezien de veranderlijkheid van de ‘lappendeken’ van wet- en regelgeving, de veelheid aan toezichthouders èn de eigen verantwoordelijkheid van de onderneming om aan te tonen dat zij compliant is, kan een organisatie elk jaar wel weer een nieuw complianceproject starten. Hierin is het risico van ‘het wiel opnieuw uitvinden’ levensgroot aanwezig. De sleutel ligt hier in het inrichten van een Corporate Compliance Programma waarmee het voldoen aan wet- en regelgeving zit ‘ingebakken’ in de bestaande processen binnen de organisatie. Hiermee verkrijgt de organisatie een proactief IT-complianceprogramma dat integraal deel uitmaakt van de reguliere IT-processen. De bestaande processen worden dan periodiek bekeken en
IT Service Management, best practices, deel 4 Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net
52
zonodig aangepast aan gewijzigde regelgeving. Een dergelijk Corporate Compliance Programma voor de IT laat de organisatie het compliancevraagstuk besturen vanuit interne beheersing, vertaalt de externe eisen naar interne eisen, maakt verbeterprojecten mogelijk en maakt de interne proceskwaliteit zichtbaar voor externe belanghebbenden. Het initiatief ligt dan weer waar het hoort: bij de eigen organisatie. Dat is heel wat effectiever dan worden geleid door de wet- en regelgeving. Een Corporate Compliance Programma moet op de juiste plaats binnen de organisatie worden belegd en gezien de overstijgende belangen ligt het voor de hand dit op CIO-niveau onder te brengen. Een Corporate Compliance Programma voor de IT bestaat minimaal uit de volgende stappen (figuur 1): • Bijhouden van wet- en regelgeving - Door de externe eisen en de ontwikkelingen, zoals toelichtingen van toezichthouders en jurisprudentie te volgen kan proactief op wijzigingen worden ingespeeld. • Uitvoeren van IT Compliance Impact Analysis - De impact van externe eisen wordt vertaald in interne eisen voor de beheersing van IT. Dit is onderdeel van organisatiebrede Business Impact Analysis. • Inrichten/bijwerken van het IT Risk & Compliance framework - Op basis van de interne eisen worden de vereiste maatregelen bepaald door een mapping op de gebruikte beheersingsmechanismen binnen de organisatie. Dit betreft bijvoorbeeld CobiT, CMM, ITIL, PRINCE2, et cetera. • Inregelen van beheersingsmaatregelen - De gedefinieerde maatregelen worden ingevoerd of verder aangescherpt binnen de bestaande beheersingsmechanismen. • Monitoren van naleving - De effectiviteit van de maatregelen wordt bewaakt. Hiervoor wordt gebruik gemaakt van de bestaande monitormechanismen in de vorm van KPI’s en managementrapportages. • Evalueren van naleving - Een periodieke evaluatie vindt plaats op het realiseren van de doelstellingen van het Corporate IT
Compliance Programma. • Verantwoorden naleving - De wijze waarop de organisatie voldoet aan de wet- en regelgeving wordt gerapporteerd en gecommuniceerd aan belanghebbenden, zoals toezichthouders. Met het inrichten van een Corporate Compliance Programma is het mogelijk de last om te zetten in een lust, door de toegenomen professionaliteit in te zetten voor het verbeteren van de IT-dienstverlening en het verhogen van de transparantie. IT-compliancemaatregelen zorgen voor deze transparantie. Dit zorgt voor inzicht in de interne proceskwaliteit en dat is een goed vertrekpunt voor verdere professionalisering. Als bijvoorbeeld blijkt dat het proces voor het toekennen van autorisaties sterk gefragmenteerd is, biedt dit een kans om de business op een eenduidige wijze van dienst te zijn. Het Corporate Compliance Programma vormt hiermee een driving force achter het verbeteren van de ITdienstverlening.
TOEKOMSTVISIE: STRATEGIC REGULATORY MANAGEMENT Eerder in dit artikel is de vraag aan de orde geweest hoe organisaties ervoor kunnen zorgen dat nieuwe wet- en regelgeving geen verstorende invloed heeft op de efficiënte uitvoering van compliancemaatregelen. De theorie over ‘strategic regulatory management’ geeft inzicht in de mogelijke strategische reacties van bedrijven op wet- en regelgeving, met als doel het economische resultaat te maximaliseren. Het gaat bij deze strategische reacties om de vaardigheden en werkwijzen waarover een organisatie beschikt om te opereren in de omgeving, zowel intern als extern, waar eisen gesteld worden aan het beheer van de informatievoorziening. Bij ‘intern gericht’ gaat het dan om de vaardigheden en werkwijzen die (kunnen) worden gehanteerd om een optimum te bereiken of na te streven in het voldoen aan wet- en regelgeving. Bij ‘extern gericht’ gaat het om de invloed die (kan) worden gebruikt om de totstandkoming van nieuwe wet- en regelgeving te beïnvloeden.
Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net
IT-servicemanagement: de stand van zaken Toekomstvaste compliance, feit of fabel?
Bijhouden van wet- en regelgeving
53 Uitvoeren van een IT Compliance Impact Analysis Verantwoorden naleving
Corporate Compliance Programma Inrichten / bijwerken IT Risk & Compliance Framework
1
Evalueren naleving
Inregelen beheersingsmaatregelen Monitoren naleving
Figuur 1 Stappenschema voor een Corporate Compliance Programma
Er is een aantal strategische reacties mogelijk: • Niet-bestaand (ad hoc) - Er is geen strategie gedefinieerd voor aanpassingen in de eisen uit wet- en regelgeving. • Reactief - Maximaliseren van de toegevoegde waarde van compliance door interne processen efficient en effectief af te stemmen op de eisen uit wet- en regelgeving. • Anticiperend - Er wordt inspanning geleverd om te anticiperen op aankomende wet- en regelgeving met behulp van een kennisvoorsprong over nieuwe wet- en regelgeving, die de organisatie in staat stelt nieuwe werkwijzen snel te adopteren en hier voordeel mee te behalen ten opzichte van organisaties die later starten. • Defensief - De organisatie wendt zijn invloed aan om ongewenste wet- en regelgeving tegen te houden danwel de status quo te handhaven.
• Proactief - De onderneming wendt zijn invloed aan om de totstandkoming van wet- en regelgeving dusdanig te beïnvloeden dat deze voor de organisatie gunstig uitpakt. De strategieën ‘reactief’ en ‘anticiperend’ zijn intern gericht, ‘defensief’ en ‘proactief’ zijn extern gericht. Er kan gekozen worden voor een combinatie van een interne en een externe strategie. In de praktijk blijkt dat organisaties voor verschillende strategieën kunnen kiezen, afhankelijk van de wet- of regelgeving waar het om gaat, en gebaseerd op het specifieke belang voor de organisatie. Organisaties die willen voorkomen dat hun ingebedde controlframework en complianceproces door nieuwe en veranderende wet- en regelgeving wordt verstoord zullen dus actief na moeten denken over hun strategie in deze.
IT Service Management, best practices, deel 4 Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net
TOT SLOT
54
Compliance toekomstvast organiseren is dus geen fabel. Door slim te opereren is het niet nodig om bij iedere nieuwe wet of regel een nieuw controlframework in te richten. Door het handig inrichten en testen van maatregelen kan naar meerdere toezichthouders verantwoording worden afgelegd zonder dubbel werk te doen. Het moeten voldoen aan externe eisen kan tevens worden vertaald naar een interne benefit, want het externe toezicht en de media-aandacht hebben de professionaliteit van de IT-organisatie hoog op de managementagenda geplaatst. Kortom, de tijd is rijp voor het gebruiken van het momentum om de reeds lang gewenste, maar vaak niet goedgekeurde, kwaliteitsverbeteringen alsnog de juiste prioriteiten te geven en door te voeren. Johan Sturm, Daniel van Burk en Rudolf Liefers zijn werkzaam als adviseur bij de World Class IT adviesgroep van Atos Consulting. Zij richten zich daar op opdrachten die vaak de onderwerpen compliance en IT-governance betreffen. Johan Sturm is binnen Atos Consulting de trekker van de Compliance Solution, Daniel van Burk en Rudolf Liefers hebben mede vanuit hun NGI-bestuursrol een leidende rol gehad in een in 2006 verschenen NGI-publicatie over “Compliance & IT-beheer”.
BRONNEN • Duthler, mr. Dr. A.W. (red.) (2005). ITRecht, Quick reference voor IT-auditors. NOREA, Kluwer. • Franken, prof.mr. H., prof.mr. H.W.K. Kaspersen en prof.mr. A.H. de Wild (red.) (2004). Recht en computer, deel 36. Serie recht en praktijk. Kluwer. • Geest, mr. E. van (2006). Van herkenning tot aangifte, Handleiding Cybercrime. Govcert.nl (KLPD). • Hofman, P. en E. Tuin (2006). Het Speelveld van de CIO. Tutein Nolthenius. • Liefers, R. en D. van Burk (2006). Compliance en IT-beheer, Impact van wet- en regelgeving op het beheer van de informatievoorziening. Academic Service/SDU.
• Oliver en Holzinger (2007). The Effectiveness of Strategic Regulatory Management: A Dynamic Capabilities Framework. Concept artikel, in reviewfase voor publicatie in Academy of Management Review.
Wettenreferenties: • Wet computercriminaliteit (WCC II): Wetboek van Strafrecht. wetten.overheid.nl • Auteursrecht, Auteurswet 1912, Hoge Raad, 4 januari 1991, Van Dale/Romme • Wet bescherming persoonsgegevens (WBP). www.cbpweb.nl • Telecommunicatiewet. wetten.overheid.nl • Aanbestedingsrecht, aanbestedingswet. www.ez.nl en www.aanbestedingsrecht. org • Wetboek elektronische handtekening. www.e-overheid.nl • Sarbanes-Oxley Act 2002, also known as the Public Company Accounting Reform and Investor Protection Act of 2002. www.sec.gov • Auditing Standard No. 2 of the Public Company Accounting Oversight Board (PCAOB). www.pcaob.org • Titel 9 Boek 2 BW, Voorschriften met betrekking tot externe financiële verslaggeving, Richtlijnen voor de jaarverslaggeving www.rjnet.nl • Besluit voorschrift informatiebeveiliging rijksdienst 1994 (VIR). wetten.overheid.nl • Archiefwet 1995. wetten.overheid.nl • Algemene Wet Rijksbelastingen. wetten. overheid.nl • Wet op het financieel toezicht (Wft). www.minfin.nl en www.dnb.nl • Regeling Organisatie en Beheersing . www.dnb.nl • Toetsingskader Business Continuity Planning (BCP) Financiële Kerninfrastructuur (Kader BCP). www.dnb.nl • Wet Financiële Dienstverlening (Wfd). www.minfin.nl en www.afm.nl • Basel II, herziene richtlijn banken en kapitaaltoereikendheid. www.minfin.nl • Wet melding ongebruikelijke transacties (MOT). www.afm.nl
Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net
