Whitepaper
Een pragmatische kijk op integraal Governance, Risicomanagement en Compliance met behulp van
GRCcontrol A Keulenstraat 8E 7418 ET Deventer P Postbus 2147 7420 AC Deventer T +31 570 -‐ 63 47 17 F +31 570 -‐ 63 41 58 E
[email protected] W www.CompLions.nl
Managementsamenvatting Continuïteit en de kwaliteit van de dienstverlening, financieel rendement, efficiency en wet-‐ en regelgeving zijn in het verleden altijd al legitieme redenen geweest om risico’s te beheersen of goed bestuur uit te voeren. Maatschappelijke verantwoordelijkheid en reputatie bescherming zijn evenzo belangrijk geworden. Vandaag de dag bereiken (mogelijke) incidenten in rap tempo soms ongenuanceerd het brede publiek door Social media zoals twitter, facebook of bijvoorbeeld de pers. Kleine of onbelangrijke incidenten kunnen hierdoor eenzelfde impact hebben als grote of belangrijke. Veel organisaties worstelen dan ook met de vraag hoe dit aan te pakken en waar te beginnen. Enerzijds wordt dit via wet-‐ en regelgeving, richtlijnen en normen opgelegd. Via audits krijgen de wet-‐ en regelgevers, toezichthouders, partners en klanten zekerheden over hoe de organisatie het doet. Denk hierbij bijvoorbeeld aan Governance codes en richtlijnen voor de bestuurlijke processen, voor privacy-‐ en informatiebeveiliging, kwaliteitseisen, certificeringseisen etc. Hierdoor ontstaan er binnen organisaties vaak meerdere managementsystemen om te voldoen aan een specifieke eis maar deze aanpak zorgt voor hoge kosten en in efficiency. Een uitdaging voor veel organisaties is dan ook om de besturing (Governance) op orde te krijgen over een veelvoud van eisen en dit effectief en efficiënt te beheersen zodat het voldoen aan de wet-‐ en regelgeving en normen (Compliance) aangetoond kan worden. Met ondersteunende managementsoftware uit de GRCcontrol software suite wordt een organisatie in staat gesteld deze zaken efficiënt en effectief te organiseren en te beheersen op een procesmatige en risico gedreven aanpak. Ook voor organisaties met een beperkte staf of aanwezige materiekennis of organisaties die geen eigen resources wensen in te zetten voor deze processen. De belangrijkste voordelen van het werken met de GRCcontrol suite zijn: • Het eenvoudig koppelen van eisen (controls) uit verschillende normenkaders of wet-‐ en regelgeving aan één GRCcontrol maatregelenset (‘Map once, comply to many’). Hierdoor ontstaat een makkelijk te onderhouden compliance raamwerk en worden doublures in maatregelen vermeden. • Plan-‐Do-‐Check-‐Act functionaliteit over de GRCcontrol maatregelenset, waardoor onder andere implementatiegegevens (Do) en effectiviteitscores (Check) verwerkt worden in actuele managementinformatie. Snelle invoer, borging en certificering van normen/standaarden, wet-‐ en regelgeving, risicomanagement alsmede geïntegreerde audits, is hiermee mogelijk geworden. • Besparing op de inzet van interne resources door automatische en in te plannen implementatie-‐, controle-‐ en risicoanalysetaken en automatische rapportages zoals managementreviews, verklaring van toepasselijkheid, proces, norm en bijvoorbeeld auditrapportages. • Door het telkens toe kunnen voegen van normenkaders en wet-‐ en regelgeving (Plug & play Governance), is het mogelijk de interne beheersing geleidelijk uit te breiden en is een direct grote implementatie niet noodzakelijk. Een grote hoeveelheid beschikbare en uitgewerkte normen en wet-‐ en regelgeving voor allerlei sectoren is beschikbaar, wat implementatieduur en procesborging bespaart. Licenties kunnen in een groeimodel afgenomen worden zodat het aantal gebruikers mee kan groeien met het bereik van het managementsysteem. Hierdoor kan er ‘klein’ begonnen worden in omvang, impact en kosten. Desondanks is het systeem in structuur en gebruik ook bij uitstek geschikt voor het beheersen van één of een beperkt aantal normen. Een pragmatische kijk op integraal Governance, Risicomanagement en Compliance met behulp van GRCcontrol
Inhoudsopgave 1. Inleiding ...................................................................................................................... 1 1.1.
Achtergrond en doelstelling .................................................................................................... 1
2. De context vanuit een organisatie ............................................................................... 2 3. Probleemstelling, waar te beginnen? ........................................................................... 3 4. GRC tooling ontwikkelingen ........................................................................................ 4 4.1. 4.2. 4.3. 4.4.
Ontstaan van de behoefte en GRC software .......................................................................... 4 GRC tooling en raakvlakken met de business vraag ............................................................... 4 Babylonische spraakverwarringen .......................................................................................... 5 De insteek van de GRCcontrol software suite ......................................................................... 5
5. GRCcontrol Compliance op basis van ’Map once, comply to many’ .............................. 6 5.1. 5.2.
Businessvraag matching met functionaliteit ........................................................................... 7 Implementatie-‐aspecten ......................................................................................................... 7
6. Baten, lasten en risico’s ............................................................................................... 8 6.1. 6.2. 6.3. 6.4.
Kwalitatieve voordelen ........................................................................................................... 8 Voordelen in de inzet van middelen ....................................................................................... 8 Bijlage ‘Overzicht normen en maatregelensets’ ..................................................................... 9 Bijlage ‘GRCcontrol suite packages’ ........................................................................................ 9
Een pragmatische kijk op integraal Governance, Risicomanagement en Compliance met behulp van GRCcontrol
1.
Inleiding
Continuïteit en de kwaliteit van de dienstverlening, financieel rendement, efficiency en wet-‐ en regelgeving zijn in het verleden altijd al legitieme redenen geweest om risico’s te beheersen of goed bestuur uit te voeren. Maatschappelijke verantwoordelijkheid en reputatie bescherming zijn evenzo belangrijk geworden. Vandaag de dag bereiken (mogelijke) incidenten in rap tempo soms ongenuanceerd het brede publiek door Social media zoals twitter, facebook of bijvoorbeeld de pers. Kleine of onbelangrijke incidenten kunnen hierdoor eenzelfde impact hebben als grote of belangrijke. Veel organisaties worstelen dan ook met de vraag hoe dit aan te pakken en waar te beginnen. Enerzijds wordt dit via opgelegde wet-‐ en regelgeving, richtlijnen en normen opgelegd. Via audits krijgen de wet-‐ en regelgevers, toezichthouders, partners en klanten zekerheden over hoe de organisatie het doet. Denk hierbij bijvoorbeeld aan Governance codes en richtlijnen voor de bestuurlijke processen, voor privacy-‐ en informatiebeveiliging, kwaliteitseisen, certificeringseisen etc. Hierdoor ontstaan er binnen organisaties vaak managementsystemen om te voldoen aan een specifieke eis maar deze aanpak zorgt voor hoge kosten en in efficiency. De uitdaging van veel organisaties ligt dan ook om de besturing (Governance) op orde te krijgen over een veelvoud van eisen en dit effectief en efficiënt te beheersen zodat het voldoen aan de wet-‐ en regelgeving en romen (Compliance) aangetoond kan worden. Een belangrijke voorwaarde voor de Governance is het risicomanagementproces. Voor veel organisaties een grote uitdaging want naast procesrisico’s (die veelal wel inzichtelijk zijn) moeten ook informatie risico’s, die voortkomen uit het gebruik van ICT, beheerst worden. Continue ICT ontwikkelingen als BYOD, Cloud, Outsourcing, Social media, SAAS etc. zorgen ervoor dat dit permanente aandacht vergt, maar veel organisaties merken dat dit complex, kennis-‐ en arbeidsintensief is. Doordat processen soms volledig afhankelijk zijn van de beschikbaarheid van juiste, tijdige en volledige informatie is IT Risicomanagement enorm belangrijk geworden en niet meer weg te denken uit de bedrijfsvoering. Met ondersteunende managementsoftware uit de GRCcontrol software suite wordt een organisatie in staat gesteld deze zaken efficiënt en effectief te organiseren en te beheersen in één managementsysteem, gebaseerd op een procesmatige en risicomanagement aanpak en is eenvoudig inzicht te krijgen in de mate van compliance over een veelvoud aan normen, standaarden, richtlijnen en wet-‐ en regelgeving. Ook voor organisaties met een beperkte staf of aanwezige materiekennis.
1.1.
Achtergrond en doelstelling
Deze Whitepaper geeft u inzicht in de aspecten die relevant zijn voor het maken van een strategische keuze of u ondersteunende software kunt toepassen. Deze aspecten zijn dermate complex, overlappend of onbekend, wat het moeilijk maakt de juiste keuze te maken op basis van de juiste informatie en uitgangspunten. Deze Whitepaper tracht u hierbij te ondersteunen waarbij wij naast de voordelen en eventuele nadelen, ook de kosten en opbrengsten onder de aandacht brengen die een belangrijk onderdeel zijn voor het maken van uw eigen business case en keuzes.
Een pragmatische kijk op integraal Governance, Risicomanagement en Compliance met behulp van GRCcontrol Pagina 1 van 9
Ziet u ook door de bomen het bos niet meer?
2.
De context vanuit een organisatie
De meeste organisaties staan voor grote uitdagingen om met minder budget toch adequate maatregelen te nemen, om de risico's in een toenemende digitale dienstverlening en communicatie te beheersen en te voldoen aan wet-‐ en regelgeving, normen en richtlijnen. Dit gebeurt meestal om aan klanten, ketenpartners of bijvoorbeeld patiënten of burgers de vertrouwelijkheid en beschikbaarheid van informatie te waarborgen vanuit een maatschappelijke verantwoordelijkheid of bescherming van simpelweg de reputatie of bedrijfsdoelstellingen. Hierbij verschilt het vrijwel niet of de uitgangspunten een commerciële insteek hebben of een publieke. Vrijwel altijd geldt dat informatiebeveiliging een belangrijke randvoorwaarde is in het streven en leveren van betrouwbare, transparante en toegankelijke diensten of het creëren van producten, vooral als dit digitale dienstverlening betreft of afhankelijk is van ICT. Daarnaast zijn de bestuurs-‐ of bedrijfsprocessen vrijwel onmogelijk te realiseren zonder het toepassen van ICT. Uitval van computersystemen, het in verkeerde handen vallen van gegevensbestanden of misbruik van vertrouwelijke gegevens, kunnen ernstige gevolgen hebben voor bedrijven, zorg-‐ en bijvoorbeeld overheidsinstellingen en hun klanten, patiënten of burgers. Denk hierbij aan bijvoorbeeld imagoschade, politieke consequenties, levensbedreigende situaties of claims of het niet kunnen naleven van wet-‐ en regelgeving. Door het moeten naleven van wet-‐ en regelgeving, die de kwaliteit en bijvoorbeeld de privacy-‐ en informatiebeveiliging moeten waarborgen wordt steeds meer directief standaarden en normen oplegt. Enkele voorbeelden hiervan zijn bijvoorbeeld de ISO-‐NEN 27001 voor informatiebeveiliging, de Wet Bescherming Persoonsgegevens of richtlijnen voor Webapplicaties die DigiD gebruiken voor authenticatie. Door de veelheid aan wet-‐ en regelgeving en normen wordt het steeds complexer dit te organiseren, te beheersen en aantoonbaar te maken. Maatregelenset* In de praktijk wordt er ISO*27002* Act* Plan* * hierdoor vaak gekozen ISO$9001$ Maatregel 5.1.1 * ISO$27001$ X$$51$ om voor elk van deze X$133$ 5.2.1 * * Maatregel * Control relevante normen een Organisa(e* * * Maatregel * 6.1.1Maatregelenset* Control Control * $$ WBP * Check* Do* Maatregel 7.1.1 separate Control $$ * * Control Control managementsysteem in $$Maatregel 7.2.2$$Maatregel 5.1.1 * Control $$ Maatregel 7.3.1$$Maatregel 5.2.1 Control * te richten. Zo ontstaan Control $$ Maatregelenset* Act* * Plan* Maatregel 8.1.2$$Maatregel 6.1.1 Control * ISO*9001 er meerdere Plan-‐Do-‐ $$ * * Maatregel 9.5.1 Maatregel 7.1.1 * $$ * GITC$ Check-‐Act cyclussen wat * * * Maatregel Maatregel * 5.1.1 * 7.2.2 X$19$ * * * WBP$ Maatregel 5.2.1 * 7.3.1 het inzicht en overzicht * Maatregel Control * X$31$ Check* Do* * 6.1.1 Maatregel niet ten goede komen en * Control $$Maatregel 7.1.1 Control * waardoor we bij audits Act* Plan*$$ Control Control * $$Maatregel 7.2.2 Control vaak naar zaken kijken Control * $$Maatregel 7.3.1 * * $$ die ook bij andere audits Control * * * Maatregel 8.1.2 * ook al aan bod zijn 9.5.1 Check* Do* Maatregel * gekomen. Hierdoor worden er zaken dubbel gedaan, onnodig interne en externe resources gebruikt en hogere kosten gemaakt.
Een pragmatische kijk op integraal Governance, Risicomanagement en Compliance met behulp van GRCcontrol Pagina 2 van 9
3.
Probleemstelling, waar te beginnen?
In de inleiding is al toegelicht dat het voor veel organisaties een uitdaging is om een veelheid aan normen, standaarden en wet-‐ en regelgeving te beheersen en de kosten beperkt te houden. Een belangrijk aspect hierbij is om vast te stellen vanuit welke behoefte of noodzaak dit inzicht gegeven dient te worden. In grote lijn zijn er drie hoofd aspecten die hierbij een rol kunnen spelen, al dan niet gecombineerd met elkaar: • Governance -‐ Het goed besturen van de organisatie of onderdelen ervan, (deel)processen of managementprocessen. • Risk management -‐ Het nemen van beslissingen en maatregelen gefundeerd op een risicoafwegingsproces. • Compliance -‐ Aantoonbaar maken of men voldoet aan wet-‐ of regelgeving, opgelegde normenkaders, richtlijnen, eisen etc. Als een organisatie de zaken ten aanzien van deze drie hoofdaspecten op orde heeft, kunnen we stellen dat de interne beheersing op orde is, oftewel dat men ‘In Control’ is. Niet altijd is een vraag naar ondersteunende software direct te herleiden naar één van deze hoofdaspecten. Onderstaand geven wij u een overzicht van de meeste vraagstellingen die wij vernemen vanuit de markt om tot een aanschaf van ondersteunende tooling over te gaan: a) Onze organisatie moet voldoen aan een bepaalde norm of standaard zoals de ISO 27001, NEN7510, ISO 9001, PCI DSS. Wij constateren of denken dat wij de veelheid van implementatietaken, audits, uit te voeren risicoanalyses, risicoafwegingen, rapportages etc. niet kunnen uitvoeren zonder ondersteunende tooling. b) Wij hebben moeite de veelheid aan normen, richtlijnen etc. te beheersen, dit doen wij nu met Excel, maar dit is onbeheersbaar in verband met foutgevoeligheid en is arbeidsintensief etc. Onze accountant, toezichthouders en/of certificerende instellingen zorgen voor een grote druk om de compliance aan te tonen. c) Wij willen/moeten als organisatie streven naar interne beheersing. d) Wij hebben al de procesbesturing redelijk op orde, maar kunnen tactische beheersprocessen zoals privacy-‐ en informatiebeveiliging, business continuïty etc. niet in de bestaande tooling kwijt en zoeken aanvullende tooling. Door de raakvlakken met de aspecten Governance, Risk Management en/of Compliance in kaart te brengen vanuit deze vraagstellingen, wordt meer inzicht verkregen in de benodigde functionaliteit van ondersteunende software. Elk van deze vraagstellingen zullen wij één voor één trachten te adresseren naar deze aspecten in hoofdstuk 6.
Een pragmatische kijk op integraal Governance, Risicomanagement en Compliance met behulp van GRCcontrol Pagina 3 van 9
4.
GRC tooling ontwikkelingen
4.1.
Ontstaan van de behoefte en GRC software
In 2002 werd in de Verenigde Staten de Sarbanes-‐Oxley Act actief. Deze wetgeving had als doel een verscherpt toezicht op Corporate Governance. Het begrip Governance hebben we in de vorige paragraaf al toegelicht. Met Corporate Governance spreken we over de mate van besturing van een organisatie die goed, efficiënt en verantwoord geleid dient te worden alsmede het kunnen afleggen van verantwoording over het gevoerde beleid richting belanghebbenden waaronder de eigenaren, aandeelhouders, werknemers, afnemers en de samenleving als geheel. De Sarbanes-‐Oxley Act was een direct gevolg van het faillissement van het Amerikaanse Enron. Dit bedrijf ontdook de belasting, hield verliezen uit de boeken, financierde verkiezingscampagnes van presidentskandidaten, stond voor 20 miljard rood, waar managers voor miljoenen in hun zak stopten en waarvan de accountant een goedkeurende verklaring voor de jaarrekening had afgegeven, terwijl overduidelijk was dat een en ander niet klopte. Door dit falen van interne en externe controles wilde de VS via een wet deugdelijk ondernemingsbestuur afdwingen met name gericht op beursgenoteerde onderneming. Het aantonen van deze Corporate Governance, de interne beheersing, bleek echter een complexe zaak. Ondersteunende tooling bleek nodig om de wijze van uitvoering en naleving aan te tonen. Dit was het startpunt voor sommige organisaties om onder de noemer “GRC” software te ontwikkelen die ondersteuning gaf in het verzorgen van deze gewenste interne beheersing.
4.2.
GRC tooling en raakvlakken met de business vraag
In de afgelopen jaren zijn er diverse GRC pakketten op de markt beschikbaar gekomen. Wij zullen niet op deze pakketten ingaan, maar op de volgende uitgangspunten die belangrijk zijn voor het maken van een beoordeling in een selectie. Ten eerste het toepassen van de term GRC voor het aanduiden van software. Het veronderstelt dat een applicatie zowel de Governance (besturing) ondersteunt alsmede Risicomanagementprocessen en Compliance (naleving). Dit is in lang niet alle gevallen zo. Zo zijn er pakketten die vooral meer een Compliance insteek hebben en eigenlijk niets of zeer beperkte functionaliteit bieden voor Governance of Risicomanagement. Act* Plan* De meeste GRC pakketten hebben als doel de gehele organisatie te willen beheersen/besturen. De aanschaf van dergelijke pakketten is een zeer strategische beslissing en meestal voor enkele jaren. Dergelijke investeringen zijn meestal hoog en gaan gepaard met de inzet van de nodige interne en externe resources en hebben een hoge impact op de organisatie en additionele implementatiekosten. * * * * Check* Do* Organisaties die nog niet de gehele organisatie wensen te besturen door dergelijke software, kopen dan teveel functionaliteit of een te complex en te duur pakket. Corporate* governance*
Beleid*en* Strategie**
Sector* Richtlijnen*
Wet*en* regelgeving*
Informa(e* beveiliging*
Proces* besturing*
Kwaliteit*
Business* Con(nuity*
Milieu*
Privacy*
Organisa(e* richtlijnen*
Een pragmatische kijk op integraal Governance, Risicomanagement en Compliance met behulp van GRCcontrol Pagina 4 van 9
4.3.
Babylonische spraakverwarringen
De reikwijdte van GRC in een organisatie kan erg groot zijn, het kan vrijwel alles omvatten. Vanuit enkel een informatiebeveiligingsperspectief is deze reikwijdte al groot, omdat informatie door de gehele organisatie wordt verwerkt en gecommuniceerd. GRC gaat nog een stap verder. GRC behelst immers ook andere deelgebieden of managementprocessen zoals Business Continuïty Management, Kwaliteitsmanagement, Compliance management, Corporate Governance, Juridische aspecten etc. Elk van deze deelgebieden en betrokkenen kijken veelal anders aan tegen bepaalde terminologie of de uitvoering van deze zaken. Begrippen als Governance, control framework, controle raamwerk, audit raamwerk, compliance framework, controls, maatregelen, normen, risicoanalyses, standaarden, compliance etc. zijn voor velerlei uitleg vatbaar of worden met elkaar verward, of vanuit een culturele achtergrond anders ervaren en uitvoeren. Misvattingen op deze terreinen kunnen een implementatie negatief beïnvloeden, het is dus zaak hier goed bij stil te staan in het selectietraject.
4.4.
De insteek van de GRCcontrol software suite
De GRCcontrol software suite heeft niet als uitgangspunt om direct de gehele organisatie te kunnen of te willen beheersen. Wij nemen hierbij een uitgangspunt om dit op basis van ‘Plug & Play’ te kunnen realiseren. U bepaalt zelf de mate waarin en het tempo. Hierbij is de insteek dat de software alle taken en activiteiten beheerst voor het beheren van een managementsysteem, gebaseerd op normenkaders, wet-‐ en regelgeving en procesbesturing. Dit alles wordt ondergebracht onder één Plan-‐Do-‐Check-‐Act cyclus. Of dit nu informatiebeveiliging betreft, kwaliteit of toetsing op basis van een normenkader van een toezichthouder of van uw accountant.
Corporate* governance*
Beleid*en* Strategie**
Act*
Check*
Sector* Richtlijnen*
Do*
Proces* besturing*
Kwaliteit*
Business* Con(nuity*
Sector* Richtlijnen*
Beleid*en* Strategie**
Wet*en* regelgeving*
Plan*
Informa(e* * beveiliging* * * *
Corporate* governance*
Act* Informa(e* * beveiliging* *
Milieu* Privacy* Organisa(e* richtlijnen*
Check* Proces* besturing*
Plan*
Wet*en* regelgeving*
Kwaliteit* * * Do*Business*
Con(nuity*
Milieu* Privacy* Organisa(e* richtlijnen*
Door het bereik van het managementsysteem te vergroten door bijvoorbeeld een extra norm op te nemen in de PDCA-‐cyclus, wordt de interne beheersing, de Governance vergroot. Door deze ‘Plug & Play ‘ mogelijkheden kunt u geleidelijk, kosten efficiënt en met een lagere organisatorische impact toewerken naar steeds meer beheersing.
Een pragmatische kijk op integraal Governance, Risicomanagement en Compliance met behulp van GRCcontrol Pagina 5 van 9
Meer inzicht en controle
5.
GRCcontrol Compliance op basis van ’Map once, comply to many’
Een van de belangrijkste uitgangspunten van onze software is dat een control framework en compliance framework nagenoeg hetzelfde zijn. Via onze Compliance Mapper bieden wij de mogelijkheid een control framework en/of compliance framework volledig in te richten. Deze inrichting is gebaseerd op een mapping van controls (eisen) uit normen aan een maatregel uit een maatregelenset. Deze maatregelenset is de concrete vertaling van eisen of hoe de organisatie de dingen doet. Zo heeft elke organisatie zijn eigen invulling van een back-‐up richtlijn of procedures, of bijvoorbeeld een gedragscode. In de GRCcontrol suite kunt u zoveel normen(kaders) toevoegen als u maar wenst. Per norm kunt u de controls wel of niet ‘van toepassing’ verklaren en vervolgens kunt u een control koppelen aan één of meerdere concrete maatregelen uit de maatregelenset zodra u deze van toepassing heeft verklaard. Deze mapping doet u in principe eenmalig. Hierdoor heeft u automatisch de vertaling gemaakt van controls naar de concrete invulling van de organisatie door de koppeling van deze controls aan concrete maatregelen. Door dit ‘Map once, comply to many’ principe hoeven we onze aandacht alleen te richten op de maatregel. Hierdoor is compliance management een automatische afgeleide geworden van de implementatiestatus en effectiviteit van de maatregelen uit de maatregelenset. Audits op normen of normcontrols zijn hierdoor niet meer nodig. GRCcontrol!suite! NEN7510 HKZ* Organisa(e* 150!ctrl! 86!ctrl! * Maatregelenset* Onderdelen* * Control Control * 5.1.1 Maatregel * * Control Control Act* Plan* Maatregel 5.2.1 * Medewerkers* * Control Control Maatregel 6.1.1 Dashboards,! Handma?ge! * * opvolgtaken!&! selec?e!van! Control Control Rapportages:! maatregelen!of! Maatregel 7.1.1 * Processen* * Norm,!proces! o.b.v.!Risicoanalyse!! middel!of!incident! en!risicoafweging*! Control Control * !!Maatregel 7.2.2 !! * Middelen* GITC* Maatregel 7.3.1 WBP*’13* Interne!&!Externe! Maatregel! audits!op! !! * 19!ctrl! 31!ctrl! implementa?e!&! maatregelen!en! Maatregel 8.1.2 status! * * normen! !! !! * Incidenten* Control Control !!Maatregel 9.5.1 * * * * Control Control * Check* Do* Documenten* * Control Control * Module*!! Module*!! Modules!Ext.! IT!Risk! FMEA! Dashboards! Control Control * management! ! en!bibliotheek!
Een pragmatische kijk op integraal Governance, Risicomanagement en Compliance met behulp van GRCcontrol Pagina 6 van 9
5.1.
Businessvraag matching met functionaliteit
Om onze doelstelling aan te geven met onze GRCcontrol software suite kunnen we het beste de vraagstellingen uit hoofdstuk 3 als uitgangspunt nemen, afgezet tegen de aspecten Governance, Risk Management en Compliance. GRCcontrol Governance Risk Compliance Business vraag Onze organisatie moet voldoen aan een bepaalde norm of standaard zoals de ISO 27001, NEN7510, ISO 9001, PCI DSS. Wij constateren of denken dat wij de veelheid van implementatietaken, audits, uit te voeren risicoanalyses, risicoafwegingen, rapportages etc. niet kunnen uitvoeren zonder ondersteunende tooling. Wij hebben moeite de veelheid aan normen, richtlijnen etc. te beheersen, dit doen wij nu met Excel, maar dit is onbeheersbaar in verband met foutgevoeligheid en is arbeidsintensief etc. Onze accountant, toezichthouders en/of certificerende instellingen zorgen voor een grote druk om de compliance aan te tonen. Wij willen/moeten als organisatie streven naar interne beheersing. Wij hebben al de procesbesturing redelijk op orde, maar kunnen tactische beheersprocessen zoals privacy-‐ en informatiebeveiliging, business continuïty etc. niet in de bestaande tooling kwijt en zoeken aanvullende tooling.
(PDCA)
Management
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
5.2.
Implementatie-‐aspecten
Door de opzet van onze software verdienen de volgende zaken aandacht bij een implementatietraject. Bij de invoering wordt er veel tijd bespaard door de volgende zaken: • Het systeem is gebaseerd op de Plan-‐Do-‐Check-‐Act cyclus en sluit volledig aan op standaarden zoals de ISO 27001 norm, NEN7510, ISO 9001 etc. De software dwingt een structurele werkwijze af en ondersteunt optimaal de procesborging. • Beschikbaarheid van een veelheid aan normenkaders, standaarden en maatregelsets1. • Eenvoudiger compliance management om control frameworks en normenkaders in te richten op basis van de Map once, comply to many methodiek die maatregelen koppelt aan normcontrols, processen of middelen in plaats van het werken vanuit controls. Het werken vanuit Controls is veel arbeidsintensiever is en moeilijker te onderhouden. • De meegeleverde maatregelen zijn voorzien van ‘Best practices’ zoals BIV coderingen en mappings met ‘Middel typen’ en ‘Dreigingen’ die eveneens meegeleverd worden zoals bijvoorbeeld de MAPGOOD dreigingen. • De opzet, bestaan en werking van een managementsysteem is veel sneller aan te tonen, waardoor de doorlooptijden en benodigde resources verminderd worden. • Standaard aanwezige rapportage templates. • Voortgangsindicatoren door middel van dashboards. 1
Zie bijlage 'Overzicht normen en maatregelen’
Een pragmatische kijk op integraal Governance, Risicomanagement en Compliance met behulp van GRCcontrol Pagina 7 van 9
Uitsmering van kosten en organisatie impact
6.
Baten, lasten en risico’s
6.1.
Kwalitatieve voordelen
Uit de implementatie-‐aspecten uit paragraaf 6.6 zijn tevens de volgende voordelen af te leiden: • Unieke opzet gebaseerd op maatregelen uit één maatregelenset die gekoppeld worden aan één of meerdere controls uit meerdere normen (‘Map once, comply to many’). • Maatregelenset wordt vervolgens opgenomen in een Plan-‐Do-‐Check-‐Act cyclus waardoor er één efficiënt en effectief managementsysteem ontstaat voor Governance, Risicomanagement en Compliance over een veelvoud van normen. • Structurele opbouw en werkwijze gebaseerd op de Plan-‐Do-‐Check-‐Act cyclus, welke aansluit op de meeste Managementsystemen, normen en Governance behoeften. • De software dwingt een structurele werkwijze af en ondersteunt optimaal de procesborging. • Verkorte implementatieduur door beschikbaarheid van grote hoeveelheid uitgewerkte normen wet-‐ en regelgeving en maatregelensets. • Eenvoudiger compliance management om control frameworks en normenkaders in te richten op basis van de Map once, comply to many methodiek die maatregelen koppelt aan normcontrols, processen of middelen in plaats van het werken vanuit controls dat veel arbeidsintensiever is en moeilijker te onderhouden. • Geïntegreerde Compliance en Governance structuur vanuit één maatregelenset maakt geïntegreerde Auditing mogelijk. Andere voordelen zijn: • Nederlandstalig systeem, ook beschikbaar in het Engels. • Wordt geleverd door een kennispartij die niet alleen een softwarelicentie levert, maar aanvullende consultancy kan bieden en opleidingen. • Standaard pakketsamenstellingen beschikbaar, QAcontrol voor Kwaliteitsmanagement, ISMScontrol voor informatiebeveiliging en ERMcontrol voor Enterprise Riskmanagement. • Optionele modules leverbaar voor Extended Dashboarding, FMEA risicomanagement en een bibliotheekfunctie.
6.2.
Voordelen in de inzet van middelen
Het toepassen van de GRCcontrol suite zorgt voor een verminderende: • Inzet van interne resources door een structurele taakbesturing, waarbij de directe voordelen in tijd liggen door: o Geïntegreerde Risicomanagement module o Automatische workflow o Efficiënte taak gestuurde implementatie en controle/interne audittaken o Standaard rapportages (Verklaring van toepasselijkheid, managementreview, audit, proces, norm en maatregelenset) • Verlaging van externe auditkosten door het combineren van verschillende managementsystemen in één managementsysteem. Certificeringskosten zullen hierdoor bijvoorbeeld ook lager uitvallen omdat een geïntegreerde certificeringsaudit en controle audits hierdoor ook mogelijk worden.
Een pragmatische kijk op integraal Governance, Risicomanagement en Compliance met behulp van GRCcontrol Pagina 8 van 9
Via een Bottom-‐up benadering kan er eventueel ‘klein’ begonnen worden door het bereik van het managementsysteem te laten groeien door het telkens toevoegen van normenkaders en wet-‐ en regelgeving in het systeem (Plug en Play Governance). Door deze aanpak wordt het mogelijk in fases de interne beheersing uit te breiden waardoor een directe grote implementatie niet noodzakelijk is en ook licenties in een groeimodel afgenomen kunnen worden.
•
6.3.
Bijlage ‘Overzicht normen en maatregelensets’ Beschikbare normenkaders
• • • • • • • • • • • •
ISO 27001 ISO 20000 ISO 9001 ISO 14001 ISO 22301 WBP AV23 WBP (CBP RS 2013) PCI DSS COBIT 5.0 DNB-‐IT ICT beveiligingsrichtlijnen voor web applicaties Basis set ISAE 3402
• • • • • • • • • • • •
General IT controls ISAE 3402 NEN7510 HKZ NIAZ ZSP JCI BAG GBA SUWI RLB SUWI Audit PUN
Beschikbare maatregelensets ISO 27002 NEN7510 PCI DSS Geïntegreerde Maatregelenset (GMS), een samengestelde maatregelenset is, die afgeleid is van ISO 27002, ISO 9001 en ISO 14001.
• • • •
6.4.
Bijlage ‘GRCcontrol suite packages’
PDCAcontrol Basis pakket
QAcontrol Package
ISMScontrol Package
ERMcontrol Package
✓
✓
✓
✓
✚ IT Risicomanagement module
-‐
-‐
✓
✚ FMEA module
-‐
-‐
✓ -‐
✚ Extended Dashboard module
-‐
-‐
-‐
✚ Bibliotheek module Meegeleverde normen
-‐
-‐
-‐
✓ -‐
-‐
✓ISO 9001, HKZ of NIAZ ✓WBP RS2013
✓ISO 27001 of NEN7510 ✓WBP-‐RS2013
✓ISO 27001 of NEN7510 ✓WBP-‐RS2013
Meegeleverde maatregelenset
-‐
✓GMS
✓ISO 27002 of NEN7510 of GMS
✓ISO 27002 of NEN7510 of GMS
PDCA basis systeem
✓
Een pragmatische kijk op integraal Governance, Risicomanagement en Compliance met behulp van GRCcontrol Pagina 9 van 9
Over CompLions CompLions is gespecialiseerd in interne beheersing, privacy-‐ en informatiebeveiliging, business continuïty, kwaliteitsmanagement, risicomanagement en compliance. Wij ondersteunen onze klanten in bijvoorbeeld het inbedden van risicomanagementprocessen, het implementeren en het behalen van certificering voor normenkaders en wet-‐ en regelgeving zoals ISO 27001 en NEN7510 voor informatiebeveiliging, ISO 22301 voor business continuïty, ISAE 3402 voor Assurance, Wet Bescherming Persoonsgegevens etc. Dit doen wij middels consultancy diensten zoals het uitvoeren van bijvoorbeeld risicoanalyses, risicobewustwording programma’s, opstellen van beleid en richtlijnen alsmede het leveren van ondersteunende software zoals onze GRCcontrol suite. Tevens bieden wij ondersteuning aan uw operationele organisatie middels abonnementen en outsourcingsdiensten, zoals onze Security Officer as a Service dienst of ISMS Business Proces Outsourcing.
CompLions B.V. A Keulenstraat 8E 7418 ET Deventer P Postbus 2147 7420 AC Deventer T +31 570 -‐ 63 47 17 F +31 570 -‐ 63 41 58 E
[email protected] W www.CompLions.nl Een pragmatische kijk op integraal Governance, Risicomanagement en Compliance met behulp van GRCcontrol