Auditing en Compliancy. What’s in it for me?

Cqure platformblog

Wat moet ik nou met compliancy en auditing, zult u zich wellicht afvragen. U moet er veel mee. En wel om een aantal heel diverse redenen. De belangrijkste is waarschijnlijk wel dat het goed staat. Het komt uw imago, of die van uw firma, ten goede. Volledig compliant zijn aan de WBP staat bijvoorbeeld erg goed. Of compliant zijn aan Solvency II. Dat de WBP een Nederlandse wet is waaraan dus iedereen binnen Nederland zou moeten voldoen, is een ander ding. Hele stapels andere wet- en regelgeving kunnen in principe allemaal afgevinkt worden. U voldoet aan de Belasting wetgeving, aan de regels van de Nederlandsche Bank, aan Europese regelgeving en ga zo maar door. De Nederlandse– of buitenlandse overheid verwacht dat gewoon van u. Als u zich daarvan al niet bewust was, dan nu wel. Maar… geen enkele reden om dat niet uit te buiten. Hang het vooral aan de grote klok, zet het op de website. Zeker in deze heftige economische tijden is iedere grammetje goodwill of een kleine verbetering van uw imago mooi meegenomen.

Is Patriot Act compliancy ook goed voor uw imago?

Er is wel een klein wolkje aan de lucht. Het is heel goed mogelijk dat uw organisatie compliant is “by default”. Er is op dat moment geen keuze. Bijvoorbeeld het geval bij de “Patriot Act”. Is Sarbanes Oxley nog een soort “gewone” regelgeving, de Patriot Act is échte wetgeving waar in de USA gevestigde bedrijven aan moeten voldoen inclusief hun elders gevestigde dochter ondernemingen. Als uw cloud leverancier dus dochter is van een in de USA gevestigde firma, geldt de Patriot Act ook voor hen. En omdat u van hun diensten gebruik maakt geldt het dus ook voor u. U bent dan ook compliant aan de Patriot Act. Big deal? Tja, de Patriot Act voorziet in het recht van de US-overheid om alle elektronische informatie te kunnen inzien. De uwe dus ook. Om die reden is er veel gedoe geweest rond de plannen om het EPD uit te besteden aan een dochter van een USA firma. De minister kan zich weliswaar niet voorstellen dat dit tot problemen leidt, maar de US-overheid kan zich ongetwijfeld het tegenovergestelde niet voorstellen. Dit is dus niet iets om op de website te zetten.

Compliant aan de bekende normen, is dat zaligmakend?

We hebben hiermee een aardig bruggetje gemaakt naar security, de CIA-aspecten rond uw informatie. Met die security houdt een aantal andere normen zich bezig. Ook daaraan kunt u compliant zijn. De lijst is eigenlijk eindeloos maar een paar noemen past in het kader van deze blog. De belangrijke normen voor security zijn de ISO 27000 (ISMS) en ISO 22301(BCM); voor de zogenaamde “governance” komen daar bij COBIT, en de ISAE 3402 (TPM’s). In het algemeen zijn de ISO normen gericht op de processen binnen de organisatie. Overigens is het helaas voor de sceptici allang niet meer zo dat je op de ISO-manier de fabriek van betonnen zwemvesten certificeert. ISO gaat tegenwoordig echt ergens over, je kunt er mee aankomen. Bijvoorbeeld veel datacenters en IT-dienstverleners streven nu ISO-27001 certificering na.
Reden: Klanten vragen er naar. Vooral de overheid doet dat nogal. Governance is een aspect dat sterk in opkomst is maar in feite gaat het net als bij ISO om de vraag: “Doen we de goede dingen en doen we die dingen ook goed?” én heel belangrijk: “Kunnen we dat ook laten zien?” De inhoud en kwaliteit van die antwoorden is bepalend.

Auditors zijn niet allemaal hetzelfde

Hoe gaat u de buitenwereld laten zien dat u het allemaal goed doet? Daarvoor is nu de audit(or).  Letterlijk is een auditor iemand die luistert. Uiteraard zijn er goed en minder goed luisterende auditors. Vaak overkomt een auditor ons. De Algemene Rekenkamer stuurt auditors naar de Ministeries; DEKRA of BSI stuurt een ISO-auditor naar een organisatie die wil certificeren. Naast kennis van de materie en uiteraard van de norm zou een auditor idealiter ook kennis van uw business moeten hebben. Wat mij betreft is het in ieder geval een “must” is dat een auditor ook als adviseur optreed. Hij is immers onderdeel van het mechanisme PDCA. Als hij zijn rol maar ten dele vervult stokt het mechanisme. Leuk om te zeggen dat iets niet deugt maar als u niet hoort wat u er aan kunt doen…… 

Uw organisatie beter laten functioneren is het doel

Als je er iets verder afstand van neemt, gaat dit dus  allemaal over de besturing van de bedrijfsprocessen in uw organisatie. Deming circle, PDCA, uiteindelijk gaat dit u, als u er goed mee omgaat, helpen om de bedrijfsprocessen van uw organisatie beter te laten functioneren. Dat is natuurlijk altijd goed. Juist dát is de toegevoegde waarde van “auditing en compliancy”! In het vervolg van deze blog-serie ga ik vanuit de praktijk van alledag putten om daar voorbeelden van te geven.

Vond u deze blog interessant, deel deze dan in uw netwerk.