Regels, regels, regels… Het worden er eerder meer dan minder. Qua efficiency en kwalitatief onderscheid weten sommige organisaties ervan te profiteren. Maar door de overheid opgelegde wet- en regelgeving, en zelfs maatschappelijke standaarden absorberen een enorme hoeveelheid resources. Het invulling geven aan ‘compliancy en security’ heeft niet zelden z’n weerslag op het ondernemingstempo. Eén ding is zeker: het kan allemaal een stuk gemakkelijker, beter, sneller en goedkoper.
Het kost bedrijven en instellingen met duizend medewerkers of meer jaarlijks gemiddeld ruim 2,5 miljoen euro om aan alle regels en rapportageverplichtingen te voldoen, blijkt uit internationale benchmarkstudies. De kosten voor non-compliance bedragen overigens meer dan het dubbele (gemiddeld 6,9 miljoen euro per organisatie per jaar), met als belangrijkste drijvers: verstoring van de bedrijfsvoering, productiviteitsverliezen, omzetverliezen, boetes en schadeclaims.
Compliancemaatregelen zijn noodzakelijk, maar tegelijk zit geen medewerker er op te wachten. Het moeten voldoen aan allerlei regels en voorschriften – inclusief het ophoesten van gedetailleerde rapportages en het afleggen van verantwoording – maakt processen meestal alleen maar ingewikkelder. En omdat het uitvoeren van processen steeds meer een samenspel is van mensen en andere productiemiddelen, leidt toenemende complexiteit doorgaans tot een grotere kans op fouten.
Veel fouten
Bij het handmatig uitvoeren van zoekopdrachten (met pen en papier) ligt het gemiddelde foutpercentage tussen de 25 en 27 procent. Ongetwijfeld schuilt hierin één van de vele redenen dat het gebruik van computers zo populair is geworden. Zelfs ervaren computergebruikers maken echter relatief veel fouten. Gemiddeld één op de tien toetsaanslagen is foutief. Het corrigeren ervan neemt gemiddeld iets minder dan 4 procent van de totale correctietijd in beslag. Nog geen man overboord, zou je zeggen. Maar bij het in een programma ingeven van opdrachten gaat het in ongeveer één op de drie gevallen fout (een foutpercentage van gemiddeld 30 procent).
Wetenschappelijke data bevestigen wat iedereen al weet: het automatiseren van processen zorgt voor een forse reductie van de foutkans. Dit pleit sterk voor het automatiseren van hoogcomplexe processen die uitstekend kunnen worden geautomatiseerd, zoals beveiliging of it-beheer. Op het moment dat je een geautomatiseerd proces hebt ingericht, wordt bovendien iedere fout ook nog eens traceerbaar. Ingewikkelde reconstructies op basis van wat menselijke operators zich kunnen herinneren en onnodige herhalingen van zetten, behoren daarmee tot het verleden.
Beveiliging
Bijvoorbeeld beveiliging (security) van systemen speelt bij compliance vaak een belangrijke rol, met name bij financiële instellingen. Natuurlijk zijn er al veel oplossingen beschikbaar die systemen moeten beschermen tegen inbraken (onder andere middels phising) en aanvallen van buitenaf. De Fort Knox-achtige omgeving die systeembeheerders creëren, maakt vaak gebruik van geavanceerde monitoring appliances die doorlopend security dectecties verrichten. Deze tools kunnen tot wel duizenden events per minuut genereren. Daar moet je als beheerder wel wat mee doen. En hoe zeker ben je er dan van dat je steeds ‘compliant' bent?
Gelukkig helpt nieuwe technologie ons uit de brand. Met behulp van expertsystemen kunnen we tegenwoordig zelfs de meest complexe processen in it-beheer optimaal inregelen of zelfs autonoom laten uitvoeren. Omdat iedere gebeurtenis en iedere handeling in zo'n systeem wordt vastgelegd, is te allen tijde tot op de grootst mogelijke diepte en in detail te traceren hoe een proces precies gelopen is. Dit maakt het mogelijk om zelfs aan de meest complexe kwaliteitsstandaarden te voldoen en daarmee compliancy te borgen.
Minder risico’s
Aantonen dat je ‘in control' bent en voldoet aan alle mogelijke compliancy regels, wordt een stuk eenvoudiger wanneer je gebruik maakt van een op expertsystemen gebaseerd platform voor de executie en orkestratie van complexe it-processen. Processen zijn door industrialisatie en ‘intelligente' automatisering daarmee maximaal voorspelbaar en transparant tot in het kleinste detail. Realtime controle is daarmee binnen handbereik. Ook verslaglegging om aan te tonen dat je compliant bent, kun je daarmee steeds tijdig en volledig opleveren. Je kunt tenminste het proces voor de totstandkoming daarvan geautomatiseerd laten bewaken door autonomics. Het risico op boetes, of bijvoorbeeld het schorsen van vergunningen vanwege twijfels over compliancy kan hierdoor grotendeels worden geëlimineerd. Maar het belangrijkste is misschien nog wel dat het continu monitoren van processen een schat aan informatie oplevert die het mogelijk maakt om pro-actief te reageren en verstoringen van de business te voorkomen.
Compliance, het wordt een steeds complexer verhaal en het kost een hoop geld. Gelukkig ontdekken steeds meer it-afdelingen hoe het makkelijker, beter, sneller en goedkoper kan.
Jeroen de Haas, Business Development Director IPsoft
Leuk verhaal maar zolang gebruikers nog geen USB aansluiting hebben voor de rapportage van dagelijkse werkzaamheden en activiteiten blijft er een ‘gap’ in de compliance. En zoals al aangehaald zijn regels niet altijd leuk en worden deze daarom naar ‘de hand gezet’ waardoor het spelletje weer opnieuw begint. Want waarom waren er ook alweer zoveel regels?
Regels worden ons tenslotte opgelegd en zijn daarmee een extrensieke discipline waaraan we geacht worden ons te houden. Zo hebben we boekhoudregels, wetten en normen om in controle te blijven, anarchie te voorkomen. We zouden een stuk minder regels nodig hebben als er dus meer intrensieke discipline was en iedereen gevoelsmatig weet wat wel of niet gepast is. Maar zoals de waard….
Compliance is tenslotte een stuk complexer geworden door SOX, code Tabaksblatt en andere maatregelen die actief werden na schandalen. Hoe zat het ook alweer met de put en het kalff?
Compliancy en security worden vaak met elkaar verward maar hebben in de praktijk niet veel met elkaar te maken. Ze zijn niet equivalent noch impliceren zij elkaar.
Voor elk probleem een oplossing en voor elke oplossing een probleem. Een expertsysteem dat de compliance in de gaten houd moet worden gevoed met informatie en waar haal je die informatie vandaan? Hoe weet je welke regels per informatie item van toepassing zijn? En hoe weet je dan welke afwijking kritisch zijn, het is utopia.
Regels moet je in eerste instantie zoveel mogelijk afdwingen in systemen, zonder gebruiksvriendelijkheid aan te tasten, wat er overblijft kan je beleggen in de die systemen die ertoe doen en dat zal maar een klein deel van de totale systemen zijn.
Boekhoudregels e.d. zijn toch ook allemaal vastgesteld in boekhoudprogramma’s, dus waarom daar niet beginnen?
@Willem
Waarschijnlijk moet je voor de antwoorden op jouw vragen bij IPSoft zijn …
Helaas is de computable van een vakblad af aan het glijden naar een verkapt commercieel krantje, waarin bedrijven zogenaamde opinies en expertises ventileren teneinde hun eigen producten aan de man te brengen
@paveke
Ik vermoed dat ook Computable regels voor ‘compliance’ heeft. We leven nu eenmaal in een wereld van zesjes, de omgedraaide negens;-)
@Ewout : dit levert je gegarandeerd een 6je (3 sterren op) vrees ik :p
(de rest van mijn cynisme zal ik maar even laten voor wat het is)
Topic Hijacking 🙂 met willekeurige sterren!
@PaVaKe, die laatste vier sterren is voor je zin tussen haakjes denk ik; als je je mond houdt krijg je sterren! Je kunt niet voor alle reacties een 8 krijgen, dus komt er een gemiddelde en dat is best okee. Die gemiddelde kunnen ze niet in sterren uitdrukken want dan heeft iedereen drie sterren.
Back on-topic: Compliance… als bank kom je er niet onderuit, maar ik denk wel eens; wat kost het en wat levert het op? Diginotar moest de hoofdprijs betalen, maar veel bedrijven komen er prima mee weg door stiekem niet compliant te zijn. Het checken is duur en vergt ook discipline, ook als klant zijnde! Compliance is één van de redenen waarom arbeid elders zoveel goedkoper kan zijn. Compliance is ook vaak een vals gevoel van veiligheid en daarmee doorkruis ik meteen de stelling van Kees. Ze hebben dan wel degelijk met elkaar te maken 🙂 Alleen anders dan bedoeld.
Dan zal ik ook even terug on topic komen:
Compliance is een zeer breed vakgebied. Helaas is lang niet alle compliance te checken middels tooling.
Ergo, is sommige sectoren kun je dan misschien wel tools inzetten om je te helpen bij het aantonen van je compliance, maar deze tooling zal dan ook gevalideerd moeten worden om aan te tonen dat deze inderdaad doet wat je denkt dat ‘ie doet.
De grootste uitdaging aan compliance is niet het verzamelen van data, maar het interpreteren van deze data, het interpreteren van de compliance-regels en vervolgens de juiste conclusies trekken.
@Henry
@Pavake
gewoon voor de inhoud gaan en laat dat sterrenstreven maar, net als een meteorietenregen lijkt dat veel op momentane sterren is dat ook willekeurig met maar tijdelijke roem……..
Excuses, maar er staan in deze opinie meerdere meningen waar ik me niet in kan vinden of het niet mee eens ben.
Processen kunnen automatiseerd worden inderdaad. Beveiliging en IT Beheer lenen zich hier echter helemaal niet goed voor. Bij beveiliging wordt er gecontroleerd op alle bekende aanvallen,virussen en malware.
De geautomatiseerde systemen zien de nieuwe aanval niet en het compliance rapportage komt vrolijk met reeks groene berichten.
En IT Beheer geautomatiseerd, daar weet ik niet wat ik me moet voor stellen, robots komen de werkplek indelen?
Ook, en ik quote:
“Ingewikkelde reconstructies op basis van wat menselijke operators zich kunnen herinneren en onnodige herhalingen van zetten, behoren daarmee tot het verleden.”
Log bestanden houden gewoon precies bij wat er gebeurd is. Bij al mijn eerste werkgever konden we precies traceren wie wat gedaan had en waarom het fout was gegaan. Een goed systeem logt ook gewoon precies wat er aan de hand is en gaat niet vreemde foutcodes naar gebruikers toespugen.
Daarnaast heb ik ervaren dat sommige organisaties gewoon om de compliance regelingen heen werken.
Tuurlijk is het wel zo dat apparatuur en appliances de taken van een systeem/netwerkbeheerder een stuk makkelijker kan maken, maar hier wordt een veelst te rooskleurige utopische oplossing afgeschilderd.