De jungle van richtlijnen

Ieder bedrijf loopt bepaalde risico's in het
uitvoeren van de core business. In toenemende
mate wordt het bedrijfsleven gedwongen deze
risico's in kaart te brengen zodat belangen
van klanten en aandeelhouders worden beschermd.
Wie dit goed aanpakt is in staat uit compliance
nieuwe toegevoegde waarde te genereren.  Zo
bleek uit een Rondetafelgesprek, georganiseerd
door compliance leverancier Consul.

Compliance is onderwerp van vele gesprekken.
Sarbanes Oxley, IFSR en Basel II zijn inmiddels
algemeen bekende termen. Steeds meer van deze
discussies vinden plaats aan de bestuurstafel,
een plaats waar doorgaans slechts gedacht wordt
in termen van return on investment en harde
business cases. Compliance, het voldoen aan
wet- en regelgeving onder andere als het gaat
om het aanbrengen van transparantie in de
organisatie, wordt in veel gevallen gezien als
een noodzakelijk kwaad. Niet als een pakket
maatregelen en investeringen dat direct geld
oplevert. En dus is men in de bestuurskamer
niet gecharmeerd van investeringen in de
technologische infrastructuur die compliance
binnen hun onderneming moeten bevorderen. Maar
bang geworden van de verhalen uit de VS (Enron),
en ook dichter bij huis (Ahold), gaat menig
CIO of CEO overstag. ICT-leveranciers zijn er
snel bij om de gevaren, het weglekken van
cruciale bedrijfsinformatie enerzijds en de
dreiging van boetes en zelfs gevangenisstraffen
voor bestuurders anderzijds, bloot te leggen.
Bedrijven die tot voor kort bekend stonden als
leverancier van oplossingen voor systeembeveiliging,
ontpoppen zich nu als een aanbieder van compliance
toepassingen. Het is dan ook niet vreemd dat
vele onderzoeken tot de conclusie komen dat
compliance een van de belangrijkste drijfveren
voor investeringen in ICT. En dat komt de sector
in het geheel niet slecht uit.

Belangen beschermen

Het is echter de vraag of angst een goede
raadgever is. In Europees perspectief loopt
Nederland achteraan in het implementeren van
oplossingen voor compliance.  Dat zou erop
kunnen duiden dat Nederlandse managers zich
niet het hoofd op hol laten maken door
paniekverhalen over boetes en gevangenisstraffen,
die voornamelijk in de VS worden uitgedeeld.
Feit is wel dat Nederlandse organisaties zwakke
plekken vertonen in hun informatiehuishouding.
Consul, leverancier van bedrijfsbrede
IT-beveiligingssoftware en gespecialiseerd in
security audit en compliance oplossingen,
bekijkt het probleem compliance van een andere
kant. Het van oorsprong Delftse bedrijf stelt
dat oplossingen voor informatiebeveiliging en
compliance niet alleen de gaten dichten maar
ook toegevoegde waarde voor de organisatie
kunnen leveren. Om die benadering kracht bij
te zetten, organiseerde het bedrijf enkele
Rondetafelgesprekken, waarbij de hulp werd
ingeroepen van internationale experts, intern
en extern. Chris Verhoef, professor computer
sciences aan de VU en gepokt en gemazeld op
het gebied van software engineering, begint
zijn bijdrage met te stellen dat het niet vreemd
is dat de board room huiverig is voor
ICT-investeringen. Hij heeft onderzoek gedaan
naar de relatie tussen aandeelhouderswaarde en
ICT-investeringen.  Het blijkt dat de waarde
van aandelen daalt wanneer dat bedrijf gaat
investeren in IT.  Investeerders weten dat de
implementatie van ICT-oplossingen niet zelden
voor problemen zorgt en daar reageert men op
als een onderneming aankondigt te gaan investeren
in nieuwe ICT-middelen. De aandelen van ICI
Group daalden met 39 procent in een dag toen
bleek dat het supply chain management systeem
dienst weigerde. Van Heek-Tweka ging failliet
door toedoen van een mislukt IT-project dat de
supply chain in de war schopte. Investeringen
in compliance, benadrukt Verhoef, zijn er echter
om de belangen van de investeerders en de
belastingbetaler te beschermen.

Hergebruik

Verhoef ziet ook dat veel bedrijven compliance
als een last ervaren. Maar wie verder kijkt,
ziet vele mogelijkheden. Je verplicht je als
organisatie een technologische infrastructuur
in te richten die je in staat stelt allerlei
soorten informatie te verzamelen die waar nodig
aan de autoriteiten overhandigd dienen te
worden. Zo wordt inzicht gegeven in de complete
informatiehuishouding maar bovenal wordt antwoord
gegeven op de vraag wie binnen de onderneming
verantwoordelijk is voor welke processen,
handelingen en informatie. De verzamelde gegevens
kunnen echter van grote waarden zijn als zij
voor andere doeleinden worden hergebruikt.
Verhoef noemt er enkele:

 * Het maken van accurate en aannemelijk
   procesbeschrijvingen.

 * Het onderscheiden van belangrijke trends.

 * Het opstellen van realistische voorspellende
   modellen.

Daarmee kan ook het ICT-beheer meer en meer
worden gebaseerd op feiten.  Veel feiten komen
immers boven water doordat gebruikgemaakt wordt
van compliance toepassingen. Kortom, besluit
Verhoef, het is niet onaannemelijk dat een
onderneming die met een gedegen strategie en
beleid en goede infrastructurele ondersteuning
het probleem compliance aanpakt, betere resultaten
gaan leveren.

Dat is natuurlijk precies de boodschap die
Consul wil uitdragen. Het bedrijf levert met
Consul Insight een door analisten erkende
security audit & compliance oplossing. Deze
toepassing stelt bedrijven in staat te auditen,
rapporteren en activiteiten van gebruikers bij
te houden. Zo kan men aantonen dat men regelgeving
als Sarbanes Oxley en Basel II voldoet.
"Organisaties dreigen te verdwalen in een jungle
van bedrijfs- en wettelijke richtlijnen. Zij
moeten het gedrag van gebruikers en de activiteit
binnen het systeem onderzoeken om te kunnen
vaststellen wie toegang heeft gehad tot welke
data en of deze activiteiten in strijd waren
met het bedrijfsbeleid", zegt Kristin Lovejoy
tijdens het rondetafelgesprek. Zij is CTO van
Consul. Insight is onder andere geschikt voor
compliance vanwege de zogenaamde W7 methodologie:
wie, deed wat, wanneer, waar, van waar, naar
waar en waarop. Hiermee is het mogelijk grote
hoeveelheden gebruikers- en systeemactiviteit
te consolideren, normaliseren en analyseren.
Daarbij genereert het systeem direct waarschuwingen
en rapportages over wie toegang heeft verkregen
tot welke informatie en op welke wijze deze
activiteit in strijd is met externe regelgeving
of interne veiligheidsvoorschriften. Overigens
kan het systeem zo geconfigureerd worden dat
alleen de data die aanleiding geven tot twijfel
worden geanalyseerd. Als voorbeeld noemt Lovejoy
Sara Lee, gebruiker van Insight.  Dat bedrijf
genereert dagelijks 130 GB aan logs; 90 procent
daarvan is ruis, daar wil je van af blijven.
Het gaat erom de overige 10 procent te monitoren.

Compliance valt onder de brede paraplu van
risicobeheersing (operational risk management
- ORM). ORM is volgens Lovejoy de optimalisering
van bedrijfsresultaten door de effecten van
nadelige operationele verliezen op zakelijke
activiteiten en op assets te duiden en te
begrijpen zodat wij ons ertegen kunnen verzekeren.
ORM wordt volgens Lovejoy doorgaans in verband
gebracht met verliezen die veroorzaakt worden
door gebreken in processen en procedures, door
een slechte IT-performance, door externe factoren
of door moedwillige acties van (oud-) medewerkers
om intern beleid te schenden. Door deze pijnpunten
in kaart te brengen, zo legt Lovejoy uit, kun
je risico's identificeren, kwantificeren en
analyseren. Aan de hand van deze opsomming is
een onderneming in staat risico's te beperken
en resultaten te verbeteren. Onder maatregelen
om de risico's te beperken verstaat zij het
verbeteren van financiele rapportage, het
aanbrengen van interne controle en het (beter)
beschrijven van processen en procedures. Terug
naar compliance: dat is volgens Lovejoy "de
implementatie van het minimale om aan de
(wettelijke) vereisten te voldoen".

Vertaald naar Basel II betekent compliance
ontzettend veel voor de financiele sector.
Banken dienen naar mate zij minder voldoen aan
wet- en regelgeving meer geld opzij te zetten
om klanten die schade lijden door nalatigheid
op het gebied van ORM door de bank tegemoet te
komen. Dat kan oplopen tot 18 procent van de
omzet van de bank; een enorm bedrag. De deadline
die in de Basel akkoorden overeen is gekomen
is 1 januari 2008.

De wet Sarbanes Oxley hangt inmiddels als een
zwaard van Damocles boven het Amerikaanse
bedrijfsleven. Lovejoy rekent voor dat het
overtreden van deze wet in de orde van grootte
van second degree murder en ontvoering moet
worden geschaald. Het voordeel van het Europese
Basel II model is dat goed gedrag wordt beloond
in plaats van dat slecht beleid (fors) wordt
bestraft. Ze besluit haar bijdrage met de
constatering dat het antwoord van ICT-leveranciers
op ORM zeer gefragmenteerd is.  "Oplossingen
voor de (her)inrichting van de infrastructuur
moeten binnen deze verwarring worden gezocht."
Maar stil blijven zitten en afwachten tot de
storm weer overwaait kan niet meer en getuigt
bovendien van naiviteit.

Teun Putter