Digitalisering van IT Governance Control Framework?

Regeldruk neemt toe!

De wereld is aan het digitaliseren ofwel zichzelf aan het automatiseren. Op basis van allerlei algoritmes zijn we in staat onze menselijke handelingen te vervangen door geautomatiseerde processen.

We zien tevens dat de regeldruk toeneemt en dat de kosten voor compliance als gevolg daarvan zullen stijgen, bij ING bijvoorbeeld tot 960 miljoen euro in 2016. De ervaring leert, dat compliancekosten veelal betrekking hebben op handmatig werk. Dit werk wordt vaak uitgevoerd door medewerkers van afdelingen Risk, Compliance en IT Audit, al dan niet ondersteund door een backoffice in lage lonen landen, zoals India. Een deel van dit werk is gericht op IT-risico’s, die hoeveelheid zal in de huidige digitale wereld steeds groter worden.

IT Governance gaat ook om risico beheersing

Het beheersen van de IT-risico’s valt onder IT Governance. IT Governance is de verantwoordelijkheid van IT-bestuurders, de CIO of de IT-directeur. Het gaat volgens de geleerden (Butler & Butler, 2010; ITGI, 2003; Posthumus & Von Solms, 2010; Valentine & Stewart, 2015) over de volgende 5 domeinen:

  • Strategic Alignment
  • Value Delivery
  • Risk Management
  • Resource Management
  • Performance Management

Het domein ‘Risk Management’ gaat over het beheersen van de IT-risico’s. Zoals gezegd, is dit vaak het domein van de afdelingen Risk, Compliance en IT Audit. Deze afdelingen staan naast de IT-afdeling en hebben hun eigen vragen voor de IT-afdeling, de antwoorden leggen zij in hun eigen frameworks vast (bijv. COBIT, ISO). Vaak spreekt de IT-afdeling de taal van de compliancewereld niet; er wordt uitgevoerd wat gevraagd wordt, zonder te kijken of dingen slimmer of anders kunnen.

Roep om een geïntegreerd framework

Beter zou zijn, dat de IT-afdeling het heft in eigen hand neemt en zich voorbereid op de diversiteit aan vragen van verschillende toezichthoudende en risicobeherende instanties, vragen die op verschillende momenten gesteld worden en inhoudelijk vaak overeenkomen. Dit kan door een eigen framework op te stellen waarin alle bekende risico’s beheerst worden. Dit framework moet natuurlijk aansluiten op de wensen van toezichthouders en risicobeheerders, maar kan na goedkeuring volledig door de IT-afdeling geïmplementeerd en beheerd worden. Als we dat doen dan zijn we eindelijk af van die tientallen ordners en talloze GB’s aan mail die we aan toezichthouders blijven sturen.

Automatisering van het control framework

Omdat IT’ers van het scripten van standaardtaken houden, zien wij, bij de overdracht van Risico Management, vervolgens gebeuren dat de werkzaamheden zullen worden geautomatiseerd. Of zoals dat tegenwoordig heet: gedigitaliseerd. Als dat gebeurt, besparen we tijd, wordt de controle beter en besparen we waarschijnlijk ook geld. Want hoe moeilijk zou het zijn? Als we voldoende normstellend en concreet zijn, kunnen we business rules definiëren, die zijn vervolgens eenvoudig te automatiseren. Een aantal voorbeelden:

  • Wijzigingen worden via een Change Management Proces uitgevoerd. Als de ‘change flow’ met verplichte velden in een Service Management Tool wordt ingericht, dan wordt het hele proces gegarandeerd ‘in control’ doorlopen. Als het daarnaast mogelijk is om bijvoorbeeld vanuit een goedgekeurde ‘change’ in de Service Management Tool direct in productie te gaan, dan zou de functiescheiding ook nog goed geregeld kunnen worden. Het fijne is dat dit al kan met bijvoorbeeld een tool als ServiceNow, die dit middels een API naar VMWare direct kan regelen.
  • Backup & Restore is een geautomatiseerde handeling sinds we af zijn van fysieke tapes en alles op schijven doen. Backup software geeft aan of de backup succesvol is geweest of niet. Een foutmelding kan eenvoudig een ‘incident’ worden in een Service Management Tool en kan na een ‘retry’ ook weer eenvoudig als ‘opgelost’ geclassificeerd worden. Het periodiek schedulen van een restore test lijkt in de nabije toekomst mogelijk.
  • Autorisatiebeheer is een proces dat we al jaren willen optimaliseren, wat nog steeds niet gelukt is. Vroeger aangeduid met RBAC, tegenwoordig gebruiken we termen als IAM. Ook hier is het technisch gezien niet moeilijk om te regelen, wanneer de business duidelijk aangeeft wie wat zou mogen. HR bijvoorbeeld kan dit vervolgens centraal vestleggen in een ‘single point of truth repository’. Het bouwen van interfaces tussen deze ‘repository’ en andere systemen kun je vervolgens overlaten aan IT’ers.

15 november gaan we verder

Binnen Bauhaus ArtITech voeren we projecten uit waarin het bovenstaande integrale framework binnen de IT-functie gerealiseerd wordt. Op 15 november zullen we tijdens een ‘Open Haard sessie’ verder ingaan op onze visie en werkwijze hieromtrent. Mocht je niet aanwezig kunnen zijn, dan praten we je natuurlijk graag bij op een ander moment.

 

Mark Butterhoff                                             Ed Lanen

Management Consultant                             Associate Partner

 

 

 

Leave a comment