Digitale bedrijfsvoering kan niet zonder IT Control Framework

16 januari 2017

Iedere organisatie die zijn bedrijfsvoering verder wil digitaliseren, zal ‘in control’ moeten zijn op het gebied van ICT. Niet in de laatste plaats omdat toezichthouders inzicht willen in de maatregelen die zijn genomen om uitval van ICT-systemen te voorkomen. Governance wordt door velen daarom gezien als een verplicht nummer, maar het is wel degelijk inspirerend te maken te maken door de koppeling te leggen naar het belang voor klanten en andere stakeholders.

Toezichthouders vragen in toenemende mate dat je kunt aantonen dat je bepaalde maatregelen hebt genomen. Daarbij nemen ze geen genoegen met een vinkje op een formulier, je moet glashard kunnen bewijzen wat je hebt gedaan, bijvoorbeeld door een volledig rapport van een gebruikersacceptatietest en door documentatie van de redundant uitgevoerde verbindingen en systemen. Deze toegenomen druk vanuit toezichthouders verklaart de populariteit van COBIT (Control Objectives for Information and Related Technology). Maar governance gaat verder dan dat. Ook de ISO-normen voor informatiebeveiliging, ITIL en eventuele branchespecifieke eisen maken onderdeel uit van een IT Control Framework.

IT Control Framework zorgt voor structuur

Een IT Control Framework is een structuur die alle interne controles van een organisatie structureert en categoriseert. Het is een objectieve manier om aan te tonen dat je alle maatregelen die je met elkaar hebt afgesproken ook daadwerkelijk hebt genomen. Een keur aan rapportages maken inzichtelijk of alle controle-activiteiten zijn uitgevoerd en of daarbij situaties zijn gevonden die kunnen leiden tot een risico. Het raamwerk geeft daarnaast inzicht in alle door de organisatie benoemde risico’s, identificeert events die kunnen leiden tot zo’n risico en geeft aan hoe moet worden gehandeld als zich zo’n event of risico voordoet.

De praktijk bij De Friesland

Arend-Jan Hekkelman, manager Informatievoorziening en ICT bij De Friesland Zorgverzekeraar, past zo’n IT Control Framework al enige tijd toe. Deze verzekeraar, die 62 procent van de Friese bevolking als klant heeft, maakt onderdeel uit van Achmea en gebruikt het door Achmea ontwikkelde raamwerk. Dit omvat maatregelen en procedures op het gebied van wijzigingsbeheer, gebruikersbeheer, security, redundantie van systemen, maandelijkse KPI-rapportages et cetera. Voor Hekkelman is het gebruik hiervan geen ‘moetje’, maar een manier om meer procesmatig te gaan werken en meer grip te krijgen op de ICT-omgeving. “Wij zijn al jaren bezig onze processen te digitaliseren. Aan de achterkant verloopt alles al bijna volledig digitaal, alleen richting klant gebruiken we vaak naast de website en diverse apps ook nog veel papier. De afhankelijkheid van ICT is dus erg groot. Daar zijn we ons al heel lang van bewust, en we namen in het verleden ook wel alle maatregelen die nodig waren om een hoge uptime van systemen te garanderen. We legden alleen niet vast dát we die maatregelen hadden genomen. We hadden bovendien geen gestandaardiseerde processen om te controleren of de maatregelen hun werk nog deden.”

Beter voorspelbaar en minder foutgevoelig

Toezichthouders vragen nu om hard bewijs dat bepaalde maatregelen zijn genomen, maar voor Hekkelman was ook de communicatie met het moederbedrijf, klanten en zorgverleners een belangrijke reden om de governance te verbeteren middels invoering van een IT Control Framework. “Je wilt met deze gestandaardiseerde werkwijze bereiken dat de ICT-omgeving beter voorspelbaar wordt en minder foutgevoelig. Als dat lukt, hoef je minder tijd te verspillen aan het blussen van brandjes en kun je je meer focussen op voorkomen dat er brand ontstaat. Waar het ons uiteindelijk om te doen is dat wij te allen tijde met onze klanten en leveranciers informatie kunnen blijven uitwisselen.”

Auditer een stap voor

Het streven is om 24×7 inzicht te krijgen in de ICT-omgeving. Dit inzicht wordt geleverd door de vele rapportages die uit het framework voortvloeien. De rapportages sluiten aan bij de controles die IT-auditors ook doen. De auditor is daarom nu een stuk sneller klaar. Bovendien staat De Friesland niet meer voor verrassingen na een audit, ze kunnen de uitkomst al voorspellen. De afdeling beheer werkt met een dashboard dat wordt gevoed door de controles in het framework. Hierdoor is op de werkvloer inzichtelijk hoe de systemen presteren. Omdat de meeste grotere risico’s vooraf worden gegaan door kleine events die nog geen storing veroorzaken, kunnen risico’s al worden afgedekt voordat een storing ontstaat. “Dat is een groot verschil met een paar jaar geleden”, zegt Hekkelman. “Toen hadden we de middelen niet om proactief te reageren, we liepen vaker achter de feiten aan.” Een ander voordeel is dat de afdeling beheer beter kan plannen aan welke werkzaamheden ze voorrang geven. “De risico’s die met een bepaalde taak samenhangen zijn namelijk direct voor iedereen inzichtelijk. We weten bijvoorbeeld of een kleine storing direct leidt tot grote gevolgen of dat er niet direct iets aan de hand is omdat een systeem redundant is uitgevoerd. We kunnen dus een betere afweging maken welke klus we het eerst moeten oppakken.”

Veel discipline nodig

Hekkelman ziet wel dat werken met een IT Control Framework veel discipline vereist. Dat past niet altijd even goed bij de cultuur van De Friesland. “Wij hebben een cultuur waarin iedereen zijn verantwoordelijkheid neemt. Een man een man, een woord een woord. Als iemand jou belooft ‘dat doe ik’, dan kun je er ook van op aan dat het gebeurt. Nu moeten we ineens gaan vastleggen dat we datgene wat we hebben beloofd ook hebben gedaan. En ook hoe we het hebben gedaan. Dat voelt niet fijn, alsof je niet te vertrouwen bent. Daar heeft iedereen aan moeten wennen. Maar uiteindelijk snapt iedereen wel waarom het belangrijk is zaken gestructureerd vast te leggen.” Aan organisaties die nog een IT Control Framework moeten opzetten, geeft hij als advies: “Denk na over je beleid en over de requirements die daar bij horen. Want daar begint het mee. Zie het opzetten van zo’n raamwerk als een manier om de kwaliteit van je dienstverlening te verbeteren en niet als verplicht nummer. Want daarvoor is het lastig om je personeel te enthousiasmeren. Als je het aanvliegt vanuit een betere service naar klanten en andere stakeholders, krijg je de handen een stuk makkelijker op elkaar.”

Zelf mee aan de slag?

Qhuba ervaart dat veel organisaties worstelen met de procesmatige aanpak die hoort bij de implementatie van een IT Control Framework en biedt daarom diverse diensten op dit gebied. Wouter Hasekamp erkent dat het opzetten van een framework tijd kost, maar ziet ook dat je die tijd snel terugverdient, zeker nu IT-omgevingen aan snelle veranderingen onderhevig zijn: “Dat vraagt dat je ook de IT-governance snel moet kunnen aanpassen, dat je de omgeving voortdurend monitort en niet eens per jaar een audit doet. Een IT Control Framework helpt daarbij.”

Neem voor meer informatie over dit onderwerp contact met ons op.