In onze dagelijkse praktijk hebben we gemerkt dat bedrijven vaak op meerdere systemen werken om aan bepaalde nalevingsnormen te voldoen. Denk bijvoorbeeld aan het invoeren van een nieuwe medewerker in een HR-systeem.
Vaak begint het met één HR-systeem, waarna de HR-persoon een andere collega per e-mail vraagt om een ticket aan te maken. Daarna vraagt een andere persoon toegang tot bepaalde bedrijfsapplicaties in het IT-ticketsysteem. En veel zaken worden nog steeds bijgehouden in Excel of andere werkdocumenten.
Foutgevoelige situatie resulterend in corrigerende maatregelen
Deze situatie is foutgevoelig omdat processen meerdere systemen omvatten waarbij meerdere mensen betrokken zijn. De kans dat iemand iets vergeet is groter, waardoor het resultaat niet altijd is wat het zou moeten zijn.
Als gevolg hiervan zijn er vervolgherstelwerkzaamheden nodig en wordt de organisatie opgeschrikt door dingen die niet werken. Bij het invoeren van een nieuwe medewerker kan dit worden overzien. Maar als het gaat om informatiebeveiliging en het risico op incidenten, is het een ander verhaal.
De ideale wereld: automatische triggers en to-do's
In een ideale wereld begint elk proces op een bepaalde afgebakende plek. Bijvoorbeeld die nieuwe werknemer of leverancier die de organisatie binnenkomt. Vervolgens worden alle opeenvolgende stappen automatisch van het ene systeem naar het andere geleid.
Elke keer dat een werknemer iets moet doen, wordt hij of zij getriggerd door een bepaald systeem dat hij of zij al gebruikt. Bijvoorbeeld met een MS Teams Notification. In de ideale wereld wordt het resultaat daar ook vastgelegd. En als iemand iets vergeet, wordt er een trigger gecreëerd voor die persoon.
Wat zijn de voordelen van compliance-automatisering voor organisaties?
Wanneer organisaties hun processen op deze manier automatiseren, besparen ze tijd. Medewerkers besteden minder tijd aan heen en weer e-mailen en dingen controleren. In plaats daarvan is er een soepele flow, waarbij de juiste persoon wordt gevraagd om op het juiste moment deel te nemen aan het proces. Als gevolg hiervan zult u een stijging in de kwaliteit van het proces merken.
Als er bijvoorbeeld een nieuwe werknemer bij het bedrijf komt, zult u merken dat dit proces sneller wordt voltooid als het geautomatiseerd is. Alle rechten zijn op een effectieve manier correct ingesteld. Op deze manier kunnen werknemers zich concentreren op wat belangrijk is, namelijk toegang krijgen tot de juiste middelen. En dit alles wordt vastgelegd op een plek waar je een goed overzicht hebt van het resultaat.
Dit is wat we noemen automatisering van compliance.
Typische uitdagingen bij compliance-automatisering
Wanneer uw organisatie begint met compliance-automatisering, moet u een overzicht hebben van de processen die u wilt automatiseren. Het vergt wat werk om dat goed in kaart te brengen.
Het helpt om een systeem te hebben dat de resultaten van al die geautomatiseerde processen bijhoudt. Bijvoorbeeld als u wilt voldoen aan een norm voor informatiebeveiliging. Je hebt ook te maken met een auditor die eens per jaar langskomt om te beoordelen of alles goed gaat. En natuurlijk wil je zelf het overzicht hebben.
Je zult ook moeten uitzoeken hoe je alle systemen waarmee je werkt kunt koppelen en hoe je een soepele flow kunt creëren. Dat betekent ook dat je de interne of externe capaciteit moet hebben om die processen goed te automatiseren.
Kortom, het is erg belangrijk om één systeem te hebben dat koppelt aan al je andere systemen en geautomatiseerde processen.
Hoe blijf je op de hoogte van de standaard?
Het is natuurlijk één ding om een standaard te implementeren. Dan heb je een proces van misschien drie maanden tot een jaar, waarin je bezig bent met het vormgeven van het beleid en het implementeren van alle eisen die de norm aan je stelt.
Het echte werk komt daarna, want tegen die tijd moet je het bijhouden. Je hebt beleid gemaakt, maar hoe weet je dat het beleid wordt geïmplementeerd?
Je moet dus een systeem hebben waarin je alle acties kunt vastleggen, inclusief repetitieve handelingen. En waarbij je ervoor zorgt dat die acties ook bij de juiste medewerkers terechtkomen op een plek waar ze al werken. Zodat ze niet hoeven in te loggen op het zoveelste systeem waarvan ze het wachtwoord kwijtraken. Bijvoorbeeld wanneer taken in hun Microsoft Outlook terechtkomen, zodat ze die snel en gemakkelijk kunnen afhandelen.
Zo maak je het makkelijker om op de hoogte te blijven van alles wat deze standaard van je organisatie en medewerkers vereist.
Hoe meet u het succes van initiatieven voor compliance-automatisering?
U kunt het succes van compliance-automatisering meten door te beoordelen hoeveel tijd een werknemer bespaart met het geautomatiseerde proces. Voordat u begint met compliance-automatisering, moet u in kaart brengen hoeveel FTE's er bij het proces betrokken zijn. En daarna controleer je: hoeveel extra tijd hebben medewerkers nu het proces geautomatiseerd is en niet meer handmatig wordt uitgevoerd?
Of beoordeel de doorlooptijd van bepaalde processen. Bijvoorbeeld die nieuwe werknemer die bij het bedrijf komt. Hoe lang duurt dat hele proces nu, van het invoeren van persoonsgegevens tot het hebben van de Verklaring Omtrent het Gedrag (VOG) in en toegang hebben tot bepaalde bedrijfssystemen? Na het automatiseren van het proces kun je zien hoeveel korter de doorlooptijd is geworden.
Een derde maatstaf of Key Performance Indicator (KPI) is de kwaliteit van het proces of het foutenpercentage. Hoe vaak ging het mis in het verleden en hoe vaak was een corrigerende actie nodig? Of zijn er dingen vergeten die nodig waren voor dat specifieke proces?
Meet je succes ook aan de hand van doelen, bijvoorbeeld op het gebied van informatiebeveiliging. Zie het verminderen van het aantal incidenten als een KPI.
Overzicht en voorbeelddocumentatie
IsoPlanner werd in eerste instantie opgezet als een applicatie om een goed overzicht te houden van al het beleid en de taken die betrokken zijn bij het handhaven van een ISO-norm. Na verschillende succesvolle implementaties merkten we echter dat onze klanten ook documentatie nodig hadden voor de specifieke ISO-norm. Bijvoorbeeld als ze beginnen met de ISO 27001-norm.
Hiervoor zijn we een partnerschap aangegaan met Instant 27001, waardoor onze klanten dat volledige documentatiepakket binnen IsoPlanner kunnen activeren. Dit geeft hen in één keer een gevuld beheersysteem, inclusief al het beleid en de processen die ze nodig hebben. Dit bespaart hen ook veel tijd.
Casestudie: gemeente en de BIO-standaard
Een voorbeeld van deze samenwerking was voor een gemeente in Noord-Holland die wilde voldoen aan de BIO-standaard, een informatiebeveiligingsnorm specifiek voor overheden.
Door met IsoPlanner en Instant 27001 te werken, kregen ze toegang tot veel sjablonen voor BIO-beleid en -processen. Ze hoefden deze niet langer zelf te maken. De sjablonen werden in het IsoPlanner-systeem geladen en op basis van de documentatie konden ze heel snel beginnen met de implementatie van de nalevingsnormen. Ze kregen ook een heel goed overzicht van alle vereiste activiteiten en de status van de implementatie. Kortom, dit overzicht en deze documentatie hebben hen veel werk bespaard en ze efficiënter gemaakt.
