De praktijk van compliance automation: uitdagingen, tips en KPI’s

november 29, 2023

security island

In de praktijk zien wij dat bedrijven vaak over meerdere systemen heen werken om te voldoen aan bepaalde compliance normen. Denk bijvoorbeeld aan het invoeren van een nieuwe medewerker in een HR-systeem.

Vaak begint het bij één HR-systeem, waarna de HR-medewerker per e-mail een andere collega vraagt een ticket aan te maken. Waarna die ander in het IT-ticketsysteem toegang aanvraagt voor bepaalde bedrijfsapplicaties. En veel zaken worden nog in Excel of andere werkdocumenten bijgehouden.

Foutgevoelig met herstelwerkzaamheden tot gevolg

Deze praktijksituatie is foutgevoelig, omdat processen over meerdere systemen gaan waarbij meerdere personen betrokken zijn. De kans dat iemand iets vergeet is groter, waardoor het resultaat niet altijd is wat het moet zijn.

Hierdoor is achteraf herstelwerk nodig en wordt de organisatie opgeschrikt door zaken die niet werken. Bij de invoer van een nieuwe medewerker is dat nog niet zo erg, maar als het gaat om informatiebeveiliging en kans op incidenten, is het al een heel ander verhaal.

De ideale wereld: automatische triggers en to-do’s

In een ideale wereld begint elk proces op een bepaalde vastgestelde plek. Bijvoorbeeld, die nieuwe medewerker of leverancier die de organisatie binnenkomt. Vervolgens lopen alle opeenvolgende stappen automatisch van het ene systeem naar het andere. 

Waarbij telkens als een medewerker iets moet doen, hij of zij getriggerd wordt op de plek waar hij al werkt. Bijvoorbeeld met een MS Teams notificatie. In de ideale wereld wordt het resultaat ook daar vastgelegd. En als iemand iets vergeet, wordt er een trigger gemaakt voor die persoon.

Wat levert compliance automation organisaties op?

Als organisaties zo hun processen automatiseren, besparen ze heel veel tijd. Medewerkers zijn een stuk minder tijd kwijt met heen-en-weer mailen en het controleren van dingen. In plaats daarvan is er een soepele flow, waarbij telkens de juiste persoon op het juiste moment wordt gevraagd om mee te werken aan het proces. Daardoor zie je ook dat de kwaliteit een stuk hoger is.

Bij hetzelfde voorbeeld van die nieuwe medewerker die in dienst komt, zien we dat dit proces snel is afgerond. En dat alle rechten op de juiste manier zijn ingericht op een effectieve manier. Zonder dat men dingen vergeet. Zodat medewerkers zich bezig kunnen houden met dat wat echt belangrijk is, namelijk toegang krijgen tot de juiste middelen. En dit alles vastgelegd op een plek waar je goed overzicht hebt over het resultaat.

Dit noemen we compliance automation.

Typische uitdagingen bij compliance automation

Waar organisaties mee te maken krijgen als ze van start gaan met compliance automation, is dat je natuurlijk wel een overzicht moet hebben van de processen die je wilt automatiseren. Het vraagt wat werk om dat goed in kaart te brengen. 

Wat helpt is om een systeem te hebben dat overzicht houdt over het resultaat van al die geautomatiseerde processen. Wil je bijvoorbeeld voldoen aan een norm voor informatiebeveiliging, dan heb je ook te maken met een auditor die één keer per jaar langskomt om te beoordelen of het allemaal goed gaat. En zelf wil je natuurlijk ook overzicht hebben.

En vervolgens moet je natuurlijk ook bekijken hoe je al die systemen waar je mee werkt kunt koppelen met elkaar en hoe je daar een soepele flow in maakt. Dat betekent ook dat je de in- of externe capaciteit moet hebben om die processen goed geautomatiseerd in te regelen.

Kortom, het is heel belangrijk om één systeem te hebben dat koppelt met al je andere systemen en geautomatiseerde processen.

Hoe zorg je ervoor dat je up-to-date blijft met de norm?

Het is natuurlijk één ding om een norm te implementeren. Dan heb je een traject van misschien drie maanden tot een jaar, waarbij je druk bezig bent met het vormgeven van het beleid en het implementeren van alle eisen die de norm aan je stelt.

Eigenlijk komt het echte werk daarna pas, want daarna moet je het bijhouden. Je hebt beleid opgesteld, maar hoe weet je nu dat het beleid ook daadwerkelijk wordt uitgevoerd?

Dus het is heel belangrijk dat je een systeem hebt waarbij je alle acties, ook de herhalende acties, kwijt kunt. En waarbij je ervoor zorgt dat die acties ook terechtkomen bij de juiste medewerkers op een plek waar ze al werken. Zodat ze niet hoeven in te loggen op weer een ander systeem waarvan ze het wachtwoord kwijtraken. Maar dat bijvoorbeeld in hun Microsoft Outlook taken terechtkomt zodat ze die op een snelle en handige manier kunnen afhandelen.

Op die manier zorg je dat je eenvoudiger up-to-date blijft met alles wat die norm van jouw organisatie en medewerkers vraagt.

Hoe meet je het succes van compliance automation initiatieven?

Je kunt het succes van compliance automation meten door te beoordelen hoeveel tijd een medewerker met het geautomatiseerde proces bespaart. Voordat je start met compliance automation breng je in kaart hoeveel fte bezig is met het proces. En achteraf check je: hoeveel extra tijd hebben medewerkers nu het proces automatisch en niet meer handmatig verloopt?

Of beoordeel de doorlooptijd van bepaalde processen. Bijvoorbeeld weer die nieuwe medewerker die in dienst komt. Hoe lang duurt dat hele proces nu, van het invoeren van persoonlijke gegevens tot het binnen hebben van de Verklaring Omtrent het Gedrag (VOG) en het hebben van toegang tot bepaalde bedrijfssystemen? Na de automatisering van het proces zie je hoeveel korter de doorlooptijd is geworden.  

Een derde graadmeter of Key Performance Indicator (KPI) is de kwaliteit van het proces of het foutpercentage. Hoe vaak gingen dingen in het verleden mis en hoe vaak was een herstelmaatregel nodig? Of werden dingen vergeten die eigenlijk wel nodig waren voor dat ene proces?

Meet je succes ook aan de hand van doelstellingen, bijvoorbeeld op het gebied van informatiebeveiliging. Denk dan aan het terugbrengen van het aantal incidenten als KPI.

Overzicht én voorbeelddocumentatie

ISOPlanner is in eerste instantie opgezet als applicatie om goed overzicht te houden over al het beleid en alle taken die er spelen rond het bijhouden van een ISO norm. Toch merkten we na een aantal succesvolle implementaties dat onze klanten ook behoefte hadden aan documentatie rondom een ISO norm. Bijvoorbeeld als ze starten met de ISO 27001 norm.

Daarvoor hebben we een partnership afgesloten met Instant27001, waardoor onze klanten dat hele pakket aan documentatie kunnen activeren binnen ISOPlanner. Daardoor hebben ze in één keer een gevuld managementsysteem, inclusief al het beleid en de processen die ze nodig hebben. Daarmee besparen ze ook heel veel tijd.

Praktijkvoorbeeld: gemeente en de BIO-norm

Een voorbeeld van deze samenwerking was voor een gemeente in Noord-Holland die wilde voldoen aan de BIO-norm, een informatiebeveiligingsnorm specifiek voor de overheid.

Door te werken met ISOPlanner en Instant27001 kregen zij de beschikking over heel veel templates voor beleid en processen. Deze hoefden ze zelf niet meer op te stellen. De templates werden geladen in het ISOPlanner systeem en op basis van de documentatie konden zij heel snel een start maken met invulling geven aan de compliance normen. Daarnaast kregen ze ook een heel goed overzicht in alle benodigde activiteiten en de status van uitvoering. Kortom, dit overzicht en de documentatie heeft ze heel veel werk bespaard en efficiëntie bezorgd.

Over Ivar van Duuren

Ivar van Duuren is co-founder van ISOPlanner. Vanuit zijn achtergrond had hij ervaring met de versnipperde ISO-certificeringaanpak met losse documenten en de druk om dat binnen een bepaalde deadline te doen.

Een eenvoudiger systeem dat overzicht en inzicht gaf in de benodigde maatregelen en planning was het antwoord op deze frustratie. Door de unieke integratie met Microsoft Outlook en Microsoft Teams, biedt ISOPlanner een eenvoudig en overzichtelijk hulpmiddel tijdens certificeringstrajecten.

Meer tips over compliance automation?

Neem gerust contact met ons op. Wij denken graag met je mee!

Gerelateerde artikelen

Succesvol starten met ISO 27001 certificering doe je zo

Succesvol starten met ISO 27001 certificering doe je zo

Hoe ziet een ISO 27001 certificeringsproject eruit? Welke interne en externe mensen en middelen heb je nodig? En welke maatregelen zijn precies verplicht (of niet)? Medeoprichter van ISOPlanner Ivar van Duuren legt het uit. ISO 27001 certificering in een notendop.

Experttips voor ISO 27001 implementatie

Experttips voor ISO 27001 implementatie

Kies je ervoor om de ISO 27001-normen te implementeren voor jouw organisatie? In dit artikel legt medeoprichter van ISOPlanner Ivar van Duuren alles uit over de voordelen, uitdagingen, duur en kosten van het implementeren van ISO 27001. Zo weet je wat je krijgt...

Meld je aan voor onze nieuwsbrief

Sluit je aan bij meer dan 1.000 ISO-professionals voor de nieuwste ISO-inzichten