Hoe zorg je dat je voldoet aan de eisen die De Nederlandsche Bank (DNB) en andere autoriteiten aan je informatiebeveiliging stellen? Voor veel middelgrote en kleinere organisaties in de financiële sector is dit lastig. Zij worstelen met het realiseren van kwaliteit, integriteit, beschikbaarheid en veiligheid van data en informatie. Digitaliseren en de beheersing van de informatievoorziening op orde hebben, is nodig om de organisatie scherp en veilig te runnen en tegelijk aan alle richtlijnen te voldoen.
Bijna wekelijks zijn er wel berichten in de krant te lezen over malware die organisaties treft. De cyberrisico’s nemen sterk toe. Het inzicht in de informatiebeveiliging neemt in veel organisaties juist eerder af dan toe. Dat is mede te wijten aan de complexiteit van hun IT-landschap. Voor toezichthouders een reden om hun toezicht te verscherpen. Een brief van DNB is voor veel bestuurders en managers van organisaties dan een wake-up-call. Vanwege het toegenomen risico en de eisen rond informatiebeveiliging wil je als organisatie in de financiële dienstverlening immers aantoonbaar in control zijn! Een natuurlijke reactie is om de zaken helemaal zelf op te willen lossen. Veel organisaties slagen daar ook in, maar ook voor hen is het in de praktijk een hele uitdaging.
Goede data voor beter inzicht
Door geopolitieke onzekerheid is het de laatste jaren steeds moeilijker om financieel scherp aan de wind te varen. Denk aan de dekkingsgraad bij pensioenfondsen die erg schommelt. DNB reageerde als toezichthouder met datagedreven toezicht. Dat betekent dat je als organisatie kwalitatief goede data moet hebben, zodat jij en DNB beter inzicht hebben in de risico’s die jouw organisatie loopt. Op die manier kan DNB het toezicht efficiënter en consistenter uitvoeren. Daarbij kiezen ze een proportionele benadering: organisaties die in een minder risicovol segment van de markt opereren, krijgen minder aandacht, risicovollere organisaties juist meer.
Op zoek naar de kroonjuwelen
DNB stelt bestuurders hierbij een gewetensvraag: heeft het bestuur een beeld welke data en systemen de belangrijkste ‘kroonjuwelen’ van de organisatie zijn en met welk palet van maatregelen die het best kunnen worden beschermd? Is de organisatie in staat in dat palet de juiste keuzes te maken? Als we deze uitdaging vanuit de verschillende betrokkenen bekijken, zien we verschillende perspectieven.
- Bestuurders houden zich bezig met de vraag wat de mogelijke impact is en wat er moet gebeuren om de organisatie zo snel mogelijk in control te krijgen.
- De directeur van de uitvoeringsorganisatie vraagt zich af hoe de organisatie het voor elkaar krijgt en wil het met eigen mensen en draagvlak tot stand brengen.
- De IT-manager zit met de vraag waar de prioriteiten liggen en welke tools moeten worden ingezet en wil voortbouwen op de maatregelen die al zijn genomen.
- De risk manager wil weten wanneer de organisatie kan aantonen in control te zijn en waarmee ze dat steeds opnieuw kan blijven aantonen.
Wanneer ben je in control?
Maar wanneer ben je eigenlijk in control? Als de organisatie de risico’s weet te beheersen, haar strategische en operationele doelstellingen realiseert, haar informatievoorziening adequaat managet en voldoet aan wet- en regelgeving, dan is de organisatie in control. Om dat voor elkaar te krijgen, moet de organisatie drie zaken geregeld hebben.
- Opzet: de beheersmaatregelen zijn bedacht en opgeschreven en kunnen het risico op een acceptabel niveau brengen.
- Bestaan: de beheersmaatregelen zijn ingevoerd in de organisatie.
- Werking: de (resultaten van) beheersmaatregelen worden periodiek getoetst, de beheersmaatregel vermindert daadwerkelijk het risico.
Vaak zijn er bij de opzet al verschillen van inzicht over wat er moet gebeuren. Sommige mensen menen dat er nog heel wat moet veranderen, terwijl anderen het idee hebben dat het al in kannen en kruiken is. Dat verschil speelt ook bij bestaan en werking. Het is een hele uitdaging om te zorgen dat iedereen in de organisatie consequent de maatregelen blijft toepassen. Het gaat toch immers best goed zoals het gaat?
Hoe komt dat? Technologie, mensen en processen spelen daarbij een rol. Op technisch vlak is er soms achterstallig onderhoud en is de grip op uitbesteding beperkt. Mensen verschillen van elkaar wat betreft inzicht, kennis en kunde. Aan de kant van de processen zijn de verantwoordelijkheden vaak niet duidelijk en ontbreekt de samenhang.
Hoe pakt Eraneos het aan?
Op basis van onze ervaring bij verschillende financiële organisaties hebben we een best practice-aanpak ontwikkeld. De start van het proces is daarbij altijd de samenstelling van een projectteam en het verifiëren van het beeld dat de organisatie van zichzelf heeft met betrekking tot interne beheersing. Het is heel menselijk dat te rooskleurig in te schatten. Daarna volgt een plan van aanpak. Voor de fases opzet en bestaan worden eindverantwoordelijken benoemd. Zij zorgen voor het beschrijven, implementeren en laten werken van beheersmaatregelen. Bovendien worden communicatie en trainingen opgezet. Er worden deliverables gemaakt of aangescherpt: beleidsstukken, procesbeschrijvingen, risicoanalyse. We implementeren deze en voeren vervolgacties uit als dat nodig is. Vervolgens vragen we een auditor om opzet en bestaan te toetsen en te bevestigen dat de zaken goed geregeld zijn. Daarna start de werkingsperiode, waarin de organisatie over een langere periode laat zien dat de informatiebeveiliging op orde is.
Zodra het mogelijk is, gaan de control-eigenaren de controle op de naleving zelf doen en bijsturen om afwijkingen te corrigeren. Door van fouten te leren, wordt de beheersing steeds beter. De control-eigenaren houden hierna een self-assessment waarbij als het goed is alle seinen op groen staan. De auditor voert hierna de toets rond werking uit. Is die positief, dan is de organisatie in control. Nu is het belangrijk om in control te blijven. Daarvoor moeten de control-eigenaren periodiek de interne controles blijven doen. Ze moeten daarover blijven rapporteren en waar nodig bijsturen.
Medewerkers als basis
We zien het in control komen als een gedragsverandering. Het verandermanagement begint met het naar boven halen van een gevoel van urgentie. Wat is er niet goed in de huidige organisatie en welke wens tot verbetering is er? Daarbij zoeken we de juiste spelers met de juiste rollen en verantwoordelijkheden. Eventueel wordt dit ingevuld met bijvoorbeeld een ingehuurde IT-manager of een deskundige op het gebied van informatiebeveiliging. Deze spelers zullen een team gaan vormen. Daarvoor stimuleren we dat er onderling wordt samengewerkt. Soms is het daarbij nodig om competenties te verbeteren met opleiding, training en coaching on the job. Het laatste onderdeel in onze best practice zijn de bouwstenen. We brengen een aantal standaardelementen mee.
- Beleid: bijvoorbeeld informatiebeveiligingsbeleid en standaarden, risicoanalyse en standaard-uitbestedingsbeleid.
- Beheersingscyclus: een set aan beheersmaatregelen, interne controles, rapportages, overleggremia.
- Processen: informatie en documentatie rond bijvoorbeeld leveranciersmanagement, leveranciersclassificatie, checklist voor contracten.
We passen dit in overleg zo aan dat het precies past bij de behoeften van de organisatie.
Eén bron van waarheid
Dit alles combineren we in een tool. Deze biedt één bron van waarheid. Alle relevante risico’s, beheersmaatregelen, interne controles en bewijsvoeringen die daarbij horen, zijn allemaal in één systeem opgenomen. Doordat dit alles in één systeem staat, is dit beter toetsbaar omdat het niet meer nodig is om de hele organisatie door te lopen om erachter te komen waar je staat wat betreft beleid en beheersing. De tool zorgt ervoor dat geen enkele stap wordt overgeslagen: alle beheersmaatregelen doorlopen dezelfde cyclus en de rapportages zijn altijd gebaseerd op de meest recente data. Binnen een aantal kliks levert de tool een rapportage op maat. Met deze best practices komen organisaties in de financiële sector versneld aantoonbaar in control en blijven ze in control.
