Software voor compliance management; een boormachine of een gat in de muur?

Investeren in een “point solution” of een “platform”?

De afgelopen maanden hebben wij bij vele organisaties gesproken over de logische volgende stappen om complianceinformatiebeveiliging en  privacy management, beter in een organisatie te gaan beleggen.

Veel organisaties zijn actief op zoek naar tooling op het gebied van P(I)MS Privacy (Informatie) Management Systeem en/of een ISMS, Information Security Management Systeem, door met name nieuwe richtlijnen en eisen vanuit de overheid voor zorginstellingen, GGD en GGZ-organisaties, Lokale en regionale overheden, etc.

Investeren

Met de introductie van de Baseline Informatiebeveiliging Overheid (BIO) is ineens ook ISMS bezig met een hernieuwde opleving. Vanuit de IT-afdeling worden initiatieven opgetuigd om dit vorm te gaan geven, projecten worden gestart en investeringen in software of dure consultants gedaan. Zelfs aanbestedingen worden uitgeschreven met alle kosten die daarbij komen kijken.

De kernvraag van dit artikel is; gaat u als organisatie investeren in diverse losse software-instrumenten voor deze vraagstukken of kiest u ervoor om gebruik te gaan maken van een multifunctioneel platform? Wat is nu de juiste keus? Wat levert uiteindelijk de meeste waarde op of kost op lange termijn het minste geld?

Visie?

Ongetwijfeld heeft het bestuur een volledig geformuleerde visie in de organisatie laten “landen” waar het belang van compliance ook is uitgelegd en ieders verantwoordelijkheid en de consequenties van het niet compliant zijn duidelijk is gemaakt.

Nog niet? Okay, dat is ook niet echt een verrassing….

Het management wil graag een lekkere frikandel speciaal geserveerd krijgen en niet de fabriek in om te kijken hoe en waarvan deze wordt gemaakt…. Of zelf de uien snijden…. Of zoals de titel van dit artikel zegt; wil het management een boormachine of een gat in de muur?

Bestuurders of het management willen geïnformeerd worden over de uiteindelijke (meer)waarde en wat dit gaat bijdragen aan risicoreductie….

Het is dan ook logisch dat de besluitvorming bij de lijnorganisatie komt te liggen, daar waar ook de verantwoordelijkheid ligt. Maar wie heeft het budget? Vanuit welke visie maak je nu de keuzes?

Hoe ga je als compliance of GRC-organisatie control uitoefenen en de doelstellingen en behoefte van het bestuursorgaan faciliteren?

De kernvraag die voor vele organisaties zou moeten spelen is:

Hoe kunnen wij integraal rapporteren, in duidelijke en hapklare brokken, wat de échte status van ons compliance programma is? Hoe kunnen wij begrijpen en presenteren waar wij in moeten investeren en waarom, om compliant te blijven, worden of zijn?

Waarde!

Als de organisatie, zoals wij vaak horen, “nog niet zo volwassen is” dan is het juist hét moment om een visie te vormen over de reis naar volwassenheid.

Ofwel welk instrument kan ons helpen en begeleiden voor minimaal de komende 5 jaar? Wat is dan het meest effectief om te gaan gebruiken en biedt ons de kans om de organisatie te transformeren naar een hoger niveau van prestatie rondom compliance.

Misschien is een platform dan wel duurder in aanschaf dan een point solution, maar is dit dan hét enige argument om de keus niet te maken? Onze ervaring is dat de kosten meestal voor de baten uitgaan!

Al verschillende keren hebben wij ervaren dat organisaties voor een makkelijke en goedkope oplossing kiezen en er al snel, binnen 2 jaar, achter komen dat het product niet de behoefte van de organisatie kan invullen zodra een hoger volwassenheidsniveau is bereikt. En dan ben je gedwongen weer opnieuw een selectietraject én een conversie van alle informatie uit te voeren. Daar zit niemand op te wachten, toch?

Een investering in een platform wat multidisciplinair kan bijdragen aan de volwassenheidsreis en de strategische doelstellingen van een organisatie zal zich altijd terugverdienen op meer vlakken dan meetbaar is in droge cijfers. Dus: klein beginnen, met oog op de toekomstige groeimogelijkheden.

Toekomst en Duurzaamheid

In deze bijzondere tijden is investeren en keuzes maken niet eenvoudig. Wij, Audittrail, hebben echter wel een mening over dit onderwerp gebaseerd op ervaring.

Nú investeren in een point solution, goedkoop en een klein instrument wat 1 specifiek vraagstuk, of erger nog, een deel daarvan voor nu even oplost is geen oplossing….

Misschien wél even voor nu, maar dit zal uiteindelijk een desinvestering blijken te zijn, áls deze niet volledig aansluit bij de toekomstvisie van de organisatie.

Alle kosten, duidelijk en verborgen, tijd, verspilling van draagvlak, energie, uren die erin gestoken gaan worden om erachter te komen bij een basis audit of assessment dat het instrument niet voldoet aan de basis vereisten van informatievoorziening of de verschillende disciplines niet met elkaar verbindt of laat samenwerken.

Een investering in een software-instrument dient bij te dragen aan de duidelijke doelstellingen van de toekomst en dient ook een duurzaam karakter te hebben. Selecteer dus verstandig en laat u helpen bij het maken van de juiste keuze voor uw toekomst.

Eerlijk en gratis advies

Onze organisatie heeft veel ervaring met software en de wijze waarop dit kán bijdragen aan de organisatie strategie en visievorming. Wilt u eens een open discussie, volledig vrijblijvend, over uw keuze stress?

Een eerlijk en oprecht advies? Neem dan contact op via onderstaande gegevens! Leuk! Ik kijk ernaar uit.

Compliance management framework (CMF)

Zoals velen weten maakt Audittrail al vele jaren gebruik van software om de klanten duurzaam te faciliteren. Audittrail heeft dan ook het CMF gebouwd in een op Microsoft gebaseerd software platform, bewezen technologie.

Wilt u informatie over een ideaal instrument voor compliance management? Klik dan hier.

Ralph Drijver | Telefoon: +31 6 13 84 77 44 | rdrijver@audittrail.nl

Ralph Drijver is Business Developer bij Audittrail, een audit- en adviesbureau op het gebied van  informatiebeveiliging, Legal,  audit en  business control. Samen met een team van bevlogen professionals – experts en juristen – werkt hij voor opdrachtgevers in verschillende sectoren, in verschillende landen.