Organisaties digitaliseren steeds meer
Iedere organisatie die zijn bedrijfsvoering verder digitaliseert, zal ‘in control’ moeten zijn op het gebied van IT. Niet alleen omdat toezichthouders inzicht willen in de maatregelen die zijn genomen, maar ook om de IT continu te verbeteren. IT Governance is daarom geen verplichting, maar een must have als basis om meer tijd te hebben voor je klanten andere stakeholders
Een IT Control Framework draagt bij aan structuur
Een IT Control Framework is een structuur die alle interne controles van een organisatie structureert en categoriseert. Het is een objectieve manier om aan te tonen dat je alle maatregelen die je met elkaar hebt afgesproken ook daadwerkelijk hebt genomen. Een keur aan rapportages maken inzichtelijk of alle controle-activiteiten zijn uitgevoerd en of daarbij situaties zijn gevonden die kunnen leiden tot een risico. Het raamwerk geeft daarnaast inzicht in alle door de organisatie benoemde risico’s, identificeert gebeurtenissen die kunnen leiden tot zo’n risico en geeft aan hoe moet worden gehandeld als zich zo’n gebeurtenis of risico voordoet.
De praktijk
Voor organisatie die wij ondersteunen is het gebruik van een IT Control Framework geen verplichting, maar een manier om meer procesmatig te gaan werken en meer grip te krijgen op de IT-omgeving. De afhankelijkheid van ICT is dus erg groot. Daar zijn organisates zich steeds meer van bewust, maar organisaties leggen alleen niet vast dát ze al die maatregelen nemen. Ook hebben organisaties geen gestandaardiseerde processen om te controleren of de maatregelen hun werk feitelijk nog doen!
Beter voorspelbaar en minder foutgevoelig
Toezichthouders vragen steeds meer om hard bewijs dat bepaalde maatregelen zijn genomen maar ook de communicatie met het hoogste management, klanten en medewerkers zijn een belangrijke reden om de IT Governance te verbeteren door de invoering van een IT Control Framework. Met een gestandaardiseerde werkwijze bereik je dat de IT-omgeving beter voorspelbaar wordt en minder foutgevoelig. Als dat lukt, hoef je minder tijd te verspillen aan incidenten en kun je je meer focussen op waar het werkelijk om gaat: de klant.
Controleur een stap voor
Het streven is om 24×7 inzicht te krijgen in de IT-omgeving. Dit inzicht wordt geleverd door de vele rapportages die uit het IT Control Framework voortvloeien. De rapportages sluiten aan bij de controles die IT-auditors ook doen. De auditor is daarom ook een stuk sneller klaar. Bovendien staat de organisatie niet meer voor verrassingen na een audit, ze kunnen de uitkomst al voorspellen.
Hierdoor is op de werkvloer inzichtelijk hoe de systemen presteren. Omdat de meeste grotere risico’s vooraf worden gegaan door kleine events die nog geen storing veroorzaken, kunnen risico’s al worden afgedekt voordat een storing ontstaat. Het IT Control Framework zorgt dus voor een pro-actieve benadering. Een ander voordeel is dat IT beter kan plannen aan welke werkzaamheden ze voorrang geven.
Discipline
Het werken dat werken met een IT Control Framework vereist veel discipline. Dat past soms niet altijd even goed bij de cultuur van organisaties. Met een werken IT Control Framework moet je ineens gaan vastleggen dat datgene wat je beloofd ook hebt gedaan en hoe je het hebben gedaan. Dat kan botsen met de cultuur, alsof je niet te vertrouwen bent. Daar zal de organisatie aan moeten wennen, maar uiteindelijk snapt iedereen wel waarom het belangrijk is zaken gestructureerd vast te leggen.
Aanpak
Organisatie die nog een IT Control Framework moeten opzetten, is het advies: “Denk na over je beleid en over de eisen die daar bij horen. Daar begin je mee. Het opzetten van een IT Control Framework is een manier om de kwaliteit van de dienstverlening te verbeteren en geen verplicht nummer. Want daarvoor is het lastig om de mensen in de organisatie te enthousiasmeren. Als je het aanvliegt vanuit een betere service naar klanten en andere stakeholders, krijg je de handen een stuk makkelijker op elkaar.
itQ4Y ervaart dat veel organisaties worstelen met de procesmatige aanpak die hoort bij de implementatie van een IT Control Framework en biedt daarom diverse diensten op dit gebied. Wij erkennen dat het opzetten van een framework tijd kost, maar ziet ook dat je die tijd snel terugverdient, zeker nu IT-omgevingen aan snelle veranderingen onderhevig zijn