We gaan op zoek naar wat er in hemelsnaam gedaan moet worden, hoe groot en hoe diep? Twee weken later, als deze vragen gesteld zijn en er geen duidelijk antwoord terug-echoot wordt de gewone auditplanning weer opgepakt. SOX bleek een hype, die nog steeds echoot in de tijd. Nu is er weer een nieuwe hype: GDPR, de nieuwe Europese wet betreft de bescherming van persoonsgegevens. En wederom verwilderde blikken bij bedrijven en twinkelende oogjes bij consultants.
Wij – auditors, risk managers – lijken een rationeel beroep te hebben met veel binaire overwegingen. Sinds die – voor mij – eerste keer in 2002 heb ik de nodige hypes op risicobeheersing-gebied langs zien komen: behalve SOX ook Basel II en III, Solvency II, in 1999 was er de Millenniumbug en zeker weten vergeet ik er nu een heel aantal. Basel IV komt er aan.
Er is ook mode: om de paar jaar lijkt het anders te moeten binnen organisaties. De Balanced Score Card, shared service centra, outsourcing, Prince2, ISO-certificeringen, Scrum, DevOps, Maatschappelijk Verantwoord Ondernemen, ga zo maar door. Al deze zaken hebben impact op wat wij dagelijks doen en stellen ons elke keer weer voor de vraag hoe we hiermee om moeten gaan.
En daar wil ik het eens met jullie over hebben. We worden vaak gevraagd te helpen. In het project, als quality assurance, als auditor of onderhoud van wederom een nieuw beheersingsframework. En onze beroepshouding is (mede) bepalend voor hoe groots en meeslepend een dergelijk circus wordt opgetuigd. De manager van een IT-afdeling bij een grote verzekeraar zei me eens dat hij een derde van zijn tijd moet besteden aan compliance zaken. Tijd die niet wordt besteed aan innovatie, zorg voor personeel of productiviteitverhoging.
De afgelopen jaren werk ik als freelancer en word ik ingehuurd voor dergelijke projecten. Omdat ik uren verkoop tegen een tarief zou het verleidelijk kunnen zijn een oplossing in te fluisteren die “groots en meeslepend” is en dus veel declarabele uren oplevert. En hier wringt iets. Iets met integriteit, professionaliteit en vooral een goed gevoel over jezelf hebben. Persoonlijk wil ik vooral herinnerd worden door een opdrachtgever als ‘die kerel die we de volgende keer weer moeten hebben’.
Ook als audit- of riskprofessional is er een zekere verleiding om gewichtig te adviseren met allerlei alarmerende hypothetische consequenties als BOETES!! GEVANGENISSTRAF!! Maar je kunt aanvoelen dat er ook zoiets is als redelijkheid en billijkheid.
Aan de andere kant: een al te laconieke houding met betrekking tot privacy zal mogelijk consequenties hebben voor een bedrijf of instelling waar je voor werkt. Een consequentie die gelinkt is aan de handhaving van de GDPR is dan denkbaar en we zijn gehouden een organisatie hiervoor te behoeden. Kortom: waar moeten we de balans vinden?
Aan de ene kant van het spectrum staat de ‘better safe than sorry’-houding: maximale onzekerheidsreductie en dus veel maatregelen treffen. Dat kost vaak veel geld en tijd en beneemt veel mensen het plezier in hun werk. Omgekeerd werkt ook niet goed met alle risico’s van dien. Kortom: laten we eens proberen te rationaliseren en bestuderen hoe pragmatisme er uit kan zien in een GDPR project.
Mijn eerste gedachte: geen paniek. Heb zelfvertrouwen. De wereld vergaat niet.
De tweede gedachte: begin met je risico’s te inventariseren. Waar hebben we het precies over? Voor GDPR is je CMDB (Configuratie Management Database) een mooi startpunt waarin al je systemen en applicaties staan en wat ze doen. Mogelijk is je CMDB (hoe rudimentair ook) een goede plek om je risico assessment in bij te houden – ook voor privacy gerelateerde zaken. Nog geen CMDB? Mooie tijd om daarmee te beginnen.
Een derde les die ik geleerd heb: leg de regelgeving aan jezelf uit en zet het op papier – noem het een “organisatiedossier”. Het geeft een rationalisatie van je veranderingsproces en een uitleg van je interpretatie naar mogelijke toezichthouders, die je ermee dwingt je ratio te weerleggen of mee te gaan in je uitleg . Als een toezichthouder binnenkomt en alleen regelgeving ‘komt afvinken’, ben je kwetsbaar voor de interpretatie van die toezichthouder. Wanneer je eigen interpretatie plausibel is (dus verdedigbaar), zal er niet snel een nare consequentie volgen.
Mijn vierde les, door schade en schande geleerd, is dat je als projectleider/auditor/risk manager liever niet de maatregelen definieert. Wie heeft het nog nooit gehoord: “Dat moet van audit”? Wil je serieus ergens mee aan de slag als organisatie, dan ligt het effect besloten in degenen die het veranderde proces daadwerkelijk uitvoeren. Deze mensen moeten er dan ook zelf over nadenken en samen tot een modus komen.
En mijn vijfde ervaring: houdt het leuk voor iedereen. Als een organisatie een doel stelt om een nieuw control framework in te bedden, dan is het goed te bedenken dat een control framework de hygiëne bewaakt en geen omzet binnenhaalt, noch iets toevoegt aan het werkplezier van mensen. Dus: maak zoveel mogelijk gebruik van bestaande processen en systemen en probeer de bestaande processen compliant te maken in plaats van extra processen bovenop de bestaande te stapelen.
Ons doel dient nog steeds in lijn te liggen met die van de organisatie.
Marc van den Berg is gespecialiseerd in consultancy op complexe data-gedreven omgevingen zoals asset managers, actuariële omgevingen en verwerkers van marketing data. Marc voerde meerdere opdrachten uit in samenwerking met ARC People.
ARC People verbindt drie sterke labels: AuditPeople, RiskPeople en CompliancePeople. Ieder van deze labels focust op een eigen specialistisch vakgebied. Opdrachtgevers worden vanuit die specialismes voorzien in de juiste mensen en kennis. www.arcpeople.nl