Het belang van naleving en risicobeoordelingen

Maart 9, 2018
Doug Barney
Naleving van regelgeving, Risico van derden

Compliance is cruciaal voor veel bedrijfstakken. Financiën, bankwezen, gezondheidszorg - vrijwel alle bedrijven, althans in de Verenigde Staten, boven een bepaalde grootte of in handen van de overheid hebben te maken met compliance-regels. En met GDPR op 25 mei en nieuwe regelgeving wereldwijd, is compliance een wereldwijd probleem.

Boetes voor overtredingen kunnen enorm zijn en niet-naleving is praktisch een welkome mat voor cybercriminaliteit, met reputatieverlies en financiële rampspoed tot gevolg.

Of u nu een IT-professional of een dienstverlener bent, u kunt geen complianceplan opstellen als u geen inzicht hebt in de huidige situatie van uw bedrijf. Daarvoor is een grondige en gedisciplineerde beoordeling nodig.

RapidFire Tools ., leverancier van HIPAA-compliancebeoordelingstools,heeftMSP'sondervraagdover de waarde van beoordelingen. Daaruit bleek dat dienstverleners deze beoordelingen gebruiken om gesprekken met nieuwe prospects aan te gaan en uiteindelijk nieuwe klanten binnen te halen. Een van MSP zag zijn omzet met meer dan 12.000 dollar per maand stijgen.

Volgens deKaseya 2018 MSP Survey biedt 52 procent van de MSP's wereldwijd (en 55 procent in EMEA) compliancebeoordelingen aan. Deze beoordelingen komen ten goede aan MSP de MSP zijn klanten, omdat ze de MSP nieuwe inkomstenbronnen MSP en MSP bewust maken van de veranderingen die moeten worden doorgevoerd om beide bedrijven te beschermen.

Accounting-, advies- en technologiebedrijf Crowe Horwath heeft een stap-voor-stap-proces dat begint met het definiëren van de doelen. "Assessments werken om de reikwijdte van complianceactiviteiten in de hele organisatie te bepalen, de doeltreffendheid van het complianceprogramma en in welke mate de cultuur van de organisatie bevorderlijk is voor complianceactiviteiten. Een assessment kan de organisatie een idee geven van de sterke en zwakke punten van het complianceprogramma en van de gebieden waarop het kan verbeteren," legt het bedrijf uit.

Beoordelaars moeten niet vanaf nul beginnen, maar vertrouwen op bestaande documenten met betrekking tot naleving. "Voorbeelden van relevante documenten die gewoonlijk worden verzameld en beoordeeld tijdens een beoordeling zijn onder andere:

  • Organogrammen van het uitvoerend leiderschap en het compliance office
  • Beleid en procedures met betrekking tot het compliancekantoor of gebieden met een hoog risico
  • Voorbeelden van trainingen voor werknemers over naleving en voorbeelden van communicatie met werknemers over de nalevingsgedragscode
  • Voorbeelden van nalevingscontrole en nalevingswerkplannen
  • Eerdere beoordelingen van nalevingsprogramma's
  • Risicobeoordelingen voor naleving en beleid voor risicobeoordeling voor naleving".

De spelers leren kennen

Assessoren moeten niet alleen de structuur en de rollen van de organisatie begrijpen, maar ook de mensen zelf leren kennen. Dit kan worden gedaan door middel van interviews. Het beoordelen van documenten helpt om beoordelaars voor te bereiden op deze gesprekken. Het doel is om te begrijpen hoe goed de hoofdrolspelers de compliance begrijpen en of ze in staat zijn om hun risico's te definiëren en actie te ondernemen om ze te beperken.

Personen die geïnterviewd kunnen worden zijn onder andere mensen die direct verantwoordelijk zijn voor het managen van compliance, werknemers van wie het werk vereist dat ze de compliancerichtlijnen volgen en de bedrijfsleiding.

Gap-analyse uitvoeren

Een analyse van de hiaten zal aantonen waar de organisatie al voldoet en welke stappen moeten worden ondernomen om volledige naleving te garanderen. De analyse "moet bestaande trends in het complianceprogramma binnen de organisatie onthullen, inclusief sterke punten van het programma en mogelijkheden voor verbetering. Bovendien moet de beoordelaar aanbevelingen doen aan de organisatie op basis van best practices die zijn waargenomen in toonaangevende organisaties die qua omvang en structuur vergelijkbaar zijn met de organisatie die wordt beoordeeld", legt het bedrijf uit.

Dit alles moet worden vastgelegd in een eindrapport dat definieert wat goed is en specifieke verbeteringen aanbeveelt.

Financieel adviesbureau Deloitte legt in zijn whitepaper "Compliance risk assessments: Het derde ingrediënt in een ethiek- en complianceprogramma van wereldklasse".

Veel organisaties denken misschien dat ze helemaal klaar zijn met compliance omdat ze een risicobeoordeling hebben uitgevoerd. Compliance en risico's zijn weliswaar aan elkaar gerelateerd, maar vereisen verschillende processen. "Waarin verschilt een compliance-risicobeoordeling van andere risicobeoordelingen? Organisaties voeren beoordelingen uit om verschillende soorten organisatorische risico's in kaart te brengen. Ze kunnen bijvoorbeeld bedrijfsrisicobeoordelingen uitvoeren om de strategische, operationele, financiële en compliance-risico's te identificeren waaraan de organisatie blootstaat. In de meeste gevallen is het bedrijfsrisicobeoordelingsproces gericht op het identificeren van risico's die companyhet companyin gevaar brengen company– risico's die van invloed kunnen zijn op het vermogen van de organisatie om haar strategische doelstellingen te bereiken", legt Deloitte uit.

“De compliance-risicobeoordeling helpt de organisatie inzicht te krijgen in alle risico's waaraan zij blootstaat, waaronder de waarschijnlijkheid dat een risicogebeurtenis zich voordoet, de redenen waarom deze zich kan voordoen en de mogelijke ernst van de gevolgen ervan. Een effectief ontworpen compliance-risicobeoordeling helpt organisaties ook om risico's te prioriteren, deze risico's in kaart te brengen voor de betreffende risicobeheerders en resources effectief toe te wijzen resources risicobeperkende maatregelen.”

Wie doet wat?

Zodra je hebt vastgesteld wie wie is en wie wat doet, kun je duidelijke opdrachten definiëren. "Stel duidelijk vast wie verantwoordelijk is voor specifieke risico's en zorg voor meer transparantie: Een uitgebreide compliance risicobeoordeling helpt bij het identificeren van de personen die verantwoordelijk zijn voor het beheer van elk type risico en maakt het voor leidinggevenden eenvoudiger om grip te krijgen op risicobeperkende activiteiten, herstelinspanningen en nieuwe risicoblootstellingen," adviseert Deloitte.

Een onderdeel hiervan is een beoordeling die om duidelijke stappen vraagt. "Maak de beoordeling bruikbaar: de beoordeling geeft zowel prioriteit aan risico's als aanwijzingen over hoe deze moeten worden beperkt of verholpen. Herstelmaatregelen moeten universeel begrepen worden en grensoverschrijdend uitvoerbaar zijn. Zorg ervoor dat de uitkomst van de risicobeoordeling kan worden gebruikt in de operationele planning om resources toe te wijzen resources dat deze ook kan dienen als uitgangspunt voor test- en monitoringprogramma's", concludeert het bedrijf.

Compliancewerk is nooit af, waarschuwt Deloitte. "Behandel de beoordeling als een levend, ademend document: zodra u resources toewijst resources compliance-risico's te beperken of te verhelpen, zal de potentiële ernst van die risico's veranderen. Hetzelfde geldt voor gebeurtenissen in de bedrijfsomgeving. Dit alles zou aanleiding moeten geven tot wijzigingen in de beoordeling zelf", schrijft Deloitte. "Herhaal de risicobeoordeling regelmatig: effectieve compliance-risicobeoordelingen streven naar een consistente aanpak die in de loop van de tijd, bijvoorbeeld om de één of twee jaar, blijft worden geïmplementeerd. Tegelijkertijd vereist risico-informatie voortdurende analyse en omgevingsscans om opkomende risico's of vroege waarschuwingssignalen te identificeren."

Meer leren

Download de whitepaper "Compliance: How a Layered Approach Helps you Breeze Through Audits" en om te zien hoe MSP's beoordelingen kunnen omzetten in een inkomstenstroom, kunt u het on-demand webinar "Compliance Audits: De kansen en risico's voor MSP's".

Over de auteur
Doug Barney was de oprichter van Redmond Magazine, Redmond Channel Partner, Redmond Developer News en Virtualization Review. Doug was ook Executive Editor van Network World, hoofdredacteur van AmigaWorld en hoofdredacteur van Network Computing.

Eén compleet platform voor IT- en Security

Kaseya is de alles-in-één oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya

Één platform. Alles omtrent IT.

Klanten van Kaseya profiteren van de voordelen van de beste IT-beheer- en beveiligingstools in één enkele oplossing.

Ontdek Kaseya

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeelde risico's en toegewijde support voor uw bedrijf.

Ontdek Partner First Pledge

Wereldwijd MSP rapport 2025

Het Global MSP Report 2025 van Kaseya is uw onmisbare bron van informatie om te begrijpen waar de sector naartoe gaat.

Nu downloaden

Ontdek categorieën

HIPAA-beleidswijzigingen

Alles wat u weet over HIPAA verandert: een eerste blik op hoe u uw MSP kunt voorbereiden

Op 27 december 2024 heeft het Bureau voor Burgerrechten (OCR) van het Amerikaanse Ministerie van Volksgezondheid en Human Services (HHS)Meer lezen

Lees blogbericht

Wat is NIST-naleving? Een gids voor NIST-standaarden, -raamwerken en -controles

Gegevensbescherming is een belangrijke zorg voor zowel grote als kleine bedrijven, en dat is waar NIST om de hoek komt kijken. NIST, ofMeer lezen

Lees blogbericht

IT-compliance: Het doel en de voordelen ervan begrijpen

IT-compliance verwijst naar een reeks wettelijke regels en voorschriften die bedrijven moeten naleven om de dreiging vanMeer lezen

Lees blogbericht