Het belang van naleving en risicobeoordelingen

Maart 9, 2018
Doug Barney
Naleving van regelgeving, Risico van derden

Naleving is van cruciaal belang voor veel sectoren. De financiële sector, het bankwezen, de gezondheidszorg – vrijwel alle bedrijven, in ieder geval in de Verenigde Staten, die een bepaalde omvang hebben of beursgenoteerd zijn, hebben te maken met nalevingsvoorschriften. En met AVG op 25 mei en nieuwe regelgeving die wereldwijd in het verschiet ligt, is naleving een wereldwijd actueel thema.

Boetes voor overtredingen kunnen enorm zijn en niet-naleving is praktisch een welkome mat voor cybercriminaliteit, met reputatieverlies en financiële rampspoed tot gevolg.

Of u nu een IT-professional of een dienstverlener bent, u kunt geen nalevingsplan opstellen als u geen inzicht hebt in de huidige stand van zaken binnen uw bedrijf. Daarvoor is een grondige en gestructureerde beoordeling nodig.

RapidFire Tools ., leverancier van tools voor HIPAA-nalevingsbeoordelingen,heeftMSP’sondervraagdover de waarde van dergelijke beoordelingen. Daaruit bleek dat dienstverleners deze beoordelingen gebruiken om gesprekken met nieuwe potentiële klanten op gang te brengen en uiteindelijk nieuwe klanten binnen te halen. Eén van de ondervraagde MSP's zag zijn omzet met meer dan $ 12.000 per maand stijgen.

Volgens hetKaseya MSP Benchmark-onderzoek van 2018 biedt 52 procent van de MSP’s wereldwijd (en 55 procent in EMEA) compliance-beoordelingen aan. Deze beoordelingen leveren voordelen op voor zowel de MSP als zijn klanten: ze bieden de MSP kansen op nieuwe inkomstenbronnen en geven inzicht in de veranderingen die moeten worden doorgevoerd om beide bedrijven te beschermen.

Accounting-, advies- en technologiebedrijf Crowe Horwath heeft een stap-voor-stap-proces dat begint met het definiëren van de doelen. "Assessments werken om de reikwijdte van complianceactiviteiten in de hele organisatie te bepalen, de doeltreffendheid van het complianceprogramma en in welke mate de cultuur van de organisatie bevorderlijk is voor complianceactiviteiten. Een assessment kan de organisatie een idee geven van de sterke en zwakke punten van het complianceprogramma en van de gebieden waarop het kan verbeteren," legt het bedrijf uit.

Beoordelaars moeten niet vanaf nul beginnen, maar vertrouwen op bestaande documenten met betrekking tot naleving. "Voorbeelden van relevante documenten die gewoonlijk worden verzameld en beoordeeld tijdens een beoordeling zijn onder andere:

  • Organogrammen van het uitvoerend leiderschap en het compliance office
  • Beleid en procedures met betrekking tot het compliancekantoor of gebieden met een hoog risico
  • Voorbeelden van trainingen voor werknemers over naleving en voorbeelden van communicatie met werknemers over de nalevingsgedragscode
  • Voorbeelden van nalevingscontrole en nalevingswerkplannen
  • Eerdere beoordelingen van nalevingsprogramma's
  • Risicobeoordelingen voor naleving en beleid voor risicobeoordeling voor naleving".

De spelers leren kennen

Assessoren moeten niet alleen de structuur en de rollen van de organisatie begrijpen, maar ook de mensen zelf leren kennen. Dit kan worden gedaan door middel van interviews. Het beoordelen van documenten helpt om beoordelaars voor te bereiden op deze gesprekken. Het doel is om te begrijpen hoe goed de hoofdrolspelers de compliance begrijpen en of ze in staat zijn om hun risico's te definiëren en actie te ondernemen om ze te beperken.

Personen die geïnterviewd kunnen worden zijn onder andere mensen die direct verantwoordelijk zijn voor het managen van compliance, werknemers van wie het werk vereist dat ze de compliancerichtlijnen volgen en de bedrijfsleiding.

Gap-analyse uitvoeren

Een analyse van de hiaten zal aantonen waar de organisatie al voldoet en welke stappen moeten worden ondernomen om volledige naleving te garanderen. De analyse "moet bestaande trends in het complianceprogramma binnen de organisatie onthullen, inclusief sterke punten van het programma en mogelijkheden voor verbetering. Bovendien moet de beoordelaar aanbevelingen doen aan de organisatie op basis van best practices die zijn waargenomen in toonaangevende organisaties die qua omvang en structuur vergelijkbaar zijn met de organisatie die wordt beoordeeld", legt het bedrijf uit.

Dit alles moet worden vastgelegd in een eindrapport dat definieert wat goed is en specifieke verbeteringen aanbeveelt.

Financieel adviesbureau Deloitte legt in zijn whitepaper "Compliance risk assessments: Het derde ingrediënt in een ethiek- en complianceprogramma van wereldklasse".

Veel organisaties denken misschien dat ze helemaal klaar zijn met compliance omdat ze een risicobeoordeling hebben uitgevoerd. Compliance en risico's zijn weliswaar aan elkaar gerelateerd, maar vereisen verschillende processen. "Waarin verschilt een compliance-risicobeoordeling van andere risicobeoordelingen? Organisaties voeren beoordelingen uit om verschillende soorten organisatorische risico's in kaart te brengen. Ze kunnen bijvoorbeeld bedrijfsrisicobeoordelingen uitvoeren om de strategische, operationele, financiële en compliance-risico's te identificeren waaraan de organisatie blootstaat. In de meeste gevallen is het bedrijfsrisicobeoordelingsproces gericht op het identificeren van risico's die companyhet companyin gevaar brengen company– risico's die van invloed kunnen zijn op het vermogen van de organisatie om haar strategische doelstellingen te bereiken", legt Deloitte uit.

“De compliance-risicobeoordeling helpt de organisatie inzicht te krijgen in alle risico's waaraan zij blootstaat, waaronder de waarschijnlijkheid dat een risicogebeurtenis zich voordoet, de redenen waarom deze zich kan voordoen en de mogelijke ernst van de gevolgen ervan. Een effectief ontworpen compliance-risicobeoordeling helpt organisaties ook om risico's te prioriteren, deze risico's in kaart te brengen voor de betreffende risicobeheerders en resources effectief toe te wijzen resources risicobeperkende maatregelen.”

Wie doet wat?

Zodra je hebt vastgesteld wie wie is en wie wat doet, kun je duidelijke opdrachten definiëren. "Stel duidelijk vast wie verantwoordelijk is voor specifieke risico's en zorg voor meer transparantie: Een uitgebreide compliance risicobeoordeling helpt bij het identificeren van de personen die verantwoordelijk zijn voor het beheer van elk type risico en maakt het voor leidinggevenden eenvoudiger om grip te krijgen op risicobeperkende activiteiten, herstelinspanningen en nieuwe risicoblootstellingen," adviseert Deloitte.

Een onderdeel hiervan is een beoordeling die om duidelijke stappen vraagt. "Maak de beoordeling bruikbaar: de beoordeling geeft zowel prioriteit aan risico's als aanwijzingen over hoe deze moeten worden beperkt of verholpen. Herstelmaatregelen moeten universeel begrepen worden en grensoverschrijdend uitvoerbaar zijn. Zorg ervoor dat de uitkomst van de risicobeoordeling kan worden gebruikt in de operationele planning om resources toe te wijzen resources dat deze ook kan dienen als uitgangspunt voor test- en monitoringprogramma's", concludeert het bedrijf.

Compliancewerk is nooit af, waarschuwt Deloitte. "Behandel de beoordeling als een levend, ademend document: zodra u resources toewijst resources compliance-risico's te beperken of te verhelpen, zal de potentiële ernst van die risico's veranderen. Hetzelfde geldt voor gebeurtenissen in de bedrijfsomgeving. Dit alles zou aanleiding moeten geven tot wijzigingen in de beoordeling zelf", schrijft Deloitte. "Herhaal de risicobeoordeling regelmatig: effectieve compliance-risicobeoordelingen streven naar een consistente aanpak die in de loop van de tijd, bijvoorbeeld om de één of twee jaar, blijft worden geïmplementeerd. Tegelijkertijd vereist risico-informatie voortdurende analyse en omgevingsscans om opkomende risico's of vroege waarschuwingssignalen te identificeren."

Over de auteur
Doug Barney was de oprichter van Redmond Magazine, Redmond Channel Partner, Redmond Developer News en Virtualization Review. Doug was ook Executive Editor van Network World, hoofdredacteur van AmigaWorld en Network Computing.

Eén compleet platform voor IT- en Security

Kaseya 365 de alles-in-één-oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya 365

Één platform. Alles omtrent IT.

Kaseya 365 profiteren van de voordelen van de beste tools voor IT-beheer en beveiliging in één enkele oplossing.

Ontdek Kaseya 365

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeelde risico's en toegewijde support voor uw bedrijf.

Ontdek Partner First Pledge

Kaseya MSP over de stand van zaken bij MSP 2026

Kaseya - MSP over de stand van zaken bij MSP in 2026 - Webafbeelding - 1200x800 - BIJGEWERKT

Ontvang MSP voor 2026 van meer dan 1.000 dienstverleners en ontdek hoe u uw omzet kunt vergroten, u kunt aanpassen aan de druk van de markt en concurrerend kunt blijven.

Nu downloaden

Ontdek categorieën

Wat is NIST-conformiteit? Een praktische gids voor IT-teams en MSP’s

De afkorting „NIST“ wordt gebruikt om naar verschillende zaken te verwijzen, vaak door elkaar en niet altijd even nauwkeurig. Het agentschap. Het Cybersecurity Framework.

Lees blogbericht

IT-compliance voor MSP’s: hoe bouw je een schaalbaar bedrijf op?

Compliance is stilletjes uitgegroeid tot een van de commercieel belangrijkste vaardigheden die een MSP kan ontwikkelen. De combinatie van toenemende regelgeving

Lees blogbericht

ISO 27001: wat het is, wat er voor certificering nodig is en of uw organisatie het nodig heeft

ISO 27001 is de internationale norm voor informatiebeveiligingsbeheersystemen. Het is wereldwijd de meest erkende beveiligingscertificering,

Lees blogbericht