'ICT-afdeling kan besparen op compliance'

Hoewel methodes om compliance in ict-stystemen te ondersteunen nog niet klaar zijn voor uitrol in de praktijk, verwacht Henriëtte Sangers, onderzoeker van de Ampersand-methode, dat dit niet heel lang meer zal duren. Volgens haar zou het ict-afdelingen veel tijd en geld kunnen besparen. ‘Het zal nog wel even duren, maar uiteindelijk is dit voor veel bedrijven de toekomst. Als bedrijf mis je kansen op de markt als je dit niet doet. Het is de enige manier om aantoonbaar te voldoen aan allerlei eisen en tegelijk flexibel te blijven.'

Met de komst van steeds veeleisender regelgeving en strenge eisen wordt het voor organisaties nodig om bewijzen te verzamelen dat zij hun systemen juist hebben ingericht. Bedrijven kunnen zich geen grote missers permitteren op het gebied van bij voorbeeld privacywetgeving of beveiliging van bestanden.  ‘Het is voor hen van belang dat zij niet met grote blunders in het nieuws komen. Dit heeft een enorme impact op het ict-beheer', zegt Sangers, die voor haar afstudeerscriptie aan de Open Universitteit onderzoek deed naar de Ampersand-methode, één van de methodes die momenteel wordt ontwikkeld om bewijsbaar correcte ict-systemen te kunnen.

Projecten op het gebied van compliance vergen daardoor momenteel een flink deel van ict-budgetten. Compliance betekent dat een organisatie aantoonbaar voldoet aan de voor haar geldende regelgeving. Sangers: ‘Het gaat om veel verschillende regels, compliance is heel breed. Bovendien is het lastig om de vertaalslag te maken tussen de regels en de praktijk in ict-systemen. Dit kost organisaties veel tijd en daarmee geld. Een extra complicatie bij compliance vormt de noodzaak van de bewijsbaarheid.'

Functionele specificaties

Aan bedrijfsregels ligt volgens haar vaak logica ten grondslag. Een kans, want dit biedt de mogelijkheid bedrijfsregels geautomatiseerd te vertalen in functionele specificaties en zelfs direct een systeem te ontwikkelen dat ervoor zorgt dat organisaties voldoen aan de regelgeving van overheid en toezichthouders, op voorwaarde dat deze correct is vastgelegd in de bedrijfsregels. Bovendien kunnen bedrijven met zo'n methode ook aantonen dat zij voldoen aan deze regelgeving. Sangers: ‘Juist die aantoonbaarheid is tot nu toe het probleem. Bewijs maar eens dat alles goed is geïmplementeerd.'

Volgens haar zijn er tot nog toe twee problemen waardoor compliance zoveel tijd en energie opslokt. ‘Vaak zijn verschillende bedrijfsregels tegenstrijdig met elkaar. Bovendien is er vaak een kloof tussen de ideeën van de commerciële kant van een organisatie en de ict-kant. Door met een controlesysteem te werken wordt het makkelijker om de vinger op de zere plek te leggen. Tegenstrijdige functionele eisen  komen vroegtijdig aan het licht. Het maakt direct duidelijk waar inconsistenties in de verschillende regels zitten. De commerciële tak en de ict-tak kunnen op zo'n moment rond de tafel gaan zitten om deze inconsistenties weg te werken. Dat is een duidelijke stap voorwaarts. Het levert tijdswinst op, omdat systemen niet meer achteraf aangepast hoeven te worden.'

Ruimtevaart

De wens om de correctheid van ICT systemen te kunnen bewijzen is niet nieuw. Sangers: 'Informatica is nauw verwant aan wiskunde en logica. Vanaf het begin van het bestaan van het vak Informatica is de bewijsbaarheid van de correctheid van code en systemen een soort heilige graal geweest. Dit was echter lange tijd mensenwerk, erg arbeidsintensief en kostbaar. In de praktijk was het niet haalbaar dit op grote schaal toe te passen. Alleen in omgevingen waarin echt geen fouten gepermitteerd zijn, zoals in de ruimtevaart, was er ruimte voor dergelijke benaderingen.' Met de komst van steeds veeleisendere regelgeving wordt het voor andere organisaties echter ook nodig om bewijzen te verzamelen dat zij hun systemen juist hebben ingericht.