Compliance, risicobeheer en risicovermindering zijn altijd kernvraagstukken binnen het datacenter geweest. Het huidige it-landschap brengt zonder meer nieuwe risico’s met zich mee, maar gelukkig ook nieuwe tools om ze in de hand te houden.
Binnen datacenters is duidelijk sprake van een behoefte aan intensiever risicobeheer. Risicobeheer en compliance worden geïdentificeerd als een van de vier belangrijkste factoren die in het datacenter van invloed zijn op de besluitvorming, planning en het reactievermogen. Risicobeheer en compliance vormen niet langer specialistische vraagstukken die aan financiële professionals zijn voorbehouden. Deze vraagstukken vormen de pijlers van de technologische en datacenterstrategie en hebben een holistische benadering nodig.
Integratie ict en compliance
Een holistische benadering van risicobeheer loopt al snel spaak op bureaucratie en compliance-problemen. Dit heeft nadelige gevolgen voor de flexibiliteit die bedrijven nodig hebben om gebruik te maken van innovatieve nieuwe technologie of in te springen op nieuw marktkansen. Ict-afdelingen zijn vaak niet in staat om compliance-problemen proactief aan te pakken terwijl projecten zich nog in de planningsfase bevinden. De belangrijkste reden hiervoor is een gebrekkige communicatie tussen de ict-afdeling en de andere bedrijfsonderdelen.
De cio moet er daarom voor zorgen dat de ict-afdeling betrokken wordt bij de compliance-planning en discussies over risico’s die verband houden met de regelgeving. Hij of zij moet voor de ict-afdeling een scheiding maken tussen de zakelijke prioriteiten en de eisen van de regelgeving. De cio moet erop toezien dat de ict-organisatie de strategische bedrijfsdoelstellingen ondersteunt en ondertussen voldoet aan de relevante eisen van de wet- en regelgeving, in plaats van zich dood te staren op alle regels en de zakelijke doelstellingen uit het oog te verliezen.
Moderne ondernemingen kennen steeds langere planningcycli, en dit biedt een uitgelezen mogelijkheid om de ict-afdeling te betrekken bij discussies rond compliance-vraagstukken. Dit betekent dat de ict-afdeling een langere planninghorizon kan (of beter gezegd, moet) hanteren, met een gefaseerde implementatie van grootschaliger initiatieven over een langere periode. Risico’s op het gebied van de wet- en regelgeving kunnen in een vroeg stadium van deze projecten worden ondervangen, op elk beslissingspunt en in elke implementatiefase. De ict-afdeling zou zitting moeten nemen in de bestuurskamer en haar stem laten horen over vraagstukken zoals de implementatie van groene technologie, de locatie waar gegevens worden opgeslagen en de informatiebeveiliging.
Regelmatige statusupdates
Hoe kunnen risico’s in de praktijk het beste worden beheerd? Het is duidelijk dat de ict-afdeling een actieve dialoog moet onderhouden met de andere bedrijfsonderdelen. Hierbij moeten regelmatig statusupdates worden uitgewisseld over problemen die relevant zijn voor de bredere bedrijfsstrategie. Alle managers op C-niveau, en niet alleen de cio, dienen oog te hebben voor de waarde die risicobeheer te bieden heeft. Ze moeten beseffen dat de ict-afdeling met het terugdringen van de compliance-risico’s waarde voor de onderneming creëert. In dit verband is het zaak om de rollen binnen de organisatie opnieuw onder de loep te nemen en ervoor te zorgen dat ict-professionals actief worden betrokken bij problemen op het gebied van compliance en interne audits en deelnemen aan het besluitvormingsproces rond deze vraagstukken.
Er is flexibele besluitvorming nodig, zeker met het oog op het starre karakter van de wet- en regelgeving. Door het voortdurend herevalueren van ‘gevestigde’ regels ten aanzien van de locatie van gegevens, virtualisatie, gegevensopslag en andere ict-vraagstukken kunnen bedrijven zowel zorgen voor overeenstemming met de wet- en regelgeving als de bedrijfsdynamiek die nodig is om de zakelijke doelstellingen te realiseren. Bedrijven die in 2014 zorgen over de regelgeving inruilen voor een proactieve strategische planning op het gebied van risicobeheer en compliance, zullen optimaal gepositioneerd zijn voor zakelijk succes.
