Naleving aantonen

Met duizenden sectorstandaarden, interne beleidsregels en altijd veranderende regelgevingsvoorwaarden kan het intimiderend zijn om dekking in een veranderend nalevingslandschap te optimaliseren. Het is essentieel dat organisaties de benodigde processen en technologieën instellen om nalevingsrisico goed te identificeren, rationaliseren, prioriteren en mitigeren. In dit artikel wordt besproken hoe u garantie over een nalevingsprogramma kunt aantonen met behulp van de apps Projecten, Raamwerken en Nalevingskaarten.

Dit artikel toont hoe u naleving met het COBIT® 5 Framework kunt aantonen. Dezelfde workflow kan echter ook worden toegepast om naleving met het volgende aan te tonen:

  • regelgevingen die van toepassing zijn op financiële instellingen, zoals Truth-in Lending, Anti-Money Laundering of Depository Insurance
  • andere IT-beveiligingsraamwerken, zoals ISO of NIST
  • regelgevingen voor Gegevensprivacy, zoals de EU AVG, GLBA, HIPAA en FERPA
  • regelgevingen die van toepassing zijn op overheid of hoger onderwijs, zoals Uniform Grant Guidance, Single Audit of Title IV

Wat betekent het om naleving aan te tonen?

Het aantonen van naleving betekent dat een organisatie zich toelegt op het uitvoeren van werkzaamheden conform de regelgevingen en normen die op de organisatie van toepassing zijn.

Het aantonen van naleving gaat niet alleen over het laten zien dat aan de nalevingsvoorwaarden is voldaan, maar ook het laten zien hoe aan de voorwaarden wordt voldaan, en welke gestructureerde programma's aanwezig zijn om doorlopende naleving mogelijk te maken.

Waar kan ik naleving aantonen?

Bij Diligent gebruiken we de apps Projecten, Raamwerken en Nalevingskaarten om beoordelaars en andere geïnteresseerde derden te laten zien dat er een sterke controle-omgeving aanwezig is. Ons nalevingsprogramma voorkomt dat we de organisatie blootstellen aan acties voor afdwingen van regelgeving en gegevensinbreuken. Hiermee kunnen we samenwerken met zakelijke belanghebbenden die moeten voldoen aan verschillende regelgevingen en normen.

Het grote geheel

  • Nalevingskaarten is de plek waar nalevingsteams de initiële nalevingskloof- en risicobeoordeling kunnen uitvoeren door voorwaarden toe te wijzen aan bestaande organisatiecontroles in raamwerken.
  • Raamwerken worden samen met Nalevingskaarten gebruikt om de hoofdrelatie tussen voorwaarden en controles vast te leggen, wijzigingen aan controles in een zich ontwikkelende regelgevende en bedrijfsomgeving te beheren en afzonderlijke projecten aan te maken.
  • Projecten wordt gebruikt om het ontwerp en de operationele effectiviteit van de controle te testen en problemen vast te leggen. Indien nodig kunt u ook wijzigingen vanuit een project weer synchroniseren naar een raamwerk.

Wanneer u voorwaarden toewijst aan raamwerkcontroles, worden testresultaten en problemen van meerdere projecten automatisch geaggregeerd naar de nalevingskaart, waardoor u de nalevingsstatus in realtime kunt volgen en erover kunt rapporteren.

Stappen

Klaar voor een rondleiding?

Laten we deze functies eens wat meer in context bekijken.

1. Het programma instellen

De eerste stap in het uitbouwen van uw nalevingsprogramma is het instellen van uw projecten en raamwerken. U kunt raamwerken maken om een gestructureerde set informatie te beheren en raamwerken gebruiken om meerdere projecten aan te maken. U kunt de terminologie en labels in de projecten aanpassen aan de hand van de normen van uw organisatie, en wijzigingen synchroniseren naar een raamwerk vanuit een project als u die wijzigingen wilt toepassen op andere projecten.

Projecten en raamwerken instellen

Raamwerken zijn handig voor het terugbrengen van handmatige inspanningen die komen kijken bij het instellen van projecten. Ze kunnen worden gebruikt om informatie centraal te beheren in ontwikkelende regelgevings- en bedrijfsomgevingen.

Projectterminologie configureren

Terminologie kan tussen verschillende typen projecten flink verschillen, en ook tussen organisaties die dezelfde typen projecten uitvoeren. Organisaties kunnen verschillende projecttypen configureren zodat de terminologie die wordt gebruikt door elk team wordt weergegeven in de relevante projecten.

2. Gemachtigde documenten identificeren

Zodra u uw projecten en raamwerken hebt ingesteld, is de volgende stap het identificeren van gemachtigde documenten die van toepassing zijn op uw organisatie, en het opnemen van deze documenten in uw Nalevingskaart.

Gemachtigde documenten kunnen regelgevingen zijn die zijn gepubliceerd door een regelgevende instantie zoals een overheid, professionele normen gepubliceerd door een beroepsorganisatie of brancheorganisatie, of interne beleidsregels of procedures gepubliceerd door executive management.

Tip

Bepaalde normen en regelgevingen zijn beschikbaar als onderdeel van uw reguliere abonnementsplan. Aanvullende normen en regelgevingen zijn beschikbaar door u te abonneren op content-suites die worden geboden via de Inhoud- en Intelligence-galerij, een centrale opslagplaats voor sectorspecifieke inhoud die kan worden gebruikt in Diligent-producten.

3. Voorwaarden interpreteren en rationaliseren

Zodra u de relevante inhoud hebt geïmporteerd in uw Nalevingskaart, kunt u een nalevingsrisicobeoordeling uitvoeren en beginnen met het interpreteren en rationaliseren van voorwaarden. U hebt de volledige controle over het interne nalevingsproces, inclusief waar op het spectrum u wilt vallen, en het niveau van nalevingsdekking dat u wilt bereiken.

Een nalevingsrisicobeoordeling uitvoeren

Organisaties die nalevingsprogramma's van hoge kwaliteit implementeren, voeren een systematische identificatie en beoordeling van risico's uit. Nalevingsrisicobeoordelingen bieden de middelen voor het beoordelen van toepasselijkheid van normen of regelgevingen, waarbij de normen of regelgevingen die eerst moeten worden beheerd prioriteit krijgen, en wordt aangegeven welke voorwaarden mogelijk van toepassing zijn op de organisatie.

Toepasselijke en gedekte voorwaarden identificeren

Zodra u de nalevingsrisicobeoordeling hebt voltooid, kunt u beginnen met het identificeren van toepasselijke en gedekte voorwaarden.

Er zijn twee primaire methoden die u kunt gebruiken om voorwaarden te interpreteren en rationaliseren:

  • Alles precies aanpakken zoals de voorwaarde voorschrijft en overeenkomstig implementeren zorgt voor vermindering in het risico op niet-naleving, maar voor verhoging van de last om naleving te implementeren en beheren
  • Interpreteren van voorwaarden door professioneel inzicht toe te passen en rationaliseren van optimale dekking toereikend voor de organisatie vermindert de last van naleving, maar kan het risico op niet-naleving voor de organisatie verhogen

Tip

Een goede nalevingsstrategie probeert de vereiste proces- en controlewijzigingen te rationaliseren om nalevingsdekking te maximaliseren door zoveel mogelijk bestaande processen in te zetten.

4. Attestatieprojecten uitvoeren

Met behulp van raamwerken als centrale opslagplaats voor informatie kunt u attestatieprojecten uitvoeren om operationele risicobeoordelingen uit te voeren, kunt u samenwerken met controle-eigenaren om nalevingsprestaties centraal te volgen in alle doelen, en kunt u problemen vastleggen. Met het uitvoeren van attestatieprojecten kunt u een benchmark uitvoeren om erachter te komen hoe uw organisatie presteert in het beheren van nalevingsrisico en -voorwaarden.

Operationele risicobeoordelingen uitvoeren

Het uitvoeren van een operationele risicobeoordeling is een proces waarbij u moet bepalen met hoeveel risico een organisatie te maken krijgt. U kunt een algemene set beoordelingscriteria opstellen die kan worden gebruikt in operationele segmenten, entiteiten of bedrijfseenheden, en u kunt operationele risico's scoren op basis van het gedefinieerde scoreraamwerk.

Tip

Als u operationele risico's niet handmatig wilt scoren, kunt u Beoordelingsfactoren gebruiken om verschillende risicobeoordelingen te automatiseren. U kunt een statistiek die is gemaakt in de Resultaten-app koppelen aan een risicobeoordeling in Projecten om de beoordeling te onderbouwen, en inherente risicoscores automatisch invullen op basis van vooraf gedefinieerde statistiekbereiken.

Controles documenteren en evalueren

Controle-eigenaren kunnen helpen bij het documenteren van het bestaan van ingestelde controles en het evalueren van hun effectiviteit aan de hand van attestatie en/of bijvoeging van bewijs, het definiëren van actieplannen om ontbrekende controles te implementeren om gevallen van niet-naleving aan te pakken, of uitleggen waarom een controle niet nodig is.

Tip

Eerstelijnspersoneel in een organisatie kan de Missiecontrole-app gebruiken om de controles te beheren waar ze toegang toe hebben, buiten de Projecten-app. Missiecontrole is een app die controle-informatie vanuit Projecten in een vereenvoudigde en gecentraliseerde weergave presenteert.

Problemen en acties vastleggen

U kunt gemarkeerde problemen vastleggen en toewijzen voor correctie tijdens het nalevingsbeoordelingsproces, en problemen delegeren naar controle- of probleemeigenaren om de status en bijbehorende actieplannen bij te werken. U kunt ook acties toewijzen aan een belanghebbende voor het eenvoudig volgen, vastleggen van bewijs en oplossen.

5. Rapporteren over de status van een naleving

Uiteindelijk is naleving de uitkomst van het uitvoeren van een goed beheerd en goed gecontroleerd programma. Nalevingskaarten bieden de mogelijkheid voor alle drie de verdedigingslinies om snel inzicht te krijgen in het werk dat elke afdeling uitvoert, en om geaggregeerde informatie in realtime te bekijken.

Voor het aantonen van nalevingsvoortgang kunt u nalevingsgarantie scoren met een enkele, algehele statistiek (Dekking). Deze statistiek geeft management een direct inzicht in de mate waarin de organisatie naleving volgt per regelgeving, bedrijfsproces of entiteit. U kunt ook op elk gewenst moment realtime rapporten genereren die de status van verschillende controlegebieden communiceren, evenals de voortgang van het programma in zijn geheel.

Wat gaat er nu gebeuren?

Lees hoe u een nalevingsprogramma implementeert en automatiseert

Met de Resultaten-apps kunnen beoordelaars incidenten vastleggen via Data Analytics, getriggerde workflows definiëren voor het beheren van incidenten, hoofdoorzaakanalyse en correctie-activiteiten uitvoeren, en zaken sluiten zodra ze klaar zijn voor rapportage.

Raadpleeg Een nalevingsprogramma implementeren voor meer informatie.