Business
Trending
TechPulse op WhatsApp Windows 10 Black Friday-deals Alles over elektrische fietsen
Nieuws
Redactie TechPulse

Zware compliance agenda voor IT in 2007

 

In de financiële sector zijn ze het ondertussen gewend. Maar in 2007 krijgen bedrijven in vrijwel alle sectoren te maken met compliance in één van zijn vele vormen. ITafdelingen zijn daar niet altijd even gelukkig mee.

70 procent van de IT-uitgaven bij de Belgische banken is erop gericht om bestaande systemen aan te passen aan nieuwe wetten en regels, zei Jozef Van den Nieuwenhof, directeur van het departement bancaire informatica en organisatie bij de Febelfin, enkele maanden geleden in IT Professional. Dat zal in 2007 niet verminderen, denkt hij: ‘Zeker niet met de internationalisering van het bedrijfsleven, die sneller gaat dan de internationalisering van de wetgeving en van de nationale regulatoren. Michel Tilmant vertelde onlangs in Trends dat ING rapporteert aan 300 regulatoren in 60 landen. Zolang die allemaal hun eigenheden behouden, ziet het er dus niet zo goed uit.’

Allereerst zijn er de horizontale regels. Bedrijven met een Amerikaanse beursnotering moeten zich in orde stellen met de strenge Sarbanes-Oxley wetgeving. Maar als ze in Europa werken, ook met Europese richtlijnen zoals die op de privacy.

Daarnaast is er een groeiende categorie branchespecifieke reglementeringen. In de financiële sector is er onder meer Basel II en Solvency II. De telecomsector zit met de bewaarplicht op belgegevens. Dergelijke regelingen hebben vaak een brede impact. De in december goedgekeurde REACH richtlijn vereist een elektronische aangifte van gevaarlijke chemicaliën vanaf de hoeveelheid van 1 ton – heel wat bedrijven die zich nooit tot de chemische industrie rekenden, vallen daar toch onder. Ten derde zijn er ook vrijwillige regels waar bedrijven zich aan onderwerpen, zoals de ISO 27001 IT-beveiligingsstandaard of het COBIT governance framework.

COMPLEXITEIT
Europese regelgeving voor bedrijven gebeurt vrijwel uitsluitend via richtlijnen, zegt Yves Le Roux, technology strategist bij CA. Dat zijn maatregelen die vervolgens in elk land in de nationale wetgeving moeten worden ingevoerd, met subtiele of minder subtiele verschillen. Voor de Europeseprivacy richtlijn 95/46 heeft dat aanleiding gegeven tot tegenstrijdigheden van land tot land. Bovendien is er tegenspraak tussen de privacyrichtlijn en Sarbanes-Oxley. McDonalds werd in 2005 op de vingers getikt door de Franse overheid vanwege inbreuken op de privacywetten, omdat het een kliksysteem had opgezet om anoniem managers aan te klagen – iets wat vereist is voor Sarbanes-Oxley.

Europa heeft (nog?) geen eigen Sarbanes-Oxley, wel een aantal initiatieven die in die richting gaan, zoals de belangrijke richtlijn 2006/43/EC van mei 2006 over audits.

Ondertussen zijn een aantal lidstaten al vooruitgelopen: het Verenigd Koninkrijk heeft al sinds 2003 zijn Combined Code on Corporate Governance, Frankijk heeft zijn Loi de la Sécurité Financière. Yves Le Roux legt de complexe situatie uit: ‘Terwijl de Europese Commissie adviezen naar beneden duwt in de richting van de staten, en de nationale regulatoren wetgeving omhoog duwen, komt er ook nog invloed van het Committee of European Security Regulators (CESR), die bestaat uit regulatoren van de effectenhandel in de lidstaten.’ Le Roux gelooft dat Europese harmonisatie uiteindelijk toch de regels zal versimpelen, maar zo ver zijn we nog niet.

DE IT-AGENDA
Voor IT heeft compliance een viertal effecten. Ten eerste op het vlak van beveiliging. Bedrijven moeten voor Sarbanes- Oxley of de privacyrichtlijn goede controle hebben over wie er toegang heeft tot welke informatie, en zij moeten dat kunnen bewijzen. Dat betekent onder meer een systeem voor identity management. Een tweede technologische aspect, is het samenbrengen van de belangrijke compliance-informatie op één plek, vanwaar ze kan worden geleverd aan de verschillende instanties. Ten derde zijn er software-instrumenten die bepaalde compliance- regels, bijvoorbeeld veilige paswoorden, technisch afdwingen. Een vierde aspect zijn processen die in de IT-afdeling ingevoerd moeten worden: zo vereist Basel II testprocedures voor software.

Aangezien het aantal reglementen blijft toenemen, pleiten auditbedrijven steeds meer voor een geconsolideerde aanpak: maatregelen treffen die helpen om in overeenstemming te zijn met verschillende huidige én toekomstige regels en standaarden. Zo ook Daniël Evrard van PWC: ‘Het belangrijkste is om een goede inventaris te hebben van wat men wil en moet doen, zodat men een overzicht heeft. Dan wordt het mogelijk om twee vogels te raken met één steen.’

Evrard en andere consultants wijzen op het belang van controleframeworks zoals COBIT. Die zijn een stuk concreter dan bijvoorbeeld Sarbanes-Oxley zelf, en geven dus houvast. Een volgende stap, zegt Wouter Mariën van Symantec, is om de principes van die frameworks automatisch te mappen op de IT-infrastructuur. Met software die, bijvoorbeeld, controleert of gebruikers geen conflicterende rechten bezitten (bijvoorbeeld om facturen goed te keuren en te betalen).

De markt voor allerlei aan compliance gerelateerde IT-producten groeit in ieder geval snel. Jozef Van den Nieuwenhof van Febelfin blijft er sceptisch bij: ‘Dat zijn oplossingen om de chaos in regelgeving en compliance enigszins beheersbaar te maken, maar een echte oplossing is dit zeker niet. Het is wel een bron van inkomsten voor de leveranciers van die systemen.’ Hij vindt dat er meer synergie moet komen tussen de regulatoren.

businessitprofessionalnieuws
TechPulse
Redactie TechPulse

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
Bekijk de huidige aanbiedingen bij Coolblue

Bekijk de huidige aanbiedingen bij Coolblue

👉 Bekijk alle deals

Trending berichten

Business