achmeaVoor financiële instellingen is compliance van groot belang. Vanuit het compliance-perspectief onderkennen we tal van regels en referentiekaders. De uitdaging is nu om op een efficiënte manier informatie te verzamelen, zodat we die kunnen hergebruiken. Lees hoe we dit gedaan hebben voor Achmea.

Transparant

Vanuit toezichthouders zoals De Nederlandsche Bank en de Autoriteit Financiële Markten gelden strikte vereisten. Daarnaast geeft adequate inrichting van compliance ook aandeelhouders waardevolle informatie over de mate van beheersing over de interne bedrijfsvoering. Het gaat hierbij vooral om het transparant maken van de organisatie. Dit kan door het aantonen van de effectieve werking van processen binnen organisaties.

Kostbaar

Het transparant maken van de interne bedrijfsvoering is een kostbare aangelegenheid. De verschillende kaders hebben hun eigen doel, maar baseren zich op dezelfde informatiebronnen. Hierdoor worden zij als administratieve last met veel overlap voor uw organisatie ervaren. De uitdaging is nu om op een efficiënte manier informatie te verzamelen, zodat we die kunnen hergebruiken voor het voldoen aan referentiekaders voor compliance.

Eenvoudiger

Het beste is om de eisen die deze regels en kaders aan uw organisatie stellen, samen te vatten en te groeperen naar een model dat herkenbaar en bruikbaar is in uw eigen organisatie. We identificeren een voor compliance minimale set van controls, afkomstig uit de betrokken kaders, die voor uw organisatie van belang zijn. Door gebruik te maken van deze “grootste gemene deler” van controls en eraan gekoppelde eisen voor evidence, wordt het voldoen van eisen ten aanzien van compliance op elk referentiekader eenvoudiger.

Case: Achmea Multi Model Approach

Achmea is een van de grootste verzekeraars in Nederland. De centrale Groep IT Services (GITS) verzorgt de IT-dienstverlening voor alle bij Achmea aangesloten merken.

Normenkader

Achmea GITS heeft een eigen normenkader opgesteld, afgeleid van raamwerken als CobiT, COSO, SOx, code Tabaksblat en de Code voor Informatiebeveiliging. Achmea GITS hanteert dit normenkader om op continue basis inzicht te hebben in de status van de informatievoorziening. Dit normenkader bevat de meest relevante bouwstenen (zogenaamde Key Controls) uit genoemde standaarden. Een mooie kans was het om het CMMI for Development en IT Service CMM te integreren met de bestaande set van Key Controls.

De verschillende afdelingen rapporteren over de Key Controls om de mate van interne beheersing over de bedrijfsvoering van Achmea GITS te bepalen. Ter onderbouwing moet er bewijsmateriaal aangeleverd worden.

Een keer meten, meerdere keren weten

In samenwerking met Achmea GITS heeft inspearit de relatie gelegd tussen de specific en genericpractices uit CMMI for Development en IT Service CMM modellen en de Key Controls anderzijds. Voor een CMMI assessment hoeft Achmea GITS vanaf nu niet opnieuw te beginnen met het verzamelen van bewijslast, maar kan de organisatie het bewijs over de Key Controls als uitgangspunt nemen.

Resultaat

Als Achmea GITS nu kan aantonen dat zij voldoet aan een specifieke set Key Controls die gekoppeld zijn aan diverse practices uit de genoemde CMM modellen, komt daarmee een uitspraak over een bereikt volwassenheidsniveau in zicht.

Heeft u een vraag?

Neem contact op