Compliance en Ampersand

2 februari 2010

Hoewel methodes om compliance in IT-stystemen te ondersteunen niet klaar zijn voor de praktijk, denkt Henriëtte Sangers dat dit niet heel lang meer zal duren. Sangers is projectmanager credit risk management bij ING Lease Holding. Volgens haar zou het veel tijd en geld kunnen besparen. 'Het zal nog wel even duren, maar uiteindelijk is dit voor veel bedrijven de toekomst. Als bedrijf mis je kansen op de markt als je dit niet doet. Het is de enige manier om aantoonbaar te voldoen aan allerlei eisen en tegelijk flexibel te blijven'. Het onderzoek van Sangers wees uit dat de Ampersand-methode bruikbaar is om compliance in IT-systemen te ondersteunen. Aangezien compliance-projecten vaak een groot deel van het budget opslokken, hebben organisaties hier veel belang bij. De Ampersand-methode, ontwikkeld door hoogleraar Informatica Stef Joosten van de Open Universiteit, gebruikt relatiealgebra om bedrijfsregels vast te leggen en specificaties in IT-systemen te genereren, waarvan kan worden bewezen dat ze voldoen aan de gebruikte bedrijfsregels. Als deze bedrijfsregels garanderen dat een organisatie op een bepaald gebied voldoet aan de voor haar geldende regelgeving dan kan de Ampersand-methode aantonen dat het IT-systeem dat met behulp van deze regels is gegenereerd, compliant is. Het is een zeer interessante methode, maar de organisatorische kant van compliance om de methode heen wordt nog teveel genegeerd.


Met de komst van steeds veeleisender regelgeving en strenge eisen wordt het voor organisaties nodig om bewijzen te verzamelen, dat zij hun systemen juist hebben ingericht. Bedrijven kunnen zich geen missers permitteren op het gebied van privacywetgeving of beveiliging van bestanden. Compliance betekent dat een organisatie aantoonbaar voldoet aan de voor haar geldende regelgeving. Sangers: ‘Het gaat om veel verschillende regels, compliance is heel breed. Bovendien is het lastig om de vertaalslag te maken tussen de regels en de praktijk in IT-systemen. Dit kost organisaties veel tijd en daarmee geld. Een extra complicatie bij compliance vormt de noodzaak van de bewijsbaarheid' . Aan bedrijfsregels ligt logica ten grondslag. Dit biedt de mogelijkheid bedrijfsregels geautomatiseerd te vertalen in functionele specificaties en direct een systeem te ontwikkelen dat ervoor zorgt dat organisaties voldoen aan de regelgeving van overheid en toezichthouders, op voorwaarde dat deze correct is vastgelegd in de bedrijfsregels. Bovendien kunnen bedrijven met zo'n methode ook aantonen dat zij voldoen aan deze regelgeving. Sangers: ‘Juist die aantoonbaarheid is tot nu toe het probleem. Bewijs maar eens dat alles goed is geïmplementeerd'. Volgens haar zijn er twee problemen, waardoor compliance zoveel tijd en energie opslokt. ‘Vaak zijn verschillende bedrijfsregels tegenstrijdig met elkaar. Bovendien is er vaak een kloof tussen de ideeën van de commerciële kant van een organisatie en de IT-kant. Door met een controlesysteem te werken wordt het makkelijker om de vinger op de zere plek te leggen. Tegenstrijdige functionele eisen komen vroegtijdig aan het licht. Het maakt direct duidelijk waar inconsistenties in de verschillende regels zitten. De commerciële tak en de IT-tak kunnen op zo'n moment rond de tafel gaan zitten om deze inconsistenties weg te werken. Dat is een duidelijke stap voorwaarts. Het levert tijdswinst op, omdat systemen niet meer achteraf aangepast hoeven te worden'. De wens om de correctheid van ICT systemen te kunnen bewijzen is niet nieuw. Sangers: 'Vanaf het begin van het bestaan van het vak Informatica is de bewijsbaarheid van de correctheid van code en systemen een soort heilige graal geweest. Dit was echter lange tijd mensenwerk, erg arbeidsintensief en kostbaar. In de praktijk was het niet haalbaar dit op grote schaal toe te passen. Alleen in omgevingen waarin echt geen fouten gepermitteerd zijn, zoals in de ruimtevaart, was er ruimte voor dergelijke benaderingen'. Met de komst van steeds veeleisendere regelgeving wordt het voor andere organisaties echter ook nodig om bewijzen te verzamelen dat zij hun systemen juist hebben ingericht. Dit is allemaal eer juist. Iktwijfel over de bewering dat het de enige methode zou zijn. Daarnaast is er een heel groot mits: de bedrijfsregels moeten in orde zijn. Mijn ervaring is dat compliance daar moet beginnen: bedrijfsregels zijn vaak niet aanwezig, niet juist geformuleerd, niet actueel. Een goede methode van complance begint daar. Voor de IT kan dan de Ampersand-methode worden gebruikt. Ik heb nog vragen over de flexibiliteit ervan en de mogelijkheid bij wetswijzigingen bedrijfsregels te veranderen en door te voeren in systemen.

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *