In control over IT processen en risico’s

DE VRAAG

“Wij willen graag inzicht in de opzet en werking van álle IT processen en de daarbij horende controls, Key Performance Indicatoren (KPI’s) en Key Risk Indicatoren (KRI’s) om ons IT Control Framework naar een hoger niveau te tillen.” Met deze hulpvraag klopte een internationale (her)verzekeraar bij ons aan. Relevant? Absoluut! Niet alleen financiële instellingen zelf leggen steeds meer focus op het in control zijn en blijven op IT risico’s, ook toezichthouders vragen hier steeds meer aandacht voor. Zo verwacht de DNB bijvoorbeeld dat organisaties voldoen aan eisen om integriteit, voortdurende beschikbaarheid en beveiliging van de informatievoorziening te waarborgen.

Met onze kennis van de financiële markt in combinatie met internationale standaarden op het gebied van wet- & regelgeving en IT risicomanagement, zijn wij aan de slag gegaan om het IT Control Framework van deze organisatie te verbeteren.

ONZE AANPAK

Om zowel een uitvoerbaar als beheersbaar IT Control Framework te realiseren, hebben wij de omvang, complexiteit en strategie van de betreffende (her)verzekeraar als uitgangspunt genomen. We zijn het project gestart met het inzichtelijk maken van de huidige opzet en uitvoering van de IT processen. Hiervoor analyseerden we alle beschikbare documentatie en organiseerden we workshops met eerstelijns medewerkers en managers om ook een goede aansluiting te vinden met de daadwerkelijke way-of-working. De verkregen inzichten in de huidige situatie dienden als startpunt voor de transitie naar de ‘to be’-situatie.

In de volgende stap vergeleken we de huidige manier van werken met industrie standaarden en best practices, waaronder ITIL, COBIT en de ISO 27000 serie. Op basis van een FIT/GAP analyse beschreven we het ‘to be’-proces. Dit was een uitgebreide beschrijving van het proces en de rollen en verantwoordelijkheden, met daarbij een beknopte en duidelijke visualisatie. Hierbij hebben we ook de samenhang en afhankelijkheden van de verschillende processen in kaart gebracht. Vervolgens organiseerden we risk assessments om alle mogelijke risico’s te identificeren. Om de risico’s te mitigeren en de opzet en werking van het proces aantoonbaar te maken hebben we in de vervolgstap controles en KPI’s en KRI’s gedefinieerd en gedocumenteerd.

HET RESULTAAT

Door de organisatie in elke stap van het proces mee te nemen hebben we een breed gedragen, uitvoerbaar en aantoonbaar IT Control Framework neergezet. Daarnaast heeft de aanpak geleid tot het vergroten van bekendheid, eigenaarschap en bewustwording op het gebied van IT Risk Management binnen de organisatie.

Meer weten over wat wij voor u kunnen betekenen op het gebied van IT Risk Management? Klik hier.

Welke kansen zie je?

We maken graag een afspraak. Bel ons op 0653778749 of stuur een e-mail naar e.hoekstra@itds.nl.

Bel mij terug

Hidden
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.