IT-gereedschap voor Risk & Compliance Professionals
Informatiesystemen zijn voor organisaties vandaag de dag onmisbaar. Dan is het toch opmerkelijk dat nota bene in het huidige informatietijdperk het bij veel gebruikers ontbreekt aan algemene kennis over informatiesystemen. Ik noem enkele voorbeelden. Er wordt veel door specialisten over software gesproken in vaktaal. Maar hoeveel betrokkenen weten nu precies wat software is, hoe het is samengesteld, wat de verschillen zijn in programmeertalen en hoe het zit met hulpsoftware, operating systems en met het risicobesef? Voor IT geldt de ijzeren waarheid dat elk product een voorkant en een achterkant heeft. Dus tegenover de vele voordelen staan helaas ook nadelen. In veel situaties worden alleen de voordelen benadrukt, dat helpt de gebruikers niet. En hoe zit het met het Auteursrecht? Op software rust auteursrecht. Dat zorgt niet alleen voor zegeningen, ook voor zorgen. Bij wie rust het intellectuele eigendom (IE)? Is dat een natuurlijke persoon of een rechtspersoon? Of is er misschien sprake van gedeelde eigendom? En rust er pandrecht op de software? Wat weet een softwarehouse van auteursrecht?
De kennis over informatiesystemen is een abstracte en complexe materie. Het gaat in hoofdzaak over drie vrij nieuwe kennisgebieden: kennis over informatietechnologie (IT) en dat dan weer onderverdeeld in hardware en software, over het zich snel ontwikkelende juridische deel, het IT-recht en daarbij komt nog kennis van en noodzakelijke aandacht voor informatiebeveiliging. Dit leidt tot specialisten en niet tot generalisten. Terwijl overzicht en begrip voor de samenhang over alle gerelateerde kennisgebieden cruciaal is voor Risk & Compliance professionals.
Wat is een mogelijk antwoord hierop? Het moet gebruikers/verantwoordelijken van informatiesystemen makkelijker gemaakt worden. Hoe kan dit? Door productontwikkeling waar deskundigen uit verschillende disciplines bij betrokken zijn en met elkaar samenwerken. Nu worden nog te veel vragen opgelost door specialistische dienstverleners op basis van uurtje/factuurtje. Terwijl er veel voordelen verbonden zijn aan de mogelijkheid om van dienstverlening producten te maken.
Om te beginnen geeft een goede productbeschrijving duidelijkheid over de te leveren prestatie(s) en de te bepalen prijs. Dan kan ook rekening gehouden worden met de vraag of het product wordt ontwikkeld voor een collectief (alle gebruikers van dezelfde software) of een grote(re) afzetmarkt en dus relatief voordeliger kan zijn. Een ander groot voordeel van de productbenadering zit in het feit dat voortdurend gewerkt kan worden aan productverbetering op grond van ontwikkelingen (veel voorkomend in de IT-omgeving) en op grond van ervaringen. En dat, mits het product is samengesteld door vertegenwoordigers van verschillende betrokken disciplines, op grond van actuele ontwikkelingen in die disciplines er betere producten ontstaan.
Is ontwikkeling van standaard producten de oplossing? Natuurlijk blijft er ook behoefte aan maatwerk. Al was het maar omdat elk informatiesysteem bestaat uit hardware, software, gegevens, gebruikers en procedures. Elk informatiesysteem is dus uniek, al was het maar vanwege de gebruikers. Het zou een grote vooruitgang zijn als de verantwoordelijken voor informatiesystemen en hun adviseurs zouden kunnen putten uit een gereedschapskist met goed gedefinieerde producten voor het beveiligen van beheer en beschikbaarheid van informatiesystemen.
Op 2 november aanstaande tijdens het Accountancy Event 2021 in Amersfoort zal er zeker aandacht zijn voor goed gereedschap dat de accountant/adviseur kan inzetten bij zijn klanten. Daar profiteren zowel adviseurs als de verantwoordelijken voor informatiesystemen van. Ik geef nu enkele voorbeelden van goed IT-gereedschap voor Risk & Compliance professionals:
* De Norm software-escrow IT-notaris. Op grond van de wet op het Notarisambt kan de IT-notaris een ijzersterke bijdrage leveren aan de beschikbaarheid van informatiesystemen. En daarmee aan een veiliger informatiemaatschappij. De Norm schrijft samenwerking voor met IT-juristen, IT-auditors en software-experts.
* Het NVBI Protocol Taxatie van Software. De NVBI is een beroepsvereniging van onafhankelijke en deskundige professionals die werken op het snijvlak van ICT, bedrijfskunde en recht. Het belang van taxatie van hard- en software neemt toe, maar het specialisme kent bijna geen professionals. De NVBI bevordert uitwisseling van kennis onder leden en bevordert zo de kwaliteit van dit product.
* Het framework voor beveiliging van informatiesystemen op basis van SaaS (Software as a Service) . Dit framework omvat technische, juridische en financiële aspecten uitgevoerd door samenwerkende deskundigen zoals IT-auditors, IT-juristen, software-experts, IT-notarissen etc. Door de onbekendheid met de materie weten veel gebruikers niet, dat het hier niet gaat over uitbesteden van software alleen, maar om het uitbesteden van het hele informatiesysteem. Hardware, software en de vastgelegde gegevens verhuizen allemaal naar het datacenter. Alleen de gebruiker blijft op zijn plaats.
Henri Hensen