Compliance kulturen

Compliance er i høj grad drevet af en effektiv governance praksis. Den gode governance praksis sætter rammerne for, hvordan compliance målet skal opnås. Der er utallige eksempler på, hvor svært det kan være at indføre en governance praksis, der for alvor kan skabe resultater. Og i næste alle disse tilfælde vil man kunne finde mangler i den organisatoriske implementering. Hvad er det egentligt der er så svært?

Som it-governance mand, ser jeg ofte virksomheder der har svært ved at ”komme ud over kanten” med deres IT governance initiativer. For nemhedens skyld behandles it-governance ofte som en system-specifik øvelse og man undlader derfor at involvere de slutbrugere det hele i virkeligheden handler om. Så længe den governance praksis man udøver alene sigter mod konkrete mål for oppetid og service-parathed – indenfor IT afdelingens egne rammer – så kan det lade sig gøre. Men når virksomhedens it-governance praksis skal levere hård compliance, der kan påvirkes af brugerne, bliver det langt mere besværligt.

At opnå nye compliance mål vil altid være et spørgsmål om at engagere brugerne. Det er hos brugerne non-compliance tilfælde opstår og det er hos brugerne de skal rettes. Derfor skal brugerne involveres; gennem oplysning, træning, kompensation og opfølgning, så der med tiden skabes en kultur omkring compliance der tjener både brugerne og virksomheden.

En undersøgelse fra ISACA.org viser at ikke mindre end 97% af alle information security ”breaches” i 2011 ville kunne være undgået med simple kontroller, der i høj grad kunne være udført af brugerne selv. Samme undersøgelse viser, at den gennemsnitlige omkostning til at drive compliance samme år var 222 USD per bruger, hvorimod omkostningerne per bruger – i virksomheder som ikke har en god praksis og kultur for compliance – løber op i 820 USD per bruger.

Leave a Reply

Your email address will not be published. Required fields are marked *