Compliance praksis eller Compliance kultur?

Compliance! Nok et af de mest varme emner hos din CIO i 2017. Med den nye EU persondataforordning skal virksomheder ikke bare overholde, men også kunne dokumentere, at man lever op til en lang række krav om behandling af personhenførbar data. For de fleste virksomheder er dette nye krav som kan blive særdeles ressourcekrævende for IT at leve op til. Men konsekvensen af ikke at kunne levere compliance, kan blive stor. Derfor er mange virksomheder – med udgangspunkt i IT afdelinger og compliance funktioner – i gang med at finde løsninger på compliance udfordringerne, som lader til stadigt at vokse i kompleksitet i en globaliseret verden.

I rollen som rådgivere taler vi ofte med virksomheder om, hvordan man operationelt kan ”løfte” de stigende compliance krav. Når snakken kommer ind på løsninger, så er det uundgåeligt at komme til at tale om virksomhedens medarbejdere. Målet er som regel – for ikke at sige altid – at forstyrre medarbejderne mindst muligt, når der skal udføres nye kontroller for at sikre det nødvendige compliance niveau. Der er stor fokus på, at virksomheden ikke skal miste produktivitet på baggrund af den governance praksis som voksende compliance krav medfører.

Det store spørgsmål er, om det overhovedet er muligt?

Et grundlæggende princip i Good Governance Practices™ – som er den metode vi oftest anvender til implementering af governance løsninger – handler om ”Distribueret ejerskab”. Princippet går ud på at sende ejerskab for alle kontroller helt ud til de ressourcer, der helt konkret kan gøre noget for at sikre compliance. Et eksempel: Har man et regelsæt, der omhandler personhenførbar data og information i emails og ønsker man 100% compliance med denne regel, er man nødt til at foretage kontrollen i den enkelte brugers mailbox.

Og her rejser der sig et vigtigt spørgsmål, som virksomheder fremover bliver nødt til at forholde sig til; Er det nok at brugeren ”kontrollerer” sig selv (bekræfter, at hun eller han overholder reglerne), eller skal virksomheden kunne foretage denne kontrol fra centralt hold?

I netop det nævnte scenarie er der muligvis behov for at have central kontrol. Men i mange tilfælde kan der faktisk være en større gevinst at hente ved at uddelegere ansvaret til brugerne selv, eller ved at kombinere de to muligheder. Spørgsmålet IT ledelsen bør stille er:

Skal vi have ”Compliance” – eller skal vi have en ”Compliance kultur”?

 

Denne artikel er en af i alt 3 artikler om Compliance Kultur

Leave a Reply

Your email address will not be published. Required fields are marked *