...

Programy zgodności a elastyczność

Wprowadzenie

Inspiracją do napisania tego krótkiego resume była lektura artykułu „Are you sabotaging your compliance programme” pióra Nick’a John’a Weir’a w numerze Styczeń-Marzec 2024, którą zderzyłem z praktyką ostatniego roku audytowego i rozmowami na temat programów zgodności (np. w oparciu o ISO 37301) i polityk, poprzez które organizacje regulują je sobie w różnych obszarach – np. bezpieczeństwa informacji w ramach ISO 27001 – polityka haseł, kont uprzywilejowanych, czystego biurka, … , czy ciągłości działania wg ISO 22301, itd.

Czy masz świadomość, że Twoja polityka może utrudniać zespołom wykonywanie ich najlepszej pracy? Ramy polityki są potrzebne, aby zapewnić zgodność środowiska operacyjnego z przepisami, organami nadzorczymi i wewnętrznymi standardami. Jednak źle wdrożone mogą przeszkadzać zespołowi w szybkim działaniu. Obecnie pracownicy dobrze czują się, mając jasne wytyczne i wolność w rozwiązywaniu problemów. Choć kuszące jest narzucanie najlepszych praktyk, najwyższe kierownictwo powinna stworzyć polityki balansujące między wolnością a kontrolą (środkami kontroli ryzyka).

Najpierw warto ustalić minimalny zestaw niezbędnych kontroli, aby być zgodnym z prawem. To połączenie przepisów, ograniczeń kontraktowych i ram certyfikacyjnych. Poza zmieniającym się prawem krajowym, wprowadzane są akty unijne. A gdy ktoś działa na rynkach globalnych ramy takie jak PCI dla finansów, i SOX dla firm publicznych, etc. dodają złożoności. Te kontrole definiują podstawę do legalnej działalności.

Na tej podstawie można wykorzystać swoje polityki do szerszego celu. Organizacje wykorzystują ramy polityki do zwiększenia bezpieczeństwa, celów środowiskowych i społecznych, oraz kształtowania kultury firmy. Silne ramy polityki budują zaufanie do marki i poprawiają wyniki sprzedaży. Możesz również wykorzystać polityki do egzekwowania najlepszych praktyk. Instytucje takie jak ISO i NIST opublikowały już ponad 25,000 standardów. Dlaczego więc nie skorzystać z tej wiedzy? Jednak sztywne egzekwowanie standardów tworzy dodatkowe procesy, które trzeba utrzymywać. Więcej osiągniesz, ucząc pracowników solidnych praktyk i ufając ich osądowi.

Być może brzmi to zbyt idealistycznie. Ale czy możesz oczekiwać, że wszyscy w firmie będą stosować dobry osąd? Oczywiście, że nie. Ale to uświadomienie pomoże Ci zidentyfikować obszary, które są zbyt ważne, aby pozostawić je otwarte na interpretację. Można polegać na apetycie na ryzyko twojej organizacji, wybierając obszary z największą elastycznością.

ISO 37301, compliance, ISO 27001, ISO 22301

Innowacja z elastycznością

Innowacja działa najlepiej z elastycznymi kontrolami. Jeśli jesteś firmą technologiczną, twoje zespoły produktowe i inżynieryjne są odpowiedzialne za rozwój produktów. Potrzebują elastyczności, aby szybko dostarczać nowe funkcje. Jednak nadmierna egzekwowanie polityki spowalnia zespoły i prowadzi do utraty okazji rynkowych. Nawet w takim zespole, niektóre obszary muszą być regulowane precyzyjnymi zasadami. Bezpieczeństwo twojego produktu jest kluczowe, a błędy w infrastrukturze mogą zaszkodzić reputacji nawet najlepszych produktów. W każdej branży, twój program bezpieczeństwa ma najwięcej do zyskania na redukcji ryzyka.

Ale twórcy polityk powinni uważać. Nadmiernie preskryptywne wytyczne mogą stwarzać opór. W środowisku zbyt obciążonymi politykami, pracownicy mogą ignorować nie tylko dobrowolne kontrole, ale także te z konsekwencjami prawnymi i kontraktowymi. Należy zrównoważyć zakres takich ram politycznych w zależności od wielkości  i tolerancji na ryzyko organizacji. Dla małych organizacji, nawet najbardziej ryzyko-awersyjne zespoły muszą skupić się na swojej podstawowej pracy. Duże organizacje oczekują spójności we wszystkich dziedzinach, co prowadzi do bardziej preskryptywnych polityk, ale te prawdopodobnie mają zasoby, aby zrekompensować koszty nadzoru.

Instytucje takie jak ISO definiują najlepsze praktyki w obszarach wymagających tej spójności. Jednak należy być ostrożnym, ponieważ najlepsze praktyki nie zawsze są najlepsze dla twojej organizacji. Mogą nie uwzględniać unikalnych niuansów twojego otoczenia biznesowego. Niektóre najlepsze praktyki są zaprojektowane do łagodzenia ryzyk, których twoja organizacja może nie doświadczać.

Dlatego twój zespół może świadomie zdecydować się na niewdrażanie najlepszych praktyk. Rozwój technologii może zająć lata, a mądre firmy ustanawiają elastyczne polityki. Warto więc  rozważyć nowe technologie AI. Mimo że AI wprowadza obawy o bezpieczeństwo, powinno się pozwolić zespołom korzystać z tych narzędzi, aby nie pozostać w tyle za konkurencją.

Risk, compliance, ISO 37301

Wewnętrzne cele

Oprócz najlepszych praktyk, wiele organizacji ustanawia cele prowadzące do nowych, dobrowolnych wewnętrznych polityk. Na przykład, aby zmniejszyć ślad węglowy twojej firmy, musisz ustalić nowe standardy. Są to godne cele, ale nie należy ich wprowadzać lekkomyślnie. W końcu wymagania twojego programu zgodności będą rosły z czasem. W miarę ewolucji zagrożeń, trzeba wprowadzić nowe środki kontroli. Dlatego najlepiej ograniczyć dobrowolne kontrole, aby zapobiec nieuchronnemu rozrostowi długotrwałej organizacji.

Zespoły zgodności są odpowiedzialne za zapewnienie, że twoja organizacja przestrzega wszystkich wymagań zewnętrznych i wewnętrznych. Choć kuszące, najlepiej jest oprzeć się pokusie nadmiernego przepisywania polityk, które mogą ograniczać zachowanie zaufanych zespołów. Dobrze dostrojony program zgodności pozwala zespołom pracować w preferowany sposób, jednocześnie budując zaufanie, że działają w granicach prawa i oczekiwań klientów. Wprowadzanie zbyt wielu nieistotnych polityk wywołuje wątpliwości w zespołach wdrażających kontrole i ryzyko braku zgodności. Nadmiar biurokracji może ograniczać wydajność i wywoływać niezadowolenie wśród tych, na których polegasz w zapewnieniu ciągłej zgodności. Dobrowolne polityki mogą wnosić dużą wartość, ale muszą być wdrażane oszczędnie, aby cały zestaw polityk działał efektywnie. Osiągnięcie właściwej równowagi wymaga zarówno staranności, jak i powściągliwości.

„Osiągniesz więcej przestrzegając zasad, szkoląc pracowników w solidnych praktykach bezpieczeństwa i biznesu, a następnie ufając im w stosowaniu dobrego osądu w rozwiązywaniu problemów w ramach tych zasad.”

Bibliografia:

  1. Risk&Compliance, JAN-MAR 2024 issue – link: https://riskandcompliancemagazine.com/downloads
Scroll to Top