De compliance-professionals die in opdracht van MYOBI optreden, bespreken jaarlijks met de bedrijfsleiding de verwachtingen omtrent de uitkomsten van de compliance-aanpak. Het is verstandig om de tijdlijnen van de compliance-aanpak aan te laten sluiten bij de financiële en fiscale verantwoordingen. MYOBI biedt diverse hulpmiddelen aan om het verantwoordingsproces in te richten. Het blijven wel hulpmiddelen. Een bedrijf moet het verantwoordingsproces zelf operationaliseren.

Het afspreken van tijdlijnen is afhankelijk van de effectiviteit van de organisatie van bedrijfsactiviteiten met bedrijfsprocessen, waarin beheers- en beveiligingsmaatregelen “by design” zijn opgenomen en ondersteund worden door IT. Met behulp van een risicoanalyse stelt de bedrijfsleiding de volwassenheidsniveaus vast en geeft aan wat de ambities zijn. Inzicht in de status quo en ambities maakt het mogelijk de compliance-aanpak in lijn met andere verantwoordingen te organiseren.

Het inventariseren van de bedrijfsactiviteiten en inzicht verkrijgen in de mate waarin de bedrijfsactiviteiten effectief met bedrijfsprocessen zijn georganiseerd kan goed en snel plaatsvinden. Het vervolgens uitvoeren van een risicoanalyse vraagt vakmanschap. Een analyse kan betrekking hebben op het gehele bedrijf of per bedrijfsonderdeel worden uitgevoerd. Wij kunnen ons voorstellen dat voor een klein of middelgroot bedrijf één risicoanalyse voldoende is om inzicht te krijgen in de risico’s. Bij een bedrijf met verschillende bedrijfsactiviteiten en verschillende verwerkingen van persoonsgegevens, kan de keuze voor meerdere risicoanalyses beter zijn.

Op basis van de risicoanalyse(s) kan de frequentie worden bepaald hoe vaak het volwassenheidsniveau van een beheersdoelstelling moet worden vastgesteld aan de hand van effectief werkende beheersingsmaatregelen. De beheersdoelstellingen zijn opgenomen in de toetsingskaders. Het is raadzaam om per risicoanalyse de toetsingskaders te gebruiken en hiervoor de frequentie te bepalen.