Dag uit het leven van Bart Sibon

Een dag in Bangalore

14 november 2014
In dit artikel:

07.00 UUR

De wekker gaat… gelukkig niet al te vroeg. Ik bevind me in een hotel in India, in Bangalore. Redelijk goed geslapen, stap ik nog dromerig onder de douche en word ik langzaam maar zeker wakker. Ik ben in India voor het geven van een awareness-training bij een belangrijke leverancier aan wie we SAP Security en SOX-werkzaamheden hebben geoutsourced.

07.30 UUR

Ik zit beneden in het restaurant en lees een regionaal Engels krantje dat aan de deurknop van mijn hotelkamer was gehangen. 178574112De krant laat zich gemakkelijk lezen en zo kom ik iets meer te weten over wat er speelt in India en in de stad Bangalore. Het ontbijt houd ik eenvoudig met wat crackers, yoghurt en koffie, ondanks het zeer ruime aanbod aan warme en koude Indiase gerechten. Eerdere ervaringen in India hebben me geleerd om, met mijn niet al te sterke maag, rustig aan te doen met Indiaas voedsel. Vandaag gaat het goed en ben ik redelijk fit. De jetlag voel ik wel, maar ja, dat hoort erbij. Twee collega’s schuiven bij aan tafel en we nemen de planning van de dag door.

08.15UUR

We stappen met zijn drieën in de taxi om naar de campus van de leverancier te gaan. Gelukkig staat de airco al aan, want buiten is het al aardig warm. De zon brandt en het belooft een hete dag te worden. Het ritje van het hotel naar de campus duurt amper vijftien minuten, maar het is altijd een tocht waarin ik mijn ogen de kost geef. De stad is al volop in beweging. De scooters razen links en rechts voorbij. Bussen zitten overvol met mensen op weg naar hun werk. Achter in vrachtwagentjes zitten mensen die meeliften of meehelpen met het vervoer. Een hele familie, man, vrouw en kind op één motor rijdt ons voorbij. Een heilige koe staat midden op de rijbaan en iedereen gaat er netjes omheen. Er wordt volop gebouwd. De houten bouwsteigers laten zien dat hier nog veel aan veiligheid kan worden verbeterd.

De taxi is aangekomen bij de campus. We stappen uit en lopen naar de toegangscontrole. We worden herkend door de dame die ons aanmeldt. Ik onderteken voor ontvangst van de dagpas en we moeten wachten op onze gastheer. Onze gastheer neemt ons mee door de bewaking naar de trainingsruimte, die zich bevindt op een mooi gedeelte van de campus. Zo lopen we door een park langs een zwembad en komen we in de grote trainingszaal waar zo’n veertig man al zitting heeft genomen.

Ik sta versteld van het acteertalent van mijn Indiase collega’s

09.00 UUR

De training, een SOX-awarenesssessie voornamelijk geënt op processen in de hoek van SAP Security en Autorisaties, gaat beginnen. Ik heb een leuk afwisselend en interactief programma voorbereid en ik sluit mijn laptop aan op de beamer en vraag of een internetaansluiting geregeld kan worden.

Het programma start, de deelnemers, allen Indiërs, kijken naar wat er gaat gebeuren. We groeten en stellen ons voor, vier presentatoren met allen hun eigen expertise. Ik trap enthousiast af met de agenda en met setting the scene en verwachtingen. Mijn collega begint met het eerste onderdeel over functievermenging en zij vertelt over de risico’s, de do’s en don’ts bij het toekennen van autorisaties, en legt uit hoe met conflicten dient te worden omgegaan. Vervolgens komen de andere onderdelen aan de orde. Een korte pauze volgt.

Heilige KoeNa de pauze deel ik de mensen in groepjes in en leg uit dat elke groep per besproken onderdeel verbeterpunten, zowel op organisatorisch en procesmatig gebied als op het gebied van tools en technieken, bediscussieert en op papier zet. De groepen gaan aan de slag en wij lopen rond om ondersteuning te geven. Na een half uur verzamelen we de flipoverformulieren en vragen we elke groep zijn verbeterpunten te presenteren. Tijdens de presentatie zoomen we in op de onderdelen, zo ook op het proces rondom functievermenging. We gaan in discussie en het blijkt dat het verantwoordelijke team onvoldoende bevoegdheden heeft om in te grijpen in geval van een conflict. Met de groep en het management van de leverancier bespreken we de mogelijkheden en besluiten we dat het team de bevoegdheid krijgt om bij bepaalde conflicten, die een extreem hoog risico zijn voor de organisatie, direct zelf in te grijpen. Ik noteer de acties en bevestig ze later met het management om ze op te volgen. De sessie duurt langer dan gepland, maar de interactie is goed op gang gekomen.

13.00 UUR

De lunch is aangebroken. We lopen samen met het management van de leverancier naar het restaurantgebouw, waar een tafel is gereserveerd. Een maaltijdbuffet staat klaar. Ik vraag voor de zekerheid welke gerechten zeer spicy zijn. De lunch is heerlijk en aan tafel delen we de Nederlandse tradities en luisteren we naar de Indiase. Echt boeiend zoals twee culturen zo dichter bij elkaar komen, vooral als je bedenkt dat de stad waarin ik me begeef al zo’n 12 miljoen inwoners heeft.

14.00 UUR

We lopen terug naar de trainingsruimte. Nog niet iedereen is terug van de lunch, zodat ik even de internetverbinding kan controleren. In mijn presentatie zit een korte YouTube-video. Het is een film waarin op grappige wijze de onderwerpen die we besproken hebben aan de orde komen. Het is een Indiase film met bekende Indiase acteurs. Het Engels dat wordt gesproken is met een Indiaas accent, dus voor de groep goed te volgen. Aan de gezichten te zien is dit een mooie aanvulling op het programma en we voorkomen de after-lunch dip.

15.00 UUR

We sluiten de awareness-sessie af met rollenspellen waar we op een ludieke manier situaties nabootsen vanuit de praktijk. Uit de groep halen we mensen die willen meespelen en in eerste instantie spelen we in op situaties die fout gaan. Er komt bijvoorbeeld een verzoek om iemand extra toegangsrechten te geven tot het SAP-systeem. Echter, deze extra autorisaties leiden tot functievermenging – we voeren een extreem geval op deze keer, want de druk wordt verder opgevoerd doordat de business (executive management) eist dat de rechten direct worden toegekend omdat anders het bedrijfsproces stagneert en er omzetverlies optreedt. Wat nu? We kijken toe hoe men optreedt en leggen soms het spel stil om toe te lichten hoe het anders moet. Ik sta versteld van het acteertalent en de inzet van mijn Indiase collega’s. Nu kan iedereen zien waar het fout gaat en stellen we vragen aan de groep hoe dit verbeterd kan worden.

We sluiten de dag af op een bijzondere manier. Dit zat niet in het programma, maar het management van de leverancier vond het een goed idee om van de gelegenheid gebruik te maken om de mensen te belonen. Ze vroegen ons om de beloningen uit te reiken.

Short film: the fraud film

18.00 UUR

De awareness-sessie zit erop. We nemen afscheid van de mensen in de zaal en bedanken hen voor hun zeer interactieve deelname. Met het management spreek ik kort nog wat zaken door en ruimen we op. De taxi wacht en op weg naar het hotel nemen we kort de dag door. Ondertussen geniet ik van de avondspits in Bangalore. Toch net iets drukker en anders dan de Nederlandse avondspits. In het hotel, bij het diner, evalueren we de dag en bespreken we wat de volgende morgen op het programma staat. Een dag in Bangalore… never a dull moment.

Niet gecategoriseerd

Ing. B.W.M.A. (Bart) Sibon RE CISA GRC-P

Bart begon in 1994 als informaticus met het implementeren van de code voor informatiebeveiliging. Geïnteresseerd in het vakgebied, genoot hij een studie IT-auditing aan de VU te Amsterdam om zich verder te specialiseren. Momenteel vervult hij de functie van Principal GRC consultant bij Integrc dat zich specialiseert in Governance, Risk en Compliance vraagstukken. Daaronder vallen onder andere SAP GRC-audits en implementaties, maar bijvoorbeeld ook ITGC-controlewerkzaamheden.