Wat is de ROI van compliance? Wanneer je het op de man af vraagt, zullen weinig CFO's een positieve businesscase kunnen becijferen. We doen het omdat het moet en om het vertrouwen van analisten, beurzen en kapitaalverschaffers te winnen. Toch valt er geld te verdienen met goede compliance. Alleen moet u Sarbanes-Oxley en al die andere regelgeving in een breder kader plaatsen dan van pure beheersing.

Veel CFO's en andere topmanagers zien compliance als een kostenpost. Deze visie gaat voorbij aan het feit dat geautomatiseerde systemen de financiële informatie genereren, opslaan en distribueren. Ruim 80 procent van alle businessprocessen is geautomatiseerd, dus ook voor de IT zijn de CFO en CEO in feite persoonlijk verantwoordelijk. Dat kost dus nog meer aan controle, zou u kunnen denken. Maar het kan ook iets opleveren. De wijze waarop de IT-governance bij bedrijven nu is ingericht, zorgt voor veel problemen, wat uiteraard de nodige kosten met zich meebrengt. Veel systeemveranderingen worden niet afdoende getest en zorgvuldig genoeg beschreven. Wanneer bij een bank iedere dag duizenden requests for change worden uitgevoerd, kunt u zelf wel bedenken wat er vervolgens mis kan gaan. Het lijkt wel of er geen tijd is om het in één keer goed te doen, maar blijkbaar is er wel tijd om het keer op keer over te doen. Met compliance als breekijzer kan de controle binnen de procesgang bij IT worden verbeterd, bijvoorbeeld door een scheiding aan te brengen tussen het programmeren van veranderingen, het testen en het in productie nemen ervan. Wanneer verschillende personen deze taken uitvoeren, kunnen dure fouten worden voorkomen. BUSINESS ISSUES Compliance gaat dus verder dan de financiële processen. Businesstransacties zijn vastgelegd in diverse operationele systemen. Voorraadgegevens komen uit ERP, verkoopdata uit CRM en afschrijvingen uit het systeem voor asset management. De wijze waarop deze systemen worden gemanaged, moet worden beschreven en afwendbare risico's moeten worden vermeden door de juiste processen, maar ook door het optimaliseren van de beveiliging. Nu gebruiken veel CIO's het raamwerk van ISO 17799 als uitgangspunt voor hun IT-security. Deze standaard is niet gericht op de bits en de bytes, maar op het behandelen van security als een businessissue. ISO 17799 omschrijft alle onderwerpen die van belang zijn, zoals operatie en onderhoud, back-up en restore, documentatie en data-integriteit. Daarmee gaat deze controleset ook over nieuwe ontwikkelingen zoals identity management. Het managen van de ID wordt de komende jaren zeer belangrijk. Wie heeft toegang tot welke systemen? Tot welke data? En wie mag welke mutaties uitvoeren? Deze vragen moeten over vele jaren kunnen worden beantwoord volgens audit trails. Naast applicaties en data is ook een onderwerp als de IT-infrastructuur onderdeel van IT-security, maar tegelijkertijd zijn ook nieuwe wet- en regelgeving zoals Sarbanes-Oxley, Bazel II en IFRS dat. Door de CIO te betrekken bij compliance is er veel geld te verdienen. Een betere IT zorgt dat de business beter draait en controle minder kost. Maar ook de COO zou erbij moeten worden betrokken. CFO's willen processen end-to-end kunnen monitoren, van procurement tot betaling van order tot cash. Er is in die ketens nog zoveel te verdienen dat een trojka van CFO, CIO en COO een optimale combinatie is om eindelijk geld te verdienen met compliance. Of vindt u het prima dat alleen accountants en andere urenschrijvers ervan profiteren? Marco Gianotten is directeur van executive relations bureau Giarte en oprichter van het kennisplatform 'Topmanagement en IT'. Hij is te bereiken via [email protected]