‘InControl?’ Werk aan de winkel voor IT-leveranciers!

Door Ronald de Boer en Reinier van Es Sarbanes-Oxley (SOX), Bazel II, IFRS, code-Tabaksblat – noem de wetten en regels op het gebied van corporate governance maar op. Ze bevatten allemaal voorschriften waaraan bedrijven van enige omvang nu of binnen afzienbare tijd moeten voldoen. Ondernemingen hebben geen keuze: ze moeten wel ‘compliant’ zijn. Daarom kent compliancemanagement geen up-side (geen extra krediet van de markt bij naleving van de regels), de markt eist eenvoudig dat de organisatie aan de gestelde standaarden voldoet. De down-side is oneindig: wie niet voldoetk, gaat in het uiterste geval failliet. Voorbeelden in de afgelopen jaren zijn er te over. Een uitdaging voor het management, in het bijzonder voor de CFO. De CFO speelt immers vaak de centrale rol in compliancetrajecten, waarbij het primaire doel is om aan te tonen dat men ‘in control’ is. Gezien de complexiteit van de vertaling van wet- en regelgeving naar bedrijfsbeleid en -processen, de omvang van de gegenereerde hoeveelheid gegevens, informatiestromen, procesbeschrijvingen en vastleggingen, is het realiseren van compliance bepaald geen sinecure. De eisen van markt en stakeholders hebben ertoe geleid dat compliancemanagement meer omvat dan de financiële rapportage (SOX) alleen. Om deze ontwikkeling verder gestalte te geven, kunnen frameworks vanuit financieel en IT-perspectief, zoals COSO (Enterprise Risk Management integrated framework) en COBIT (Control Objectives for Information and related Technology), belangrijke handvatten bieden om compliancemanagement te realiseren. Ook op gebieden als kwaliteit, veiligheid, human resource, milieu, maatschappelijke verantwoording etc. zal compliance zich meer zichtbaar gaan manifesteren. De CFO heeft hierbij behoefte aan ondersteuning. Het structureren en creëren van transparantie en het adequaat onderhouden van geïntegreerde complianceoplossingen kan niet meer plaatsvinden zonder ondersteuning van IT. Je zou dus ook verwachten dat IT solution providers producten en diensten ontwikkelen om het management te ondersteunen teneinde de vereiste standaarden c.q. wet- en regelgeving transparant, inzichtelijk en accountable te maken én deze direct te koppelen aan de operationele bedrijfsprocessen. Dit zou de basis kunnen vormen van een business driven approach, waarin IT de facilitator is voor compliancemanagement. Voor de ontwikkeling van software voor complianceoplossingen liggen er twee uitdagingen: – het verschaffen van transparantie over en tussen verschillende wet- en regelgeving; – het vertalen van wet- en regelgevingstandaarden naar risico’s en benodigde controls binnen het bedrijfsbeleid, businessregels en bedrijfsprocessen. De benodigde transparantie en vertaling zijn hiernaast schematisch weergegeven. Omissie In de figuur wordt inzichtelijk gemaakt hoe business driven compliance management kan bijdragen tot zowel horizontale als verticale transparantie. De horizontale transparantie komt uit de huidige beschikbare softwareoplossingen al duidelijk naar voren. Het betreft hier voornamelijk het plannen, uitvoeren, registreren en de audit-trail van het testen van het interne controleframework en de daaraan gerelateerde aggregatie. De belangrijkste gaten laten softwareleveranciers vallen als het gaat om verticale transparantie, waarmee wordt bedoeld de interpretatie en vertaling van wet- en regelgeving van het strategische naar het operationele niveau. De softwareoplossingen dienen hierbij de ‘audit-trail’ aangaande de onderbouwing van de gemaakte keuzen betreffende de vertaling en interpretatie naar de bedrijfspolicy vast te leggen. Daarna dienen de corporate bedrijfspolicies te worden vertaald naar de bedrijfsprocessen. Idealiter is het uiteindelijk mogelijk om bij elke belissing niet alleen de gevolgen voor de primaire bedrijfsprocessen vast te stellen, maar ook in kaart te brengen welke maatregelen moeten plaatsvinden om compliant te worden of blijven. Door een goed business driven compliance management wordt het uiteindelijk mogelijk om: 1 met één controlemaatregel meerdere onderdelen van verschillende wet- en regelgeving te realiseren en het risico te mitigeren, zodat op procesniveau de directe relatie naar de wet- en regelgeving inzichtelijk wordt; 2 de conflicterende consequenties van verschillende wet- en regelgeving die impact hebben op de diverse bedrijfsprocessen inzichtelijk te maken en te adresseren. De belangrijkste stap die moet worden gezet voor het realiseren van de verticale transparantie is het modelleren van wet-en regelgeving, waardoor duidelijk wordt waar overlap en redundantie voorkomen. Daarnaast kan inzichtelijk worden gemaakt welke keuzen bedrijven maken om van de verschillende wetgevingen en interne standaarden naar beslissingen te komen. Er zijn op dit moment al bedrijven bezig met het onderzoeken en modelleren van wet- en regelgeving, wat een basis kan vormen voor de vervolgstappen naar bedrijfsframework en -processen. Maar er blijft nog veel werk te verrichten voor IT-leveranciers. Ronald de Boer (Ronald.deboer@ids-scheer.co) en Reinier van Es (Reinier.vanes@ids-scheer.com) zijn werkzaam als senior consultants binnen het Competence Center Risk, Audit & Compliance van IDS Scheer Nederland BV