Sarbanes-Oxley, de International Financial Reporting Standards (IFRS), de code-Tabaksblat - het zijn slechts enkele voorbeelden die aangeven dat CFO's zowel op het vlak van interne controlesystemen als externe verslaglegging met steeds meer wetten en regels te maken krijgen. Waar moeten financieel managers op letten als ze hun financiële beheer volgens de nieuwe corporate-governanceregels willen inrichten? Zorg in ieder geval voor rekbare systemen.

De dot.com-crisis, de recente financiële schandalen en de gebeurtenissen van 11 september hebben 'governance and compliance management' in een stroomversnelling gebracht: betrouwbaarheid en transparantie in interne en externe verslaglegging staan ineens boven aan de agenda van elke beursgenoteerde onderneming. "De complexiteit, snelheid en impact van nieuwe wet- en regelgeving zal veel bedrijven voor stevige uitdagingen plaatsen", verklaart Debra Logan, analist bij adviesbureau Gartner. "We kunnen er gerust van uitgaan dat er de komende jaren nog veel meer regels en wetten ons af zullen komen. Ontwikkel daarom beheerprocessen die voldoende flexibel zijn en zorg er daarbij voor dat een (software-)architectuur wordt gekozen waarmee toekomstige aanscherpingen van wet- en regelgeving soepel op te vangen zijn." CFO's moeten er rekening mee houden dat de komst van allerlei nieuwe wetten en regels een behoorlijke druk zal leggen op hun managementtijd en op hun vermogen om al deze maatregelen te implementeren. "We zien weliswaar steeds vaker de functie van 'chief compliance officer'(CCO) ontstaan, maar het zal nog jaren duren voordat deze functionaris bij alle grote bedrijven bestaat en bovendien zijn invloed kan laten gelden." De CFO en later wellicht de CCO zal zich steeds nadrukkelijker moeten bezighouden met het inzichtelijk en transparant maken van risico's, niet alleen voor het topmanagement van de organisatie, maar bijvoorbeeld ook voor de aandeelhouders en banken. Logan: "Het inschatten van risico's is iets dat niet langer aan een stafafdeling kan worden overgelaten; het wordt onderdeel van het reguliere takenpakket van het (financieel) management." Stukje maatwerk Volgens Logan is het van groot belang dat bedrijven wetgeving als Sarbanes-Oxley en gedragsregels als Tabaksblat niet als eenmalige projecten beschouwen. Er staat immers nog heel wat nieuwe wet- en regelgeving in de steigers. Tegelijkertijd moeten bedrijven gebruikmaken van al bestaande overlappende elementen. "Ga er maar van uit dat 85 tot 90 procent van de componenten die deel uitmaken van een governance- en complianceoplossing gemeenschappelijk is, ongeacht het land en de regels waar we mee te maken hebben. De kunst is om een systematiek op te zetten die deze 80 tot 85 procent zonder problemen ondersteunt, zodat de aandacht vooral op die laatste 10 of 15 procent maatwerk kan worden gericht." Voor een goede implementatie van dat laatste stukje maatwerk is het van groot belang dat de ondersteuning van het governance- en complianceproces intern wordt ontwikkeld en dat daarbij gebruik wordt gemaakt van procedures en risicobeheerssystemen die bijvoorbeeld al eerder bij diverse business units zijn geïmplementeerd. "Het is beter daarop voort te bouwen dan alle bestaande kennis en kunde te vervangen door iets nieuws." Logan wijst er verder op dat bedrijven een helder beleid moeten ontwikkelen op het gebied van zogeheten 'records retention', oftewel een gestructureerde aanpak die aangeeft hoe het bedrijf met zijn bedrijfsgegevens omgaat. "Zelfs als er geen enkele wet wordt overtreden, kan een bedrijf dat geen 'records retention'-beleid voert in juridische problemen komen. Onderzoekers van overheidsinstanties moeten immers kunnen zien waar bepaalde gegevens vandaan komen, hoe deze zijn gebruikt en door wie. Slagen auditors er niet in dit soort informatie boven water te krijgen, dan kan men in het geval van een geconstateerde afwijking ook niet vaststellen of er doelbewust regels zijn overtreden of dat er simpelweg sprake is van een vergissing." Een systeem ter ondersteuning van het governance- en complianceproces dient dan ook niet alleen de juiste documenten te omvatten, maar ook een beschrijving van het proces waarin deze gegevens zijn gecreëerd, wie als laatste het document heeft ingezien of bewerkt, welk doel een bepaald gegeven dient en dergelijke. Met andere woorden: een 'audit trail'. Bij voorkeur is dit soort informatie aan het document zelf toegevoegd en kunnen deze gegevens worden gebruikt bij het creëren, bekijken, beheren, distribueren, archiveren en eventueel vernietigen van documenten. Logan: "Bedrijven moeten beseffen dat document- en contentmanagement in feite niets anders is dan lifecycle-management." Kennis en kunde Om dit alles in goede banen te leiden pleit Logan voor een 'nieuwe' functionaris, een chief governance officer (CGO), die nu nog vaak ontbreekt in willekeurig welk groot bedrijf. Deze functionaris moet rechtstreeks rapporteren aan de Raad van Bestuur en ondersteunt de CEO, de CFO en de COO op het gebied van management en juridische aansprakelijkheid. "De CGO houdt zich bezig met die onderwerpen waar financiële zaken, juridische aspecten en informatietechnologie bij elkaar komen. Dat gaat dus verder dan alleen compliancemanagement. Tot zijn verantwoordelijkheden behoren onder andere corporate-performancemanagement en riskmanagement. Dat kan dus betekenen dat er territoriale discussies ontstaan met bijvoorbeeld de CIO of het hoofd juridische zaken. Het is echter van groot belang om de taakomschrijving van de CGO breed te houden. Alleen dan kan deze functionaris een zinvolle bijdrage leveren aan het verbeteren van de organisatie." Logan komt ten slotte met een waarschuwing als het gaat om de keuze voor softwaresystemen. "Al heel wat ICT-bedrijven hebben de afgelopen tijd compliance- en governanceoplossingen op de markt gebracht. Sommige aanbieders kunnen bogen op bewezen kennis en kunde, maar andere partijen lijken vooral uit commerciële overwegingen op de ontstane situatie in te spelen. Het is verleidelijk om voor een 'quick fix' te kiezen. Pas echter op. Veel van deze producten zijn niet veel meer dan op een spreadsheet en een database gebaseerde checklists. Dat is niet voldoende. Technologie voor een governance- en complianceregime dient gebaseerd te zijn op weldoordachte documentatie en controleerbare processen." "Stel ook een roadmap op voor het projectplan", adviseert Logan tot slot. "Sarbanes-Oxley is een prima gelegenheid om een weldoordachte compliancemanagementaanpak in te voeren. Tegelijkertijd vraag ik me echter af of deze wet nu de invoering daarvan bevordert of juist beperkt. Sommige CEO's of CFO's zullen waarschijnlijk de neiging hebben om de scope van dit soort complianceprojecten te beperken. Waarom meer doen of publiceren dan Sarbanes-Oxley vereist? Zo'n aanpak zou jammer zijn, omdat daarmee iedere aanpassing in wet- en regelgeving als een individueel project zal moeten worden aangepakt. Dat lijkt me niet verstandig." Door Robbert Hoeffnagel en Marten Dijkstra