Ikke så råddent endda

Det er yderst ærgerligt at flere bloggere, professorer og ikke mindst den ansete Wall Street Journal brugte Marcellus-citat fra Hamlet som en nærmest profetisk karakter for danske virksomheder anno 2009: ”Something is rotten in the State of Denmark”. Det afspejler ikke et retvisende billede af det fokus på GRC og de aktiviteter, som virksomhederne i Danmark gennemfører. Endnu engang har danske- og internationale virksomheder gennem de seneste skandaler fået et meget klart vink med en vognstang om konsekvenserne ved manglende god selskabsledelse, risikostyring, og Compliance aktiviteter, som går under fællesbetegnelse GRC. For et par måneder siden skrev vi en artikel i vores nyhedsbrev The EuroSox Newsletter: "If you think Compliance is expensive. Try non-compliance". Artiklen har fået fornyet interesse og kan downloades på http://www.eurosox.dk/template.php?tid=324 I forbindelse med al den hurlumhej der pt. er om IT-Factory, samt de generelt forværrede vilkår for virksomheder, må der givetvis være en masse bestyrelser der føler en ekstra stor trang til at følge GRC aktiviteter i de virksomheder, de sidder i bestyrelsen for. Der findes en lang række IT produkter som kan monitorere Governance, Risk og Compliance som sikrer at bestyrelser kan få et fornuftigt og ikke mindst troværdigt overblik over deres virksomheders tilstand. Der kommer sikkert en lang række nye og overraskende momenter og elementer efterhånden som sagens fakta rulles frem. Lad os fokusere på de kendte fakta i GRC sammenhæng. Governance Corporate governance eller god selskabsledelse kan defineres på mange forskellige måder. Nørby-udvalgets rapport og anbefalinger kan hentes på www.corporategovernance.dk De vigtigste principper og strukturer, der regulerer samspillet mellem ledelsesorganerne i selskabet og stakeholdere er; • En effektiv, uafhængig bestyrelse • Proaktivt arbejde i relevante komitéer (Revisions, Risk Komite) • Klare og tydelige politikker og godkendelsesprocedurer • En effektiv risiko- og kapitalstyring • Rolleadskillelser • Transparens og effektiv kommunikation • Gode interne kontrolprocedurer • Revisionsspor • En objektiv, kritisk revision Ovennævnte GRC krav skal gennemføres og kontrolleres ganske nøje, således at der er mulighed for at afsløre, hvis der foregår svind(el). Rolleadskillelser og godkendelsesprocedurer skal kunne afsløre, hvis selv en administrerende direktør gennemfører falske transaktioner. Interne kontrolforanstaltninger skal slå til hvis der foregår vedvarende forfalskning af f.eks bestyrelsesformandens underskrift. Kontrolprocedurer skal også løbende testes således at de gængse og anbefalede interne kontroller slår til og risici minimeres. Risk, tillid og kontrol Flere undersøgelse har påpeget at de virksomheder og organisationer der har veldokumenterede processer, kontroller og tests, klarer sig bedre end gennemsnittet. Bestyrelsesmedlemmer må tage en klar holdning til hvilke data og informationer der skal foreligge for at give et klart billede af den forretning man har ansvaret for at tilse. Bestyrelse og direktion skal være på forkant, og fokusere på de indsatser som minimerer de risici der vurderes at være og sikrer at rapporteringen er grundig, relevant og letforståelig. Nye IT værktøjer kan også sikre systematiske opfølgninger på kontroller som minimerer risici, og at virksomhedens samlede ledelsesrapportering er på plads.