Opfyldelse af Governance, Risk og Compliance (GRC) kravene er nu et ’must have’ for dansk erhvervsliv

Noget tyder på at flere danske virksomheder periodevis har skrinlagt at efterleve den række af forskellige GRC krav, standarder og lovgivning. Hvorfor er det ikke muligt at efterleve persondatalovgivning, markedsføringslovgivning, branchekrav, ISO-standarder, rolleadskillelser, gennemsigtighed og dokumentation for finansielle processer, IT sikkerhed, interne kontroller m.v. Nye lovkrav som strømmer ind over Danmarks grænser i løbet af 2009, kræver at de virksomheder, som ser mulighederne i at investere, fokusere og implementere GRC vil stå stærkere ikke alene i den fremtidige konkurrence men endnu vigtigere, de vil undgå overraskelser og stå stærkere blandt investorer og øvrige stakeholdere. Virksomhederne skal se det som en mulighed snarere end som endnu et nyt omfattende regelsæt, der koster rigtig mange penge og ressourcer at overholde. Skandaler Endnu en regnskabsskandale er p.t. under optrævling. IT Factory kan tilføjes den efterhånden lang liste over skandaler som tilsyneladende hver gang overrasker tilsynsmyndigheder, banker, revisorer,, investorer og medarbejdere. Indførelsen af GRC initiativer skal derfor ses som endnu en kærkommen lejlighed til at gennemgå virksomhedens interne GRC procedurer, processer og kontroller og sikre, at virksomheden efterlever reglerne for bl.a. Corporate Governance eller god selskabsledelse. Indføring af klare Corporate Governance strategier og regler som sikrer gennemførelse af bestyrelses- og ledelsesroller, veldokumenterede forretningsgange og tydelige ansvarsområder for den enkelte direktions- eller bestyrelsesmedlem og medarbejder et blot et af de basle krav i god selskabsledelse. Formål med øvelsen er at virksomheds forretningsgange bliver mere ensartede, standardiserede og automatiserede. Samtlige påkrævede godkendelsesprocedurer er på plads, regler og procedurer er klart definerede, data er lettere at overskue og IT processer nemmere at udføre. Alt dette burde give ledelsen bedre overblik og hurtigere reaktionsmuligheder. Som i mange andre sammenhænge kan yderligere love, direktiver og guidelines ikke forhindre kriminel adfærd, men GRC kravene til virksomhedernes interne kontrol, revisorernes aktiviteter og investorernes due diligence bør være skrappe nok til at kunne forhindre tilfælde som IT Factory. Automatiserede IT-løsninger kan hjælpe virksomhederne med at imødekomme kravene og stå stærkere i fremtiden Automatiserede IT-systemer kan hjælpe virksomhederne med at få kontrol over medarbejdernes brug af virksomhedens systemer og webtjenester ved f.eks. at definere rettigheder og autoriteter. Derudover vil IT f.eks. også kunne hjælpe virksomhederne med automatisk at overvåge og arkivere data. Virksomheder skal forstå at indrette sig, så de mest effektivt kan imødekomme fremtidens lovkrav og være »compliant«. Det gælder f.eks. i forhold til rapporteringsmulighederne: Bestyrelse og ledelse skal have de nyeste, sikreste og troværdige tal og data. Kontrollerne skal afsløre eventuelle signifikante afvigelser, og årsagerne skal identificeres. Det gælder såvel regnskaber og nøgletalsrapporter som budgettering, planlægning og konsolidering. Derfor skal der ekstra fokus på funktioner, som overvåger og advarslerne skal være langt mere nødvendige fremover, fordi virksomhedens troværdighed afhænger af evnen til minimere sine risici, også IT risici. Manuelle processer Virksomhedens mange manuelle processer, der af mange revisorer anses for at være det svageste aspekt inden for intern kontrol, kan og skal automatiseres. IT-løsninger er en lønsom investering, hvis softwaren vel at mærke opfylder nogle basale krav til f.eks. at kunne definere, håndtere og vedligeholde arbejdsprocesser såvel som revisions- og sikkerhedsprocedurer. Nogle virksomheder synes, at de nye internationale governance, risk og compliance-regler giver en enestående mulighed for at forbedre arbejdsprocesser ved anvendelse af IT-værktøjer. Andre synes, at kravene er bureaukratiske irritationsmomenter, som er unødigt komplicerede. Forudsætningerne for at undgå en vanskelig tur er at virksomhederne har en forståelse for og holdning til problemstillingerne vedr. compliance. Derudover er det nødvendigt at skabe den fornødne forankring i regnskabs-, finans- og IT-afdelingerne. Med en succesfuld tilpasning af virksomhedens arbejdsprocesser kan man forbedre sin risikostyring og optimere virksomhedens komplekse strukturer vedrørende offentliggørelse af finansielle oplysninger.