Nieuwe regelgeving, waarvan de Sarbanes-Oxley-wet het zichtbaarste voorbeeld is, noodzaakt ondernemingen tot aanpassing van hun informatiesystemen. Nu het naleven van regelgeving en standaarden organisaties dwingt hun ict daarvoor geschikt te maken, kunnen ze dit als kans benutten om ook andere verbeteringen door te voeren.
Naast de Sarbanes-Oxley-wet zijn er ontelbare andere nieuwe regelgevingen die allemaal de manier van bedrijfsvoering en het beheer van geld betreffen. Sarbanes-Oxley is waarschijnlijk wel de zichtbaarste wet. Het doel ervan is transparantie en betrouwbaarheid. Organisaties moeten de vereiste informatie gedetailleerder en sneller aanleveren. Bovendien moet ze aangeven waar de verantwoordelijkheid ligt.
Sarbanes-Oxley geldt voor alle beursgenoteerde Amerikaanse ondernemingen, hun dochtermaatschappijen en buitenlandse ondernemingen die aan een effectenbeurs in de VS zijn genoteerd. De wet heeft directe gevolgen voor de interne controle van ondernemingen, de regels en procedures voor het samenstellen van financiële informatie en, meer in het algemeen, het bestuur van de organisatie. De gevolgen voor de informatiesystemen in ondernemingen kunnen aanleiding geven om processen volledig te vernieuwen.
Einde it-isolatie
Sarbanes-Oxley bestaat uit vele artikelen, waarvan er drie rechtstreeks invloed hebben op de it: artikel 302, 404 en 409. Artikel 404 verordonneert beoordeling van interne controles door de directeur. Directieleden zijn verantwoordelijk voor het instellen en onderhouden van procedures voor interne controle. Bovendien zijn directeuren verplicht jaarlijks een icr (internal control report) in te dienen.
Artikel 302 behelst verantwoordelijkheid van de directie voor financiële rapporten. De directie (ceo en cfo) moet de financiële informatie voor de onderneming fiatteren. Dit geldt voor alle financiële rapporten, zowel per kwartaal als jaarlijks. De ceo en cfo (of een equivalent) zijn verantwoordelijk voor de regelmaat en nauwkeurigheid van de elementen in de financiële rapporten, voortdurende controles en communicatie met de auditoren en het auditcomité.
Artikel 409 verplicht tot realtime informatie. Een onderneming moet informatie bijna realtime kunnen bezorgen wanneer deze invloed heeft op de financiële prestaties en specifiek de bepaling van de waarde van de organisatie.
Daarnaast moet er aandacht zijn voor de indirecte invloed. De bepalingen van de drie genoemde artikelen hebben een eind gemaakt aan de it-isolatie van de directie. Door de ceo, de cfo, het accounting management en interne en externe auditors in de informatieketen te brengen, zal Sarbanes-Oxley een verdergaande invloed hebben op it.
Kans benutten
Sarbanes-Oxley beschrijft niet hoe informatiesystemen moeten worden ingericht. Daarom zijn organisaties vrij om het naleven van regelgevingen en standaarden als kans te benutten om latentie in hun organisaties te reduceren, een beter overzicht over hun activiteiten te krijgen, zowel intern als extern verhoogde transparantie te realiseren, en bedrijfscommunicatie, -controle en -beheersing te verbeteren.
Neem een verzekeringsmaatschappij met verschillende afdelingen (en diverse informatiesystemen) die de betaling van schadeclaims en de facturering aan klanten afhandelen. Regelmatig maar niet continu worden de systemen gesynchroniseerd wanneer zij gegevens uitwisselen. Onregelmatigheden worden uiteindelijk wel ontdekt, maar eerder te laat dan te vroeg. Te laat betekend een probleem en vertraging voor onder andere facturering en kasgelden.
Naleving van Sarbanes-Oxley betekent in eerste instantie een verbetering van de kwaliteit en de snelheid waarmee informatie het hogere management bereikt. Het betekent ook consolidatie van een gefragmenteerd zicht op belangrijke bedrijfsprocessen. Deze versplinterde kijk is ontstaan door geografische afstand, technische grenzen en historische ontwikkelingen als acquisities.
Veel bedrijfsgegevens zijn voor de betrokken personen niet zichtbaar. Voortaan zullen dus afdelingen en management (ceo, cfo, interne en externe auditors, accounting management enzovoort) vanuit de noodzaak opereren om realtime informatie beschikbaar te hebben op zowel globaal als specifiek niveau.
De verschillende afdelingen die regelgevingen moeten naleven hebben een gedetailleerd overzicht over alle processen, iedere datum en iedere gebeurtenis nodig. Bovendien moeten ze kunnen reageren op gebeurtenissen en non-events detecteren. De vraag is dus niet alleen ‘hoe kunnen wij de regelgeving naleven’ maar ook ‘hoe kunnen wij samenwerken’.
Inzichtelijk
De invoering van nieuwe regelgevingen voor het bestuur van organisaties impliceert een aantal veranderingen voor zowel de onderneming als de bedrijfsprocessen. Ondernemingen moeten een omgeving creëren die processen en de bijbehorende risico’s inzichtelijk maakt.
Twee kwesties in dit verband zijn interne controle en betrouwbare financiële communicatie. Interne controle moet kunnen garanderen dat alle activiteiten in overeenstemming zijn met vastgelegde procedures en correct voorgelegd worden via accounting. Deze gegevens, die dan gekoppeld zijn aan de financiële informatie, stellen de financiële rapportage veilig.
Betrouwbare financiële communicatie maakt het mogelijk dat beleggers, aandeelhouders enzovoort de correcte uitvoering en de risico’s die aan een onderneming zijn verbonden kunnen evalueren. Om exacte informatie op de vereiste momenten te verstrekken, is controle nodig over het proces van verzamelen en voortbrengen van financiële informatie.
Ondernemingscultuur
Voor de realisatie van verhoogde transparantie en procesbewaking zijn it-hulpmiddelen als een integratieplatform beschikbaar. Het resultaat moet zijn dat ondernemingen horizontaal zicht krijgen op bedrijfsprocessen, vanaf het moment dat een proces wordt ontwikkeld tot aan de uitvoering ervan. Dit geldt voor zowel financiële als operationele processen. Met it- hulpmiddelen zijn processen te beschrijven, te modelleren, te automatiseren en uit te voeren. Bovendien zijn ze te bewaken met waarschuwingssystemen die realtime onregelmatigheden aangeven. Het geheel aan processen is aan elkaar te koppelen door de transformatie en uitwisseling van gegevens, zowel intern als extern.
Het is moeilijk om een dossier over de Sarbanes-Oxley-wet af te sluiten. De gevolgen ervan zullen nog lange tijd zichtbaar zijn. Ongeacht de directe veranderingen van de software die bedrijfssystemen gebruiken is het zo dat Sarbanes-Oxley ervoor heeft gezorgd dat it-eilanden aan elkaar zijn verbonden. Dit zal een diepgaand gevolg hebben voor de cultuur van ondernemingen.< BR>
Patrick Gouffran, manager global go to market team finance van Axway