Som it-leder kan du ligeså godt indse det med det samme.
Der kommer hele tiden nye regler, regulativer, forordninger, retningslinjer og standarder, som virksomhederne skal leve op til. Og endnu vigtigere – it-afdelingen får et stadig større hyr med at garantere efterlevelsen af reglerne.
"Det kommer i bølger. I perioder stiger behovet for nye regler, fordi myndighederne mener, virksomhederne er blevet lidt for afslappede. I andre perioder fjerne man regler igen," siger IBM's ekspert i fænomenet 'compliance', der handler om at leve op udefra kommende krav.
Forberedelse betaler sig
I dag, torsdag er Anthony Tarantino i København, hvor han deler sin viden på konferencen Copenhagen Compliance, der netop sætter fokus på efterlevelse af regelsæt af forskellige typer.
Den mest aktuelle anledning er imidlertid introduktionen af de nye regler for investorbeskyttelse, Eurosox.
Konferenfen kommer dog også ind på efterlevelse af regler i en mere bred forstand. For uanset, om antallet af regler stiger eller falder, så kan det godt betale sig for virksomhederne, at forberede sig på, regulativerne kommer.
Undersøgelser fra blandt andet Gartner viser nemlig, at der er penge at spare ved at have en proaktiv og integreret tilgang til compliance, i forhold til at behandle hvert projekt med at efterleve nye regler som en engangs-opgave.
Regler alle vegne
Og så er det egentlig underordnet, om reglerne handler om virksomhedens miljøpolitik, kontrol af finanserne eller styring af it-sikkerheden.
Og det er inden for det felt, at Anthony Tarantino er ekspert. Han er blandt andet forfatter til to digre værker om compliance: 'The Governance, Risk, and Compliance Handbook' fra 2007 og 'The Managers Guide to Compliance' fra 2006.
Sidstnævnte handler i særlig grad om den amerikanske Sarbanes Oxley-lovgivning (SOX), som pålagde amerikanske virksomheder meget strenge krav til interne revisionskontroller i investor-beskyttelsens navn.
Lignende udfordringer er nu på vej til europæiske virksomheder. Den europæiske pendant til SOX, Eurosox, der udspringer af EU's 4., 7. og 8. direktiv, er i øjeblikket ved at blive konverteret til dansk lovgivning, og forventes at påvirke danske virksomheder fra 2009.
Men hvordan forbereder virksomehderne sig bedst muligt på at imødekomme compliance-krav – også dem, der endnu ikke er dukket op.
1. råd: Digitaliser processerne
Tarantinos første råd er meget klart: Få 100 procent styr på dine interne processer og digitalisér dem.
"Standardiser, harmoniser og automatiser alt omkring anerkendte rammeværktøjer som ISO, Cobit eller lignende.
Udgangspunktet skal være, at har du bare én forretningsgang, som kræver at der skrives noget ned på papir, som skal sendes til en anden, så skal du sørge for at få den digitaliseret," siger Anthony Tarantino.
Problemet ved de gode, gamle og i mange virksomheder stadig udbredte papirgange er nemlig, at de ikke lader sig kontrollere særligt effektivt.
"Det vil altid tage længere tid for en revisor eller andre at gennemgå fysiske papirgange end elektroniske, hvor al informationer er samlet op," siger Tarantino.
Ikke tradition af standardisere
Endnu værre er udgangspunktet, hvis virksomhederne endnu ikke har standardiseret processerne, så forskellige afdelinger i samme virksomheder bruger de samme procedure til at løse forskellige opgaver.
"I gamle dage var der ikke det store incitament til at standardisere – derfor er det stadig et problem mange steder," siger Anthony Tarantino og fortsætter:
"Det er jo netop den fejl, mange firmaer betaler for eksempel McKinsey-konsulenter i dyre domme for at rette op på," siger han.
2. råd: Find fællesnævnerne i reglerne
Men digitaliseringen og standardisering af processer er ikke eneste metode til at polstre virksomhederne til at imødegå en fremtid spækket med regler og regulativer.
Et andet ikke ueffent initiativ er oprettelsen af en form for kompetence-center, der sammenholder alle regler og regulativer på tværs.
For eksempel fastslår bankernes eget regelsæt, Basel 2, at der skal være procedurer, som sikrer, at en og samme person ikke udfører og godkender en transaktion – på engelsk kalder 'segregation of duties'. Samme regler findes også i det nye Eurosox-kompleks.
Og det er ikke unormalt, at forskellige regelsæt fra forskellige myndigheder indeholder samme principper eller hensigter.
"I stedet for at arbejde med at arbejde med samme forordninger i forskellige systemer, bør man forsøge at finde fællesnævneren i dem," siger Anthony Tarantino.
Soloprojekter koster
Han forklarer, at det virkelig kan lette mange virksomheders arbejde. Og hvis man ikke forsøger at finde fællesnævneren risikerer at tredoble omkostningerne og smerten, lyder hans vurdering.
"Da jeg skrev min første bog, blev jeg efterfølgende kimet ned af folk, som var interesserede i et lille, simpelt skema, som lavede en fællesnævner for rammeværktøjerne COSO, Cobit og COSO 2.
Alle kæmpede desperat med at forene de tre verdener," siger Tarantino.
Tarantinos nyeste bog, 'The Governance, Risk, and Compliance Handbook', sætter i øvrigt efterlevelse af regler ind i et bredere perspektiv. Den nye bog forener hele tre centrale begreber i virksomhedsledelse: governance, risk og compliance.
