Artikel top billede

Tarantinos første råd er meget klart: Få 100 procent styr på dine interne processer og digitalisér dem.

Regel-regnen rammer it-afdelingen

Interview: Virksomheder skal leve op til et hav af regler, og ansvaret hviler på it-afdelingen. Anthony Tarantino, Compliance-guru fra IBM, giver gode råd.

Som it-leder kan du ligeså godt indse det med det samme.

Der kommer hele tiden nye regler, regulativer, forordninger, retningslinjer og standarder, som virksomhederne skal leve op til. Og endnu vigtigere – it-afdelingen får et stadig større hyr med at garantere efterlevelsen af reglerne.

"Det kommer i bølger. I perioder stiger behovet for nye regler, fordi myndighederne mener, virksomhederne er blevet lidt for afslappede. I andre perioder fjerne man regler igen," siger IBM's ekspert i fænomenet 'compliance', der handler om at leve op udefra kommende krav.

Forberedelse betaler sig

I dag, torsdag er Anthony Tarantino i København, hvor han deler sin viden på konferencen Copenhagen Compliance, der netop sætter fokus på efterlevelse af regelsæt af forskellige typer.

Den mest aktuelle anledning er imidlertid introduktionen af de nye regler for investorbeskyttelse, Eurosox.

Konferenfen kommer dog også ind på efterlevelse af regler i en mere bred forstand. For uanset, om antallet af regler stiger eller falder, så kan det godt betale sig for virksomhederne, at forberede sig på, regulativerne kommer.

Undersøgelser fra blandt andet Gartner viser nemlig, at der er penge at spare ved at have en proaktiv og integreret tilgang til compliance, i forhold til at behandle hvert projekt med at efterleve nye regler som en engangs-opgave.

Regler alle vegne

Og så er det egentlig underordnet, om reglerne handler om virksomhedens miljøpolitik, kontrol af finanserne eller styring af it-sikkerheden.

Og det er inden for det felt, at Anthony Tarantino er ekspert. Han er blandt andet forfatter til to digre værker om compliance: 'The Governance, Risk, and Compliance Handbook' fra 2007 og 'The Managers Guide to Compliance' fra 2006.

Sidstnævnte handler i særlig grad om den amerikanske Sarbanes Oxley-lovgivning (SOX), som pålagde amerikanske virksomheder meget strenge krav til interne revisionskontroller i investor-beskyttelsens navn.

Lignende udfordringer er nu på vej til europæiske virksomheder. Den europæiske pendant til SOX, Eurosox, der udspringer af EU's 4., 7. og 8. direktiv, er i øjeblikket ved at blive konverteret til dansk lovgivning, og forventes at påvirke danske virksomheder fra 2009.

Men hvordan forbereder virksomehderne sig bedst muligt på at imødekomme compliance-krav – også dem, der endnu ikke er dukket op.

1. råd: Digitaliser processerne
Tarantinos første råd er meget klart: Få 100 procent styr på dine interne processer og digitalisér dem.

"Standardiser, harmoniser og automatiser alt omkring anerkendte rammeværktøjer som ISO, Cobit eller lignende.

Udgangspunktet skal være, at har du bare én forretningsgang, som kræver at der skrives noget ned på papir, som skal sendes til en anden, så skal du sørge for at få den digitaliseret," siger Anthony Tarantino.

Problemet ved de gode, gamle og i mange virksomheder stadig udbredte papirgange er nemlig, at de ikke lader sig kontrollere særligt effektivt.

"Det vil altid tage længere tid for en revisor eller andre at gennemgå fysiske papirgange end elektroniske, hvor al informationer er samlet op," siger Tarantino.


Ikke tradition af standardisere
Endnu værre er udgangspunktet, hvis virksomhederne endnu ikke har standardiseret processerne, så forskellige afdelinger i samme virksomheder bruger de samme procedure til at løse forskellige opgaver.

"I gamle dage var der ikke det store incitament til at standardisere – derfor er det stadig et problem mange steder," siger Anthony Tarantino og fortsætter:

"Det er jo netop den fejl, mange firmaer betaler for eksempel McKinsey-konsulenter i dyre domme for at rette op på," siger han.

2. råd: Find fællesnævnerne i reglerne
Men digitaliseringen og standardisering af processer er ikke eneste metode til at polstre virksomhederne til at imødegå en fremtid spækket med regler og regulativer.

Et andet ikke ueffent initiativ er oprettelsen af en form for kompetence-center, der sammenholder alle regler og regulativer på tværs.

For eksempel fastslår bankernes eget regelsæt, Basel 2, at der skal være procedurer, som sikrer, at en og samme person ikke udfører og godkender en transaktion – på engelsk kalder 'segregation of duties'. Samme regler findes også i det nye Eurosox-kompleks.

Og det er ikke unormalt, at forskellige regelsæt fra forskellige myndigheder indeholder samme principper eller hensigter.

"I stedet for at arbejde med at arbejde med samme forordninger i forskellige systemer, bør man forsøge at finde fællesnævneren i dem," siger Anthony Tarantino.

Soloprojekter koster

Han forklarer, at det virkelig kan lette mange virksomheders arbejde. Og hvis man ikke forsøger at finde fællesnævneren risikerer at tredoble omkostningerne og smerten, lyder hans vurdering.

"Da jeg skrev min første bog, blev jeg efterfølgende kimet ned af folk, som var interesserede i et lille, simpelt skema, som lavede en fællesnævner for rammeværktøjerne COSO, Cobit og COSO 2.

Alle kæmpede desperat med at forene de tre verdener," siger Tarantino.

Tarantinos nyeste bog, 'The Governance, Risk, and Compliance Handbook', sætter i øvrigt efterlevelse af regler ind i et bredere perspektiv. Den nye bog forener hele tre centrale begreber i virksomhedsledelse: governance, risk og compliance.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere