Regnearksrod gør det dyrere at leve op til nye it-lovkrav
Nye lovkrav har betydet, at de fleste virksomheder har været nødt til at bruge flere penge på deres it-compliance i løbet af det sidste år. En del af forklaringen ligger i, at flertallet af de større virksomheder har spredt deres compliance ud over flere regneark i forskellige afdelinger.
Ifølge en undersøgelse foretaget for softwareleverandøren CA indrømmer mere end halvdelen af større virksomheder i både Asien, Europa og Nordamerika, at deres it-compliance-proces i bedste fald er en kombination af manuelt arbejde og automatisering.
I den forbindelse regner mange af virksomhederne regneark som automatisering. Blot hver femte virksomhed i undersøgelsen har automatiseret rapporteringen af, om virksomhedens it-processer lever op til lovkravene.
I Europa vurderer 47 procent af virksomhederne, at deres udgifter til it-compliance er steget på grund af investeringer i systemer til automatisering. 40 procent rapporterer flere udgifter som følge af helt nye lovkrav, mens 34 procent ser ændringer i de eksisterende regler som en væsentlig faktor.
Alt i alt betyder det, at flertallet af virksomhederne har oplevet en stigning i deres udgifter til at opfylde lovkrav som EU's version af den amerikanske Sarbanes-Oxley og de nye regler om håndtering af kreditkortsbetalinger Payment Card Industry Standard.
For virksomheder, der driver forretning i flere lande, bliver compliance-arbejdet yderligere kompliceret af, at hvert land har unikke lovkrav, som skal opfyldes.
Undersøgelsen er betalt af CA, som er ét af de firmaer, der leverer software til automatisering af compliance-processen. Derfor er det ikke overraskende, at firmaet netop peger på automatisering som en måde at undgå, at udgifterne til compliance fortsætter med at stige.
»Undersøgelsen bekræfter det, vi hører fra vores kunder, at compliance fortsat er en stor udfordring for dem både målt på direkte omkostninger og på forretningsprocesserne. Og problemet vokser for hver ny lov eller ændring,« udtaler underdirektør Lina Liberti fra CA Security Management ifølge en pressemeddelelse.
Kommentarer (5)
Lovkrav er jo selvfølgelig ikke til at komme uden om, men også et for alle virksomheder basalt ønske om bedre indtjening gennem en mere effektiv og strømlinet administration gør, at der stadig er rigtig meget at hente gennem automatisering. Datamængderne, selv i mindre organisationer, vokser i disse år, ligesom vi bruger data mere og mere i vores beslutningsprocessor. Manuelle rutiner – inklusiv at fedte rundt i regneark – er normalt ikke godt nok, hvis du fremover vil klare dig i konkurrencen med dem, der satser på strømlinet datahåndtering og effektiv sikring af tværgående datakvalitet.
Jeg var i foråret til et på-vej-hjem møde hos Dansk IT, som handlede om EuroSOX og de hermed forbundne IT-mæssige konsekvenser. Implementering af EuroSOX tager jo rent formelt sigte på nogle bestemte organisationer og helt konkret den finansielle rapportering hos dem. Men derfor kan man jo også godt lære noget af de metoder og den systematik, der her lægges for dagen, og med fordel bruge dette i en bredere sammenhæng.
Et væsentligt element i EuroSOX er jo at ting skal kontrolleres - og det skal også kontrolleres, at ting rent faktisk bliver kontrolleret. I den forbindelse er det værd at bemærke, at en kontrol der udføres af et menneske, skal kontrolleres langt oftere, end en kontrol der udføres af et IT-system (som vel at mærke er kontrolleret).
Grunden til dette er jo, at vi mennesker hurtigt kommer til at sjuske, når vi skal gentage den samme opgave - og det gælder også kontrolopgaver.
EuroSOX handler i forhold til IT om at sikre datakvaliteten med hensyn til de informationer, der danner grundlag for den finansielle rapportering, og dette sker i høj grad ved at sikre og kontrollere de processer, der skaber og vedligeholder data.
Disse principper kan man så, ikke med samme pres - men med lige så stor fordel, overføre til alle andre data end de finansielle data - og til alle andre organisationer. Jeg arbejder selv meget med sikring af datakvalitet ofte i forbindelse med kundedata, og jeg er ikke i tvivl om, at gode kontroller som udføres af en dertil egnet IT-service, ikke skal kontrolleres så ofte, som tilsvarende kontroller, som udføres af mennesker.
-
0 -
0
Den artikel giver ikke mening, hvad er det for nogle data vi snakker om? Det hele er jo skrevet så generelt at det kan sættes ind i en million forskellige sammenhænge.
-
0
-
0
Der er tale om compliance. Det handler om at kunne dokumentere, at din organisation opfylder de gældende krav til blandt andet bogføringsprocesser, mulige interessekonflikter, sikkerhed omkring følsomme data, bevaring af eksempelvis e-mails og dokumenter.
For os, der ikke er advokater eller bogholdere, er PCI nok det compliance-regelsæt, der er lettest at forholde sig til:
http://en.wikipedia.org/wiki/PCI_DSS
Det er dog væsentligt at være opmærksom på, at compliance primært dækker over at kunne bevise, at man overholder reglerne, snarere end at man blot skal overholde reglerne.
Mvh.
Jesper Stein Sandal
Version2.dk
-
0
-
0
Hvis man siger ”Compliance” er det selvfølgelig rimeligt at sige, hvad det er man i den givne situation lige præcis skal være ”i overensstemmelse med”.
Artiklen nævner EU's version af den amerikanske ”Sarbanes-Oxley act”, som sigter mod at afværge finansielle skandaler. Sarbanes-Oxley forkortes ofte SOX, og den europæiske version forkortes EuroSOX.
Så er der jo som også nævnt i artiklen den for kreditkort udbyderne, som Jesper synes er nemmere.
En tredje ”Compliance ting” er den med at især virksomheder i finanssektoren skal tjekke, om de har transaktioner med nogle på EU sanktionsliste: http://ec.europa.eu/external_relations/cfsp/sanctions/list/consol-list.htm
Den er egentlig nem at forstå for de fleste. Hvis du bliver bedt om at overføre penge fra/til (eller i princippet i øvrigt handle med) en som hedder ” Robert Gabriel Mugabe” eller ”Hochburg AG” med adresse i ”Vaduz, LIE”, ja så skal du kontakte myndighederne.
-
0
-
0
