Regnearksrod gør det dyrere at leve op til nye it-lovkrav

Lad os se tilbage. Hvad er forskellen på i år, og sidste år, på samme tid?

Lovkrav er jo selvfølgelig ikke til at komme uden om, men også et for alle virksomheder basalt ønske om bedre indtjening gennem en mere effektiv og strømlinet administration gør, at der stadig er rigtig meget at hente gennem automatisering. Datamængderne, selv i mindre organisationer, vokser i disse år, ligesom vi bruger data mere og mere i vores beslutningsprocessor. Manuelle rutiner – inklusiv at fedte rundt i regneark – er normalt ikke godt nok, hvis du fremover vil klare dig i konkurrencen med dem, der satser på strømlinet datahåndtering og effektiv sikring af tværgående datakvalitet.

Jeg var i foråret til et på-vej-hjem møde hos Dansk IT, som handlede om EuroSOX og de hermed forbundne IT-mæssige konsekvenser. Implementering af EuroSOX tager jo rent formelt sigte på nogle bestemte organisationer og helt konkret den finansielle rapportering hos dem. Men derfor kan man jo også godt lære noget af de metoder og den systematik, der her lægges for dagen, og med fordel bruge dette i en bredere sammenhæng.

Et væsentligt element i EuroSOX er jo at ting skal kontrolleres - og det skal også kontrolleres, at ting rent faktisk bliver kontrolleret. I den forbindelse er det værd at bemærke, at en kontrol der udføres af et menneske, skal kontrolleres langt oftere, end en kontrol der udføres af et IT-system (som vel at mærke er kontrolleret).

Grunden til dette er jo, at vi mennesker hurtigt kommer til at sjuske, når vi skal gentage den samme opgave - og det gælder også kontrolopgaver.

EuroSOX handler i forhold til IT om at sikre datakvaliteten med hensyn til de informationer, der danner grundlag for den finansielle rapportering, og dette sker i høj grad ved at sikre og kontrollere de processer, der skaber og vedligeholder data.

Disse principper kan man så, ikke med samme pres - men med lige så stor fordel, overføre til alle andre data end de finansielle data - og til alle andre organisationer. Jeg arbejder selv meget med sikring af datakvalitet ofte i forbindelse med kundedata, og jeg er ikke i tvivl om, at gode kontroller som udføres af en dertil egnet IT-service, ikke skal kontrolleres så ofte, som tilsvarende kontroller, som udføres af mennesker.

Den artikel giver ikke mening, hvad er det for nogle data vi snakker om? Det hele er jo skrevet så generelt at det kan sættes ind i en million forskellige sammenhænge.

Der er tale om compliance. Det handler om at kunne dokumentere, at din organisation opfylder de gældende krav til blandt andet bogføringsprocesser, mulige interessekonflikter, sikkerhed omkring følsomme data, bevaring af eksempelvis e-mails og dokumenter.

For os, der ikke er advokater eller bogholdere, er PCI nok det compliance-regelsæt, der er lettest at forholde sig til:

http://en.wikipedia.org/wiki/PCI_DSS

Det er dog væsentligt at være opmærksom på, at compliance primært dækker over at kunne bevise, at man overholder reglerne, snarere end at man blot skal overholde reglerne.

Mvh.
Jesper Stein Sandal
Version2.dk

Hvis man siger ”Compliance” er det selvfølgelig rimeligt at sige, hvad det er man i den givne situation lige præcis skal være ”i overensstemmelse med”.

Artiklen nævner EU's version af den amerikanske ”Sarbanes-Oxley act”, som sigter mod at afværge finansielle skandaler. Sarbanes-Oxley forkortes ofte SOX, og den europæiske version forkortes EuroSOX.

Så er der jo som også nævnt i artiklen den for kreditkort udbyderne, som Jesper synes er nemmere.

En tredje ”Compliance ting” er den med at især virksomheder i finanssektoren skal tjekke, om de har transaktioner med nogle på EU sanktionsliste: http://ec.europa.eu/external_relations/cfsp/sanctions/list/consol-list.htm

Den er egentlig nem at forstå for de fleste. Hvis du bliver bedt om at overføre penge fra/til (eller i princippet i øvrigt handle med) en som hedder ” Robert Gabriel Mugabe” eller ”Hochburg AG” med adresse i ”Vaduz, LIE”, ja så skal du kontakte myndighederne.