Fra null oversikt til full oversikt
Angst og beven. Revisorpanikk. Stadig nye lovregler og reguleringer innebærer masse arbeid som ikke umiddelbart vekker arbeidslysten.
LONDON: - Det kommer hele tiden nye regler som skal innføres. Ute i bedriftene er det ofte som å se en gjeng femåringer spille fotball. Alle mann på ballen, uten noen særlig god plan.
Ifølge Clifford May i det britiske sikkerhetskonsulentselskapet Integralis, er det få som ser med noen særlig vellyst på mengden av nasjonale eller internasjonale reglementer som får konsekvenser for it-ledelse.
USAs Sarbanes-Oxley-lov, som ble innført etter finansskandaler, stiller strengere krav til dokumentasjon og sporing av data. Den europeiske varianten ”Eurosox” blir innført i år, og nye regler er blitt innført i en rekke bransjer og industrier, for eksempel med hensyn til betalingskort, finansinstitusjoner (Mifid).
- Ni av ti bedrifter som vi er ute hos har svært svake beredskapsplaner. Bedriftsledelsen ser på det som ufristende byråkrati. De ser ikke at det tjener økonomien i selskapet og velger ofte å forholde seg passive. Det koster penger å implementere reglementer, uten at det gir noen uttelling for profitten.
Stykkevis og delt
Den vanlige framgangsmåten er å sette ned en arbeidsgruppe og deretter snu ryggen til, mener May. Bedriftene mangler motivasjon og strategi, og ofte gjøres unødvendig dobbeltarbeid på grunn av manglende overordnet kontroll. Dessuten mangler ofte en forståelse av de politiske og kulturelle aspektene det medfører å forholde seg til de nye lovreglene.
- Det behøver ikke å være slik. Det klarer seg for eksempel med én kontrollinstans, som får ansvaret for å administrere implementeringen av alle nye lovregler. I hvert fall i Storbritannia er viljen langt større til å ta en risiko enn til å evaluere risikoer.
Derfor blir det ofte stykkevis og delt, og ingen gjennomkontrollert prosess når de nye reglene skal innføres, mener konsulenten.
Mulighet til endring
I stedet bør ”compliance” ses på som en katalysator for å få kontroll over dataene i bedriftene, hevder Clifford May. Oppgaven er kanskje slett ikke så uoverkommelig som mange frykter.
- Du skal ikke finne opp organisasjonen på nytt. Som regel kan én instans håndtere 80 prosent av de aktuelle utfordringene. Det handler om å få tak i oppgavene, etablere ett referansepunkt for de ansatte og innføre rutiner der alle blir ansvarliggjort, men som er enkle nok til å la seg realisere.
Oppsiden er nemlig langt større enn innsatsen dette krever, hevder den britiske konsulenten.
- Du får en katalysator for endring. Med ett har du større kjøpekraft, bedre operasjonell kontroll og attpåtil raskere revisjon. Jeg skal ikke påstå at revisjonen blir billigere, men man kan alltids håpe på det også, sier Clifford May.