Compliance og EuroSOX

I min sidste blogpost fortalte jeg, at jeg havde møder på begge sider af turen til CeBIT. I begge tilfælde var der tale om indlæg på seminarer om compliance med hovedfokus på EuroSOX.

EuroSOX er et stort emne, da det ikke længere blot drejer sig om EU’s 8. direktiv. Næh, nu har de slået The European Unions Financial Services Action Plan sammen med 4., 7. og 8. direktiverne til hvad der i folkemunde er blevet til EuroSOX.

Det er blevet så omfattende, at det kun er de største revisionsfirmaer, som har overblik over konsekvenserne. De fleste virksomheder’s repræsentanter, som jeg møder på seminarerne har ikke det fulde overblik, men de sidder jo heller ikke altid i ledelserne.

Hov, her var en ledetråd. De sidder ikke i ledelserne, dem som skal sikre compliance. Det er nemlig ofte sådan, at når jeg eller kollegaer kontakter virksomheders øverste ledelse, for at få en dialog om compliance af hensyn til f.eks. elektroniske dokumenter og dokumentation, ja så bliver man såmænd henvist til den IT-ansvarlige – IT-direktøren, IT-chefen eller IT-sikkerhedschefen. Meldingen er ofte at ’vi har styr på compliance – det har IT-afdelingen ansvaret for’.

Nu har vi jo så blot det problem, at de IT- eller ITS-ansvarlige (ITS=IT Sikkerhed) for det første ikke altid har fået bevilget ekstra penge til sikring af de nye EU-regulativer (eller andre regulativer for den sags skyld). For det andet er det ikke altid et spørgsmål om penge eller afdeling – det handler lige så meget om politik – eller det vi med et fint ord kalder Corporate Governance.

Det er jo faktisk sådan, at HVIS der går noget galt – rent compliance mæssigt – ja så er det jo IKKE IT-chefen, som få ørene i maskine og bliver udstillet på forsiden af Børsen. Hvis du er den administrerende direktør har du størst risiko for at blive udstillet, hvis du er formand for bestyrelsen næststørst risiko. Den administrerende direktør er den første som ryger i svinget, hvis det går rigtigt galt. I henhold til SOX risikerer han (ligesom formanden) 25 års fængsel. Der når vi vel næppe op under EuroSOX.

Men uanset om man er administrerende direktør, formand for bestyrelsen eller har andre underordnede direktør- eller chef-titler, vil der under alle omstændigheder ske ubodelig skade på virksomhedens ry og rygte, hvis man hænges ud på forsiden af Børsen eller en anden seriøs avis. Det er ikke IT-chefens navn, der udstilles på de forreste sider.

Hvis du interesserer dig for Corporate Governance eller God Selskabsledelse, har du forhåbentligt læst Nørby-udvalgets rappport, hvilket man som praktiker (som jeg) jo ikke får meget ud af.

I den lille andedam bliver jeg ofte konfronteret med problemstillingen – ’hvorfor investere en masse penge i compliance problematikker, som ikke har reel betydning i lille Danmark. Vi ser jo ikke de skandalesager, som sker i udlandet’.

Vi vil med andre ord have lig på bordet, før vi kan få ledelserne til at investere i disse ting.

Tilbage til EuroSOX – er DU klar over, at denne eller måske mere korrekt, disse direktiver blev vedtaget i april 2006.

OG at EuroSOX træder i kraft 1. juni 2008.

Hvis du vil vide mere, så ring 7022 0172 og spørg efter Preben Madsen.
Eller læs mere om compliance her.