It-sjefer må ta høyde for nye regler

It-sjefer må ta høyde for nye regler

Amerikanske bedrifter møter ved årsskiftet knallharde krav til oversikt over egen virksomhet. Jobber du med nye it-prosjekter bør du allerde nå ta høyde for at lignende regler kommer til Norge, er rådet fra eksperter.
Etter finanskandaler i selskaper som Enron og Arthur Andersen har amerikanske myndigheter skjerpet grepet rundt private bedrifter. Da den italienske næringsmiddelgiganten Parmalat gikk på en solid smell, kom også informasjons- og rapporteringsdiskusjonen til Europa.

Kriminell aktivitet er ikke lett å stoppe, men nå må bedrifter som er børsnotert i USA eller som har datterselskaper som er det, kunne dokumentere alle tall i regnskapet. Og her vil it spille en avgjørende faktor.

Større kontrollkrav

-- Det er som regel it-avdelingen som må rydde opp etter festene rundt omkring i bedriften. Det gjelder å holde seg oppdatert og være føre var om hva som skjer på de forskjellige forretningsområdene, sier Christopher Lochhead, markedsdirektør i Mercury.

Lochhead mener at nye krav til selskapsstyring- og kontroll fra myndighetene vil være en driver for it-kostnader fremover.

-- Lover som Sarbanes-Oxley (se faktaboks, red. anm) krever at bedriftene i en langt større grad må kunne dokumentere sine prosesser. For it-avdelingen har dette direkte betydning i større it-prosjekter, hvor lovpålagte konsekvensanalyser vil komme, sier Christopher Lochhead. Indirekte vil dette påvirke it-avdelingene fordi de må legge forholdene til rette for å fremskaffe den nødvendige dokumentasjon og informasjon om selskapets reelle tilstand. På den måten vil it-sjefen kunne holde sine sjefer ute av fengselet.

Kommer til Norge

-- I både i EU og Norge jobbes det med ulike tiltak som ikke nødvendigvis er lik eller like omfattende som amerikanernes Sarbanes Oxley, men lovverkene går i samme retning. Trenden er klar, det blir mer regulering og høyere krav til bedriftene, sier Anne Merethe Bellamy som er avdelingsdirektør i Kredittilsynet.

Leif Arne Jensen som er partner i PriceWaterhouseCooper AS (PWC), sier det kan være fornuftig å begynne å forbrede seg på it-siden allerde nå. I Norge er det, med unntak av selskaper som Statoil, Telenor og Hydro, så og si ingen som ville tilfredstilt et norsk "Sarbanes Oxley"-initiativ.

Dokumentering er et nøkkelord. Kan ikke selskapet dokumentere kontrollprosessene, sier loven at kontrollen ikke eksisterer i det hele tatt - og det straffes med bøter og, i ytterste konsekvens, fengsel.

-- Typisk for norske selskaper er at de er uformelle. Ser man på USA så er det også store prosjekter som er satt i gang for å tilpasse selskapet til den nye loven. En lignende lov ville fått minst like store konsekvenser i Norge, for systemendringer, prosesser og ikke minst it-strukturen, sier Leif Arne Jensen som gir følgende råd:

-- Uansett hva man skal gjøre på it-siden bør man ta høyde for at dette vil komme også til Norge.

Begrense risiko

-- Målet for myndighetene er å ha kontroll slik at den finansielle informasjonen blir riktig. For å få dette til må man ha både automatiserte og manuelle kontroller. Problemet oppstår hvis man ikke har tilgang til nødvendig informasjon og selskapet er lite modent på it siden, sier partneren i PWC.

Jensen sier videre at hele poenget med loven er å begrense risikoen. Har du ikke systemer for dette, blir det vanskelig.

-- Det viktige er at realitetene blir vist. Det finnes jo ikke regler mot dårlige beslutninger, men de skal synes. Det vil få konsekvenser for it-miljøet, hvor man ofte har hatt et hovedfokus på funksjonalitet og mindre fokus på kontroll, når man legger opp systemet. Jeg har sett at man må gå inn og kontrollere og kode for å få oversikt, men å begynne allerede nå å bake det inn, kan være et godt alternativ, avslutter Jensen.