Je hebt hem waarschijnlijk ook op de mat gekregen: de brief van de Autoriteit Financiële Markten (AFM), de Nederlandse Beroepsorganisatie van Accountants (NBA) en de Samenwerkende Registeraccountant (SRA) over de systematische integriteitrisicoanalyses (SIRA) bij niet-OOB accountantsorganisaties.

Het is onrustig op de werkvloer

De accountant komt binnenkort weer langs en de toezichthouder heeft recent ook al vragen gesteld over de interne beheersing. Afdelingen verzenden een veelheid aan e-mails en MS Excel-documenten naar elkaar waaruit moet blijken dat de organisatie in control is. Men is aan het zoeken naar de benodigde informatie of benodigde input blijkt incorrect of ontbreekt. De verhoogde druk en handmatige handelingen leiden ertoe dat er ad hoc en niet efficiënt wordt gewerkt, waardoor tijd van werknemers verloren gaat, er fouten worden gemaakt en de kans op boetes groter wordt. Daarnaast is onduidelijk of de opgeleverde documenten de toets van de toezichthouders kunnen doorstaan.

Als de algemene opvatting klopt dat compliance in Nederland ‘nog in de kinderschoenen staat’, dan is het wel een kind dat héél snel heeft moeten opgroeien. Want wie begin jaren negentig in de boardroom de term ‘compliance’ liet vallen, kon vooral rekenen op vragende blikken. Wat is er veranderd? En hoe kunnen organisaties voldoen aan strengere regels zonder aan wendbaarheid in te leveren? Voordat we die vragen kunnen beantwoorden, moeten we eerst even terug in de tijd.

In veel bedrijven is het staande praktijk: het uitsturen van een lading e-mails en Excels naar de verschillende business units voor de periodieke audit. Afdelingen vullen de vragenlijsten in, mailen deze terug en het hoofdkantoor pluist ze uit. Maar hoe weet een organisatie of het vandaag compliant is, terwijl alle informatie verspreid en onoverzichtelijk is?

Het hoofdkantoor van een multinational is te vergelijken met een vuurtoren. Met zijn ronddraaiende lichtstraal ziet hij alle vestigingen, maar het licht schijnt nooit in alle richtingen tegelijk. Dat is een probleem, zeker als het gaat om access management. Hoe limiteer je de bedrijfsrisico’s als je de tools mist om continu duizenden rollen en rechten te monitoren?