Compliance in de praktijk: ‘geloof m’n Excel-sheetje maar’

juni 18, 2019
KPMG

In veel bedrijven is het staande praktijk: het uitsturen van een lading e-mails en Excels naar de verschillende business units voor de periodieke audit. Afdelingen vullen de vragenlijsten in, mailen deze terug en het hoofdkantoor pluist ze uit. Maar hoe weet een organisatie of het vandaag compliant is, terwijl alle informatie verspreid en onoverzichtelijk is?

Bedrijven moeten kunnen aantonen dat ze voldoen aan alle geldende wet- en regelgeving en aan het zelf gedefinieerde beleid met risico’s en mitigerende controls, maar ze zijn vrij in de manier waarop ze dit controleren en vastleggen. En geloof het of niet: het goeie ouwe Excelsheet is binnen veel organisaties nog altijd favoriet. Met een auditor op de stoep worden dan op stel en sprong overal Excelsheetjes vandaan getoverd.

Foutgevoelig

Dat dit niet de meest overzichtelijke manier is om compliance vast te leggen, mag duidelijk zijn. Maar die onoverzichtelijkheid is nog acceptabel, zolang alle aangeleverde informatie gewoon klopt. En daar wringt de schoen. Een handmatige werkwijze is – naast onoverzichtelijk en arbeidsintensief – foutgevoelig en bovendien nooit actueel.

Enkele jaren geleden mochten we onze Sofy Suite GRC-oplossing implementeren bij een van oorsprong Britse, internationaal opererende investeringsmaatschappij met onder andere ruim 800 hotels en 4000 koffiewinkels. Ook hier werden controles in excels uitgevoerd. Dat was nu eenmaal, zoals bij zoveel organisaties, al jarenlang gebruikelijk en het meest pragmatisch.

De organisatie was zich ervan bewust dat in tijden van strenger toezicht en digitalisering dit niet meer de ideale werkwijze was. Maar ze zagen enorm op tegen het implementeren van een groot software pakket met allemaal toeters en bellen. Begrijpelijk. Een nieuw systeem, speciaal voor een organisatie van die omvang, loopt nogal in de papieren en vergt veel tijd.

Handen vrij voor risico’s

Met Sofy liep dat anders. Bij ons was het niet de vraag: ‘hoeveel willen jullie investeren?’, maar ‘wanneer willen jullie het hebben?’. In minder dan vier weken stapte de Britse investeringsmaatschappij over van een papieren auditsysteem naar Control Management, een app op ons Sofy-platform dat automatisch taken verstuurt en realtime inzicht biedt in de mate van compliance van elke entiteit.

De overstap scheelde de organisatie niet alleen een forse investering. De interne audits zijn van betere kwaliteit en er is op elk moment inzicht in de actuele compliance-status. Ze steken geen tijd meer in het uitpluizen en samenvoegen van Excelsheets. Wel in het reduceren van die risico’s waar het in GRC uiteindelijk om draait.

Emiel van Kampen, Consultant Enterprise Analytics KPMG Sofy Suite