Process Mapping en Compliance
De leiding van een bedrijf dient periodiek te rapporteren over de effectiviteit van de controles op twee niveaus: ontwerp / opzet van controles (design effectiveness) en werking (operating effectiveness). De Sarbanes-Oxley wet is een Amerikaanse wet op het vlak van het besturen van bedrijven en de financiële verslaglegging door bedrijven.
Een bijzondere plaats in het geheel neemt de IT in. IT is geen direct
doel van SOx, dat is interne controle, maar in die interne controle
speelt de IT een centrale rol. Een belangrijk fenomeen bij
beursgenoteerde ondernemingen is dat deze over het algemeen hun eigen
software schrijven voor afhandeling van logistieke en interne
procedures. Niet zelden zijn een aantal programmeurs in dienst die
wijzigingen in de software verzorgen op basis van eisen en wensen
(wetgeving, gebruikersvraagstukken, bugs) Als de door het bedrijf
geschreven software de cijfers oplevert waar de accountants hun gegevens
uit betrekken, dan zullen de accountants zeker vragen stellen bij het
tot stand komen van deze software. In veel gevallen zal het bedrijf
moeten aantonen dat de software op een deugdelijke wijze is beheerd.
Hiervoor dienen een aantal bewijzen te worden geleverd: welke software
is aangepast, wie heeft de software aangepast, waarom is de software
aangepast, wat is er aangepast (t.o.v. de vorige versie) en wie heeft de
software vrijgegeven voor productie.
Deze vragen kunnen in het kader van Compliance gesteld worden.
Compliance: wettelijke eisen en regelingen, kwaliteitseisen, volgen elkaar in rap tempo op.
Organisatie moet een instrument hebben om de gevolgen van deze wettelijke en
kwaliteitseisen inzichtelijk te maken en de impact van nieuwe of
gewijzigde regelingen te kunnen vaststellen.
Compliance-inrichting: de relevante lijn-, proces- en projectmanagers voeren de maatregelen en noodzakelijke veranderingen uit het complianceplan door in de organisatie, de processen en de middelen.
Compliancebeheer: richtlijnen vertaald naar maatregelen en werkinstructies voor de organisatie. Met behulp van interne controle (AO/IC) wordt vastgesteld of men voldoet aan deze richtlijnen.