KPMG Advisory België peilde naar de manier waarop bedrijven tegen Governance, Risk & Compliance (GRC) aankijken, naar de tools en oplossingen die hiervoor aangereikt worden en – niet onbelangrijk – naar de verhoopte efficiëntie.

Eind vorig jaar organiseerde KPMG Advisory in België een informatiesessie rond het thema ‘Governance, Risk & Compliance’. Uitgenodigd waren zestig in België gevestigde bedrijven waarvan ongeveer de helft zich naar de Sarbanes-Oxley-eisen dient te schikken. De antwoorden van de aanwezige cio’s, cfo’s en interne auditeurs vormen weliswaar geen representatief staal maar geven toch al een goede indicatie van de toestand op het terrein. Die blijkt verre van ideaal te zijn.

Eerste vaststelling: 87 procent van de deelnemers stelt dat de nieuwe wetgevingen die governance en interne controles toelichten of opleggen (SOX, Code Lippens, Combined Code…), de invoering van een beter toezicht op de zakelijke processen eisen. Slechts 9 procent deelt die mening niet. Dit lijkt erop te wijzen dat de overgrote meerderheid vandaag over te weinig controlemechanismen meent te beschikken. Enige relativering is echter nodig nu men begint te beseffen dat de SOX-‘slinger’ (om ons tot deze te beperken) wellicht wat ver in de richting van onverbiddelijkheid is doorgeslagen, en dat een beter evenwicht zich opdringt. Overigens was de wijze waarop – vooral Amerikaanse – ondernemingen tot nu interne controlemaatregelen hebben opgezet, niet altijd gepast, evenwichtig of oordeelkundig te noemen.

79 procent van de respondenten meent dat men absoluut op tools moet kunnen terugvallen om de directieleden een tastbaar en doelmatig bewijs te leveren dat de zakelijke processen werkelijk “onder controle” zijn. 17 procent is daar echter niet van overtuigd.

Welke relevantie?

53 procent verklaart niet te beschikken over een ERM-framework (Enterprise Risk Management) van formeel gedocumenteerde en goedgekeurde controlemaatregelen met voldoende details over de geautomatiseerde controlemechanismen die toch in de erp-programma’s opgenomen zijn. Slechts 43 procent beweert over een dergelijk ‘framework’ te beschikken.

Verontrustender is dat 74 procent van de respondenten de via erp verzamelde informatie die goede procesbeheersing moet aantonen, “onvoldoende, onvolledig en/of onbetrouwbaar” noemt. Slechts 11 procent vindt de informatie vanuit hun erp betrouwbaar of relevant. De overige 15 procent weet niet precies hoe het ermee gesteld is.

De resultaten zijn al even weinig geruststellend wanneer wordt gepeild naar het gebruik van de tools voor applicatieve controle die in de erp-oplossingen geïntegreerd zijn. En dat verklaart wellicht de eerdere cijfers. 72 procent verklaart die tools niet optimaal te benutten. KPMG Advisory heeft hiervoor een uitleg: de meeste controlemechanismen blijven nog altijd manueel. Het gebruik van automatische mechanismen (die weliswaar aan elke situatie aan te passen zijn) maakt slechts zelden deel uit van de te volgen regels bij het initiële implementatieproject van een erp-oplossing: bedrijven hebben vooral oog voor de naleving van implementatietermijnen en -budgetten en voor de te ontplooien functies. Een foute inschatting en strategie, het is namelijk al zo vaak bewezen dat het veel moeilijker en duurder is processen te corrigeren of pas achteraf controlemechanismen te implementeren. Niet alleen de ondernemingen zélf zijn verantwoordelijk voor die situatie; ook de partners-integratoren die voor het implementatieproject werden aangezocht, treft schuld. “Zij implementeren de internal controls niet, om de eenvoudige reden dat het hun corebusiness niet is”, zegt men bij KPMG Advisory. “Of omdat ze de invoering ervan te delicaat vinden. Zij laten deze opdracht en het onderhoud ervan liever over aan de onderneming zélf, die dat dan vergeet of verwaarloost. ” België zou op dat punt een ernstige handicap in te halen hebben tegenover bepaalde buurlanden waar de ‘cultuur’ van interne controlemechanismen breed geïntegreerd is.

Een zweempje hoop

66 procent van de ondervraagde verantwoordelijken gelooft dat de ‘totale kostprijs van conformiteit’ te drukken is door een beroep te doen op de automatische controlemechanismen in de erp-oplossingen. 15 procent is het daar niet mee eens en 19 procent spreekt zich niet uit.

74 procent van de ondervraagden is overigens van oordeel dat ‘geïntegreerde en rijpe’ GRC-processen instrumenten zijn voor verbetering van de efficiëntie van hun zakelijke processen.

Alle hoop op een ‘betere governance’ voor it en business is dus nog niet verloren…

Hoe zouden manuele controleprocedures, hoe goed bedoeld ook, overigens kunnen optornen tegen de groeiende uitdagingen waarmee de ondernemingen geconfronteerd worden: controle en vermindering van de kosten met het oog op (wettelijke of reglementaire) conformering, constante updating in functie van nieuwe wetten en regels, integratie van de – soms tegenstrijdige – eisen ervan, optimalisering van de feitelijke controles zodat deze werkelijk bijdragen tot verbetering van de ‘prestaties’ van de onderneming, en nog zo een en ander.

De GRC-tools lijken dus een conditio sine qua non. Op voorwaarde weliswaar, beklemtoont KPMG Advisory, dat de begeleiding bij verandering en de responsabilisering van het bedrijf niet vergeten worden. “Het bedrijf moet namelijk de ultieme ‘owner’ blijven van elk initiatief tot implementering van een GRC-oplossing.”

Brigitte Doucet