De compliancescan: meer grip op risico’s

De compliancescan: meer grip op risico’s

Auteurs: Mr. Carl De Wannemaeker, EMoC – Drs. Cosmo Schuurmans RA CIA
Beeld: Adobe Stock
5 min

Hoe zet je de ISO-compliancenorm in om de organisatie te versterken en meer inzicht en grip op de belangrijkste compliancerisico’s te geven? Om de norm meer praktisch in te kunnen zetten is deze vertaald naar een compliancescan die het het huidige prestatieniveau inzichtelijk maakt, afgezet tegen de norm en het ambitieniveau. Dit is de basis voor een individueel en gericht verbeterplan. Human capital is daarbij een wezenlijke factor.

Waarom lukte het organisaties niet om compliance in te voeren, ondanks mooie raamwerken en steeds weer nieuwe top-compliance officers? Modelneurose gaat soms aan de essentie voorbij, er wordt te weinig rekening gehouden met het waarom voor alle betrokkenen, wat zijn hun doelstellingen? Een duurzame aanpak van compliancerisicobeheersing zorgt dat compliance niet in de weg zit.

Compliancemanagement ondersteunt juist organisaties hun compliancedoelstellingen sneller en veiliger te bereiken, met behoud van reputatie en waarde. Voor internal audit is dit interessante informatie om te gebruiken tijdens het uitvoeren van audits waarin compliancerisico’s worden getoetst, of een audit naar het functioneren van compliance binnen een organisatie.

Regeltjes en richtlijnen alleen zorgen niet voor compliant gedrag, daar zijn ook soft controls voor nodig

Gedegen aanpak

Systematisch compliancemanagement werkt met hard en soft controls naar inzicht en grip op de juridische operationele risico’s. Dit vraagt om een gedegen aanpak met integrale (samen!)werking. De ISO 37301 compliancenorm heeft dit in een systeem uitgewerkt, ook met inbreng van Nederlandse expertise. De norm vormt een doorbraak dankzij de combinatie van veel risk/compliance-ervaring en gerelateerde benchmarks, zoals toegelicht in mijn scriptie voor executive master of compliance aan de Vrije Universiteit Amsterdam. Mijn praktijkvertaling van deze norm in een compliancescan levert de mogelijkheid om de eigen complianceprestaties (zie hierna) te benchmarken versus de ambitie en/of versus de sector. Op deze wijze biedt de norm een katalysator voor groei in compliance.

Effectiviteit

Hard-controlmaatregelen zijn effectief indien deze worden ondersteund door een cultuur van integriteit. Regeltjes en richtlijnen alleen zorgen niet voor compliant gedrag, daar zijn ook soft controls voor nodig, deze stimuleren een cultuur van integriteit als bedding voor de hard controls. De ISO-compliancenorm benut een aantal aspecten die hieraan bijdragen, zoals leiderschapsdimensies, communicatie en training. De norm werkt ook met preventieve soft controls zoals helderheid, voorbeeldgedrag en betrokkenheid. Detectiesoft-controls zoals transparantie worden ook ingezet. En de responsieve soft control handhaving kan de compliancecultuur maken of breken.

Hoe en wat: ISO-compliancenorm

De ISO-norm 37301 is uitgewerkt in een compliancemanagementsysteem (CMS). Het is samengesteld vanuit een stevige basis met contextanalyse, verbinding met concrete organisatiedoelstellingen, organisatieprincipes voor goed bestuur en een authentieke risk/compliance/integriteitsleiderschapscultuur. Deze vormen de gezonde fundering voor de andere compliancecomponenten in de plan-do-check-actcyclus (PDCA). Het geheel is vervat in een zeventigtal elementen voor compliancemanagement. Zie het kader voor een samenvatting van de norm.

Samenvatting ISO-norm 37301

Context van de organisatie

  • De omgevingsanalyse is opgesteld en volledig: context, issues, belanghebbenden, eisen, wensen en verwachtingen

  • Identificatie van complianceverplichtingen: er is een goed en actueel overzicht van de wet- en regelgeving

  • De compliancerisico’s zijn beoordeeld met scores

Leiderschap

  • Er is compliancebeleid, met de nadruk op commitment en voorbeeldgedrag

  • Duidelijkheid in rollen, verantwoordelijkheden en bevoegdheden met betrekking tot compliance voor bestuur, top- en lijnmanagement en medewerkers. Er is een onafhankelijke compliance officer

Planning

  • Vaststellen van compliancedoelstellingen, de focus is bepaald, beperkt en duidelijk afgesproken

  • Plannen van maatregelen om compliancerisico’s te beheersen. Er ligt een concreet compliancetakenactieplan met tijdskader en vaststelling van eenieders betrokkenheid

Support

  • Bewustzijn, competentie en training in compliance

  • Gedrag en cultuur

  • Communicatie en documentatie

Operatie

  • Implementatie maatregelen voor compliance (technisch, procedureel, sturing op gedrag)

Prestatie evaluatie

  • Monitoren van compliancenaleving met toepassing van indicatoren

  • Analyse van informatie en rapportages van resultaten (intern en extern)

Verbetercyclus

  • Corrigerende maatregelen en verbeteracties

  • Actie op niet-naleving van eisen en escalatie waar nodig naar hogere managementniveaus

In figuur 1 is een voorbeeld gegeven van het overkoepelend resultaat van een compliancescan, waarbij de scan zelf ook op subniveaus inzoomt. De compliancescan levert scores op die zijn getoetst aan de gemiddelden in de sector en, belangrijker nog, getoetst zijn aan de complianceambitie van de organisatie, om te komen tot een gericht stappenplan voor groei van de beheersing.

Figuur 1. Voorbeeld van resultaat compliancescan

Normneurose?

De ISO-norm is de eerste mondiale aanbeveling door een neutraal, gerenommeerd instituut voor het inrichten en verbeteren van een compliancemanagementsysteem. De ISO-werkgroep integreert strategische, tactische en operationele middelen om te komen tot een compliancemanagementsysteem (CMS).

Sterke punten van de compliancenorm:

  • transparante en integrale compliancebeheersing met contextanalyse;
  • strategische en operationele verankering (PDCA) in de organisatie;
  • integrale compliancebeheersing door focus op gedrag en cultuur;
  • compliancebeheersing als lerende organisatie: verbetermanagement.

De norm had verder kunnen gaan in het specificeren van soft-controlelementen uit de nieuwste wetenschappelijke inzichten, maar dat zal wellicht in de toekomst aan de norm toegevoegd worden. In het uitbouwen van gedegen compliancemanagement moeten we ons niet blindstaren op een model. Iedere norm is slechts een leidraad voor verbetering. Deze norm vormt een waardevolle samenvatting van de recente ervaring en veel nieuwe wetenschappelijke inzichten.

Het is belangrijk om compliancerisicobeheersing breed te verankeren met een effectieve inzet van human capital

Kritische succesfactoren voor de praktijk

Hoe ga je dan verder in de praktische invulling? Wat zijn de valkuilen?

Compliancebeleid
Een weldoordacht compliancebeleid levert betrokkenheid op van alle spelers, met een gedragen focus op specifieke wetgeving. In het beleid bepaal je op welke belangrijke juridische risico’s je gaat sturen en bouw je verder op de risicobereidheid per thema. Bijvoorbeeld heel streng en strak sturen op veiligheidsrisico’s en meer ruimte opzoeken in – creatiever – portfoliomanagement?

Stappenplan
Hoe zet je het beleid om in een realistisch stappenplan? Voor iedere fase in de plan-do-check-actcyclus moet je duidelijk bepalen wat, waarmee en door wie er wordt geleverd om de fase af te sluiten en de cyclus – op termijn – continu te laten werken.

Inbedding
Het is belangrijk om compliancerisicobeheersing breed te verankeren met een effectieve inzet van human capital. De inbedding in de afdelingen control, risk en compliance, audit, juridische zaken en de uitwerking naar de operationele afdelingen zijn doorslaggevend voor het succes. Geen silovorming, maar samenwerking in een uniforme risk/control/auditaanpak. Dit geeft eenduidigheid in de uitwerking en duurzame resultaten in de eerste lijn.

In twee weken tijd ontstaat inzicht in het huidig compliancemanagementniveau, met een gericht verbeterplan vanuit het vastgestelde ambitienieveau

Prioriteren
Bepaal op basis van de top-juridische risico’s hoe je gaat meten en bijsturen. De rapportage op macro- en microvlak grijpen op elkaar in zonder rapportageoverkill. In de markt is uitstekende compliancesoftware beschikbaar, waarbij extra focus kan worden gelegd op de invalshoeken die je zelf kiest: per afdeling, maar ook bijvoorbeeld thematisch zoals privacy door de hele organisatie.

Compliancescan
De hiervoor genoemde succesfactoren komen sneller aan het licht door het uitvoeren van een compliancescan. In twee weken tijd ontstaat inzicht in het huidig compliancemanagementniveau, met een gericht verbeterplan vanuit het vastgestelde ambitienieveau. De reacties van de reeds geleverde scans in de corporatiesector tonen een belangrijke bijvangst: ‘meer betrokkenheid en meer energie’ om compliancemanagement te verbeteren en te verankeren.

Samenwerking met internal audit
Internal audit heeft ook een rol in compliancemanagement. Internal audit kan in haar werkzaamheden compliancerisico’s meenemen. Daarnaast biedt de ISO-norm een belangrijk raamwerk om te toetsen op welke manier een organisatie omgaat met compliance en de juiste keuzen daarin maakt.

Gezond fundament

Deze praktische dimensies geven aan dat compliancemanagement enkel zal werken door te bouwen op human capital, in een integrale aanpak. De compliancescanaanpak levert met deze invulling een gezond fundament voor duurzaam inzicht en grip op de beheersing van juridische risico’s. Het resulteert in de optimale inzet van de ISO-compliancenorm met human captital naar een cultuur van compliance en integriteit.

 

Over
Mr. Carl De Wannemaeker EMoC (VU) maakt de ISO-compliancerichtlijn bruikbaar: ‘Compliancescan, een compliancegroeikatalysator’.

Drs. Cosmo Schuurmans RA CIA is partner bij EBBEN Partners bv, een onderzoeks- en adviesbureau op het gebied van integriteit, risicomanagement en compliance.

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.

Lees meer over dit onderwerp:

ISO-normen: onderschatte pareltjes

ISO heeft het imago van ‘afvink’ framework en ‘dikke handboeken op orde’. Deze aanname is echter een gepasseerd station. In gesprek met Dick Hortensius, senior consultant managementsystemen NEN over ISO. Zijn advies: internal auditors moeten vaker gebruikmaken van geïmplementeerde ISO-normen en de uitkomsten van ISO-audits. Wie is Dick Hortensius? “Ik heb een analytisch-chemische achtergrond en […]

Lees meer

OCEG’s GRC Capability Model

Internal Audit kan bij uitstek een verbindende rol spelen bij governance, risk management en compliance (GRC) vraagstukken. In dit artikel de meerwaarde van het GRC Capability Model (GCM) van de Open Compliance and Ethics Group (OCEG) voor de kennis en vaardigheden van internal auditors in die rol.

Lees meer