Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management
  3. Humanresourcemanagement

`Risk-based` compliance management met ISO 19600

advertisement 
Hoofdartikel
‘Risk-based’ compliance
management met ISO 19600
Dick Hortensius
Eind 2014 is de internationale richtlijn ISO 19600 Compliance management systems – Guidelines gepubliceerd
en overgenomen als Nederlandse NEN-ISO. Vanuit Nederland is actief bijgedragen aan de ontwikkeling hiervan.
Compliance staat hoog op de agenda bij veel organisaties in de (semi)publieke en private sector. Dat er nog
het nodige valt te verbeteren op dit terrein bleek ook in 2014 weer uit de berichtgeving over bijvoorbeeld
steekpenningen, niet toegestane prijsafspraken en overtreding van privacywetgeving. Compliance wordt steeds
complexer door de grote hoeveelheid wet- en regelgeving en andere eisen waaraan een organisatie moet of
wil voldoen, maar ook steeds belangrijker omdat compliance de basis is voor maatschappelijk verantwoord
ondernemen en bepalend voor het imago van de organisatie. Een mondiaal geaccepteerd referentiekader
voor wat ‘goed’ compliance management inhoudt, is daarom een belangrijke benchmark voor organisaties en
toezichthouders.
Dick Hortensius, senior-consultant managementsystemen bij NEN
Nederlandse speerpunten
Voor Nederland waren een paar onderwerpen belangrijk bij
de ontwikkeling van ISO 19600:
1.het moest een richtlijn worden en geen eisenstellende
certificeerbare norm;
2. het moest een ‘risk-based’ karakter hebben;
3.er zou voldoende aandacht moeten zijn voor cultuur en
gedrag.
De Nederlandse inbreng was heel succesvol, maar er zijn ook nog wel wat onvervulde
wensen.
Op de meeste fronten was de Nederlandse inbreng heel
succesvol, maar er zijn ook nog wel wat onvervulde
wensen, die mogelijk op nationaal niveau verder worden
ingevuld. De inbreng is geleverd vanuit de breed samengestelde normcommissie ‘Compliance management’
onder voorzitterschap van mw. dr. Sylvie Bleker-van Eyk,
Director bij Deloitte Risk Services BV en Programmadirecteur Postdoctorale Opleiding Compliance & Integriteit
Management VU. Opvallend afwezige ‘stakeholdergroep’ in
de normcommissie was die van inspecties en toezichthouders. Bij aanvang van het project toonden zij wel waardering
voor het ISO-initiatief, maar vonden dit vooral iets van ‘voor
en door bedrijven’. In 2014 heeft een keer een zogenoemde
klankbordbijeenkomst plaatsgevonden, waarbij een breed
6
scala aan toezichthouders werd geïnformeerd over de stand
van zaken, uitgebreid werd gediscussieerd over de
inhoud en toegevoegde waarde van ISO 19600 en feedback
werd verkregen die de normcommissie mee kon nemen in
de laatste commentaarronde.
De richtlijn ISO 19600
ISO 19600 is ontwikkeld in de vorm van een richtlijn voor
compliance management en niet als een eisenstellende
(certificeerbare) norm. Dat had ook de uitdrukkelijke steun
van de Nederlandse normcommissie. Er zijn namelijk al
voldoende certificeerbare managementsysteemnormen
voor specifieke onderwerpen waarvan compliance met
wet- en regelgeving en stakeholdereisen deel uitmaakt;
denk bijvoorbeeld aan ISO 14001 voor milieumanagement
of OHSAS 18001 voor arbomanagement. ISO 19600
helpt organisaties hun bestaande aanpak van compliance
management te verdiepen en te verbreden. Daarbij is het
handig dat ISO 19600 is opgezet volgens de ‘high level
structure’ (HLS) voor managementsysteemnormen, zodat
gebruikers onmiddellijk zien op welke onderdelen van het
managementsysteem richtlijnen worden gegeven om compliance goed in te vullen. In figuur 1 is de samenhang van
de elementen van een compliance managementsysteem
volgens ISO 19600 opgenomen. Voor elk element geeft
ISO 19600 specifieke richtlijnen en aandachtspunten voor
compliance. Zo is er bijvoorbeeld veel aandacht voor
rollen en verantwoordelijkheden van bestuur, directie,
Hoofdartikel
Figuur 1 - Samenhang van de elementen van het compliance managementsysteem volgens ISO 19600
lijnmanagement en medewerkers van een organisatie en
voor de onafhankelijkheid van de compliance-officer (of
algemener: de compliance functie).
Risk-based benadering
Compliance management gaat vandaag de dag verder
dan het voldoen aan wet- en regelgeving. Het gaat ook
om naleving van eisen van stakeholders, certificaten en
keurmerken en eigen bedrijfsregels en gedragscodes. Vaak
zijn allerlei verschillende afdelingen binnen een organisatie
verantwoordelijk voor specifieke typen/categorieën regels.
Het op een consistente manier managen van al deze eisen
wordt steeds complexer en tijdrovender. Het stellen van de
juiste prioriteiten is daarom belangrijk.
Op voorstel van Nederland is daarom in ISO 19600 voor
een risk-based benadering gekozen en die bestaat eigenlijk
uit drie stappen (zie figuur 2 op de volgende pagina):
1.het bepalen van de ‘compliance obligations’ van de
organisatie;
2. het bepalen van de compliance risico’s;
3. het kiezen van de beheersmaatregelen (‘controls’).
Bij de eerste stap moet de organisatie vaststellen welke
eisen, wensen en verwachtingen van stakeholders zij als
verplichtingen voor zichzelf wil aanvaarden en naleven.
Wat betreft wettelijke eisen is er geen keuzemogelijkheid:
KAMNieuwsbrief 4 / 2014
die behoort een organisatie in ieder geval na te leven. Wat
betreft de overige eisen, moet de organisatie bepalen welke
voor haar het belangrijkste zijn, ofwel welke risico’s zij loopt
als ze daaraan niet voldoet. Denk aan commerciële risico’s
van ontevreden klanten die weglopen of imagorisico’s als
een gedragscode van de sector op het gebied van MVO niet
wordt onderschreven. Dus op basis van een risicobeoordeling worden keuzes gemaakt.
Bij de tweede stap bepaalt de organisatie wat de met
de verplichtingen (compliance obligations) verbonden
compliance risico’s zijn: wat is de kans op optreden van
niet-naleving en wat is de ernst van de gevolgen daarvan?
Het is logisch dat aan de verplichtingen met de grootste
compliance-risico’s de meeste aandacht wordt besteed.
De consequenties van niet-naleving kunnen financieel zijn
(boetes, inkomstenderving), fysiek (milieuschade, gezondheid van werknemers), imago (slecht in de pers, dalende
motivatie onder werknemers) etcetera.
Bij de derde stap wordt afhankelijk van de omvang van de
compliance risico’s gekozen voor meer of minder rigoureuze beheersmaatregelen en vindt meer of minder intensieve
monitoring van de naleving van eisen en van de effectiviteit
van de getroffen beheersmaatregelen plaats.
7
Hoofdartikel
Figuur 2 - Risk-based benadering van compliance volgens ISO 19600
Deze stappen zijn afgeleid van de stappen in het risicomanagementproces volgens ISO 31000. Het vaststellen
van compliance risico’s kan daarom ook goed worden
geïntegreerd met het algehele risicomanagement van een
organisatie en in veel bedrijven is compliance dan ook
belegd bij of nauw gekoppeld aan de risicomanagementafdeling. Overigens stelt ISO 19600 dat de risicobenadering niet het gecalculeerd niet-naleven van wetgeving (‘we
betalen de boete wel’) inhoudt, maar moet leiden tot focus
op de belangrijkste nalevingsverplichtingen.
Gedrag en cultuur
Compliance heeft uiteindelijk te maken met of mensen de
vereiste maatregelen treffen, procedures naleven en het
juiste gedrag vertonen. Dit geldt eigenlijk voor alle managementsystemen, maar in het bijzonder voor compliance
management omdat wet- en regelgeving en gedragscodes
(het woord zegt het al) vaak te maken hebben met juist en
integer handelen van mensen. De schandalen die de laatste
tijd de media haalden, hebben veel te maken met fraude,
omkopingen en prijsafspraken; allemaal mensenwerk. Voor
het juiste gedrag van mensen is het belangrijk dat er een
cultuur is waardoor goed gedrag wordt gestimuleerd en
beloond en onoorbaar gedrag bestraft. Daarom heeft de
Nederlandse normcommissie bij de becommentariëring van
de laatste concepten van ISO 19600 speciale aandacht
voor de cultuur- en gedragscomponenten gehad. Daarbij
1
8
heeft de commissie zich laten leiden door een aantal universele factoren die het gedrag van mensen in organisaties
beïnvloeden (zie het kader op de volgende pagina). Deze
zijn geformuleerd door professor dr. Muel Kaptein op basis
van onderzoek van een groot aantal gebeurtenissen waarbij
mensen regels overtraden of niet het gewenste gedrag
vertoonden.1
Nederland heeft geprobeerd deze zeven factoren als het
kader voor sturing op gedrag op te laten nemen in de
inleiding van ISO 19600 als parallel van de universele managementsysteemelementen die zijn ontleend aan de HLS
van ISO. Zo zou een betere balans ontstaan tussen de aandacht voor ‘het systeem’ en voor ‘cultuur en het menselijk
gedrag’. Dat is helaas niet gelukt. Ten eerste omdat het in
een vrij laat stadium van de ontwikkeling van de norm werd
ingebracht en ten tweede omdat andere landen niet onmiddellijk van het universele karakter van de gedragsbeïnvloedende factoren waren te overtuigen. Niettemin blijkt uit een
analyse dat alle factoren op de een of andere manier zijn
terug te vinden in de richtlijnen van ISO 19600. De een wat
explicieter en uitgebreider dan de ander, maar voldoende
om organisaties handvatten te bieden om met ISO 19600
cultuur en gedrag voor compliance en integer handelen te
structureren. Dit sluit bijvoorbeeld goed aan bij de 7
elementen voor een integere cultuur zoals geformuleerd
door De Nederlandse Bank.
Waarom goede mensen soms de verkeerde dingen doen – 52 bespiegelingen over ethiek op het werk, Muel Kapteijn, 2011
Hoofdartikel
Gedragsbeïnvloedende factoren
van Muel Kaptein
• H
elderheid over wat van medewerkers wordt verwacht (normen, waarden,
verantwoordelijkheden);
• Voorbeeldgedrag van (top)management en leidinggevenden;
• U
itvoerbaarheid van operationele doelstellingen, opgelegde taken en toebedeelde verantwoordelijkheden;
• Betrokkenheid van medewerkers om zich in te zetten voor de organisatie; dit
wordt positief beïnvloed door medewerkers met respect te behandelen;
• Transparantie over het effect van eigen handelen en dat van anderen;
• Bespreekbaarheid van (bijna)incidenten, dillema’s en van (afwijkende)
meningen en inzichten;
• Handhaving van gedrag waarbij gewenst gedrag wordt gewaardeerd en beloond
en ongewenst gedrag wordt bestraft.
Sommige van deze factoren zijn bekend en voor de hand liggend, zoals voorbeeldgedrag en handhaving. Bij andere wordt niet zo vaak stilgestaan, terwijl ze toch
ook van wezenlijke invloed kunnen zijn. Bijvoorbeeld (on)haalbaarheid van targets:
de bonuscultuur in de financiële sector die aanzet tot risicovol en non-compliant
gedrag, of productietargets die veilig werken in de weg zitten of een opdracht die
per se moet worden binnengehaald en als het ware vraagt om smeergeld.
benadering toe bij het uitoefenen van toezicht: ze richten
zich op organisaties waar de consequenties van en de
kansen op niet-naleving het grootst zijn. Eigenlijk voeren
toezichthouders en bedrijven dezelfde soort risicoanalyses
uit en als er verschillende conclusies worden getrokken
biedt dat aanknopingspunten voor gericht overleg en mogelijk meer wederzijds begrip voor elkaars standpunt. Idealiter
leidt het tot eenzelfde kijk op welke regels er het meest
toe doen en dus de meeste aandacht krijgen van bedrijf en
toezichthouder. Hoe meer vertrouwen er is bij de toezichthouder dat een bedrijf de juiste prioriteiten stelt en de
naleving goed organiseert, des te meer ruimte er ontstaat
voor andere vormen van toezicht. Ten slotte kan de aandacht voor cultuur en gedrag in ISO 19600 een positieve
bijdrage leveren aan de aandacht voor deze facetten bij
andere managementgebieden, zoals kwaliteit en veiligheid.
Het gaat om universele ‘soft controls’ die er toe bijdragen
dat mensen binnen de ‘hard controls’ van een systeem de
juiste dingen doen. Wellicht dat naast de HLS als universeel
managementsysteem er ook een generiek raamwerk komt
voor organisatiecultuur en sturing van gedrag.
Meer informatie
De toepassing van ISO 19600
Compliance is iets waar elke organisatie mee te maken
heeft. De manier waarop een organisatie daaraan invulling
geeft varieert sterk en is onder meer afhankelijk van aard
en omvang van de activiteiten, het regelgevende kader,
de stakeholders, externe relaties, de interne cultuur en
structuur en het eigen personeel. Daarom is het goed dat
ISO 19600 enerzijds een heldere structuur en aanpak biedt
en anderzijds een richtlijn is, waar elke organisatie de best
passende ‘good practices’ uit kan halen. De richtlijn is goed
te integreren in bestaande managementsystemen en heeft
de structuur die vanaf dit jaar gaat gelden voor ISO 9001
en ISO 14001: een mooie ‘plug-in’ voor het generieke
managementsysteem.
Voor meer informatie over dit onderwerp en deelname
aan de normcommissie Compliance management kunt
u contact opnemen met Dick Hortensius, telefoon
(015) 2 690 115, e-mail [email protected].
ISO 19600 kan dienen als referentiekader bij discussies
tussen een organisatie en haar toezichthouder(s) als het
gaat om wat er wordt verwacht van een organisatie met betrekking tot het goed managen van de naleving van wet- en
regelgeving. Hierbij kan ook het ‘risk-based’ karakter van
pas komen. Veel toezichthouders passen een risico-
KAMNieuwsbrief 4 / 2014
9
Related documents
CYSO start ISO 27001 project
CYSO start ISO 27001 project
PwC - Tilburg University
PwC - Tilburg University
Uitkomst onderzoek
Uitkomst onderzoek
Gedrag en cultuur in compliancemanagementsystemen
Gedrag en cultuur in compliancemanagementsystemen
ISO/TS 16949: een administratieve stroom en een
ISO/TS 16949: een administratieve stroom en een
Gedrag en cultuur in compliance- managementsystemen
Gedrag en cultuur in compliance- managementsystemen
ISO 19600 langs de wetenschappelijke maatlat door Carl de
ISO 19600 langs de wetenschappelijke maatlat door Carl de
Brochure - Euronorm.net
Brochure - Euronorm.net
De betekenis van de HLS
De betekenis van de HLS
grip op de organisatie = inzicht in de verschillen tussen
grip op de organisatie = inzicht in de verschillen tussen
de ontwikkeling van de compliance- functie in bank
de ontwikkeling van de compliance- functie in bank
ISO 19600 over compliance management
ISO 19600 over compliance management
Download
advertisement