Normen voor compliance

advertisement
ORGANISATIE
Trefwoorden: Compliance | Corporate governance | Gedragsregel
Van definitie tot evaluatie
Normen voor compliance
Binnen organisaties wordt veel gesproken over ‘compliance’. Maar wat betekent compliance
nu precies? Hoe komt u te weten hoe het staat met de mate van compliance binnen uw
organisatie? Hoe richt u een integraal complianceproces in? Hoe houdt u overzicht? En hoe
kunt u ervoor zorgen dat schaarse mensen en middelen efficiënt en effectief worden ingezet
op dit onderwerp?
Jeroen van Lewe
H
et complianceproces in de betekenis van ‘het proces om compliance te bereiken’ heeft een aantal
specifieke kenmerken. Uit deze kenmerken
vloeien eisen voort voor inrichting en aansturing. In dit artikel beschrijf ik een manier van kijken om het complianceproces
binnen uw organisatie te beoordelen. Tegelijkertijd geef ik een praktisch stappenplan
waarmee u het complianceproces efficiënt
en effectief kunt inrichten.
De uitdagingen in het complianceproces
Het moment. Met een of meerdere complianceprojecten achter de rug, staan organisaties nu voor de uitdaging om compliance-onderwerpen vaste aandacht en
structuur te geven. Zo is het mogelijk
nieuwe compliance-onderwerpen aan te
pakken en compliance met al ingevoerde
regels en normen in stand te houden.
De mensen. Normen van binnen en buiten
de organisatie moeten worden vertaald in
procedures die aangeven hoe medewerkers
36
in werksituaties dienen om te gaan met wet,
regel of norm. De medewerkers, die uiteindelijk voor compliance moeten zorgen,
moeten hun werkwijze veranderen of extra
handelingen gaan verrichten. De praktijk
is dat bestaande informatiesystemen deze
handelingen (nog) nauwelijks ondersteunen. Het bereiken van een bepaalde mate
van compliance en het op niveau houden
hiervan is een uitdaging die voor het merendeel afhangt van de discipline van individuele medewerkers.
De structuur. Bestaande organisatievormen
brengen risico’s met zich mee als zij worden gebruikt voor compliance. Bij een project moet het onderwerp eerst afgebakend
zijn om een haalbaar en eindig project te
kunnen bereiken. Dit conflicteert met de
doelstelling om te zorgen voor een integraal en structureel complianceproces. Zoals hierna zal blijken, kan de projectvorm
wel bruikbaar zijn bij de implementatie van
compliance-onderwerpen, maar daar gaan
dan wel een aantal essentiële stappen aan
vooraf.
De matrixorganisatie heeft als voordeel
dat het een structuur is voor een continu
proces om onderwerpen/vraagstukken in
projectvorm op te pakken, waarbij functionele aansturing per project wordt ingericht.
Ook voor de matrixorganisatie geldt dat er
eerst nauwkeurig moet worden bepaald
wat er opgepakt moet worden voordat een
project kan starten. Bovendien is een matrixorganisatie vooral bruikbaar voor operationele afdelingen en projecten, en vallen
interne complianceprojecten hier niet onder. Interne complianceprojecten kennen
daarnaast een sterke betrokkenheid van
stafafdelingen.
Stappen in het complianceproces
Het proces om te komen tot compliance
kan worden onderverdeeld in een aantal
stappen of taken (zie ook figuur 1). Voor
een goede inrichting van een stap dienen
er eerst een aantal vragen te worden beantwoord. Deze vragen gaan over hoe een bepaald onderdeel van het complianceproces
is ingericht en wie dat onderdeel uitvoert.
De opbrengst van het beantwoorden van
Management EXECUTIVE november/december 2007 WWW.KLUWERMANAGEMENT.NL
Normen voor compliance
deze vragen is dat het complianceproces
kan worden ingericht of de inrichting kan
worden verbeterd. Bovendien is betere
richting en sturing van compliance-inspanningen mogelijk. De eerste en belangrijkste stap in het complianceproces is: definiëren.
Stap 0: Definiëren
Binnen organisaties wordt veel gesproken
over compliance, maar wat betekent het nu
specifiek voor uw organisatie? Projectdoelen zijn geoperationaliseerd in te realiseren
producten, zodat het binnen een afzonderlijk project wel duidelijk is hoe compliance
moet worden bereikt. Het inrichten van
een structureel complianceproces kan alleen met een organisatiespecifieke definitie
van compliance. Hiervoor dient het management zich af te vragen welke wetten,
normen, regels, procedures en richtlijnen
er onder de eigen definitie van compliance
vallen. U zou hierbij bijvoorbeeld kunnen
denken aan:
• nationale en internationale wetten die
door overheden worden uitgevaardigd.
Dit kunnen nieuwe wetten zijn, maar
het kan ook al bestaande wetgeving betreffen, zoals fiscale wetgeving;
• wetten die specifiek van toepassing zijn
op een of meerdere producten of vormen van dienstverlening;
• jurisprudentie over geschillen met betrekking tot geleverde producten en/of
diensten;
• zelfopgelegde normen (zoals ISO en/
of SAS 70) die periodiek worden gecontroleerd;
• door de moedermaatschappij uitgevaardigde normen en regels;
• in procedures (nieuw en bestaand) vertaalde (eigen) regels.
Het management kan kiezen voor een
‘smalle’ definitie van compliance door hier
bijvoorbeeld alleen nieuwe wetgeving van
overheden onder te scharen. Een ‘brede’
definitie houdt in dat onder compliance
ook bestaande, interne procedures vallen.
In dit artikel pleit ik niet voor een brede definitie van compliance, maar voor een doordachte definitie, waarbij het management de
compliancedefinitie beargumenteerd heeft
vastgesteld. Een dergelijke definitie vormt
de basis voor een efficiënt en effectief
complianceproces.
In het geval van een brede definitie van
compliance is het stellen van prioriteiten
belangrijk. Pas wanneer de organisatie haar
eigen definitie helder heeft, kan zij overgaan tot het nemen van de volgende stap
in het complianceproces: signaleren.
Stap 1: Signaleren
De centrale vraag van deze stap is bij wie
(welke functionaris/afdeling) de wetten,
normen en/of regels uit de eigen compliancedefinitie binnenkomen. Afhankelijk
van de grootte van de organisatie en de
breedte van de compliancedefinitie, kan dit
een verspreid beeld geven.
Op basis van dit inzicht wordt bepaald wie
verantwoordelijk is voor het bijhouden van
ontwikkelingen en veranderingen op een
compliance-onderdeel uit de definitie.
De volgende stap is om het overzicht te
creëren voor het management en andere
betrokken partijen. Van de complianceonderdelen uit de definitie kunt u bijvoorbeeld bijhouden:
• de status met bijvoorbeeld deelstatussen
‘nog van kracht te worden’, ‘implementatie loopt’, of ‘afgerond’;
• het geldingsgebied met bijvoorbeeld de
afdeling of werkmaatschappij die (vermoedelijk) te maken krijgt met de wet,
norm en/of procedure.
Het registreren van deze gegevens vormt
de basis van het proces om te komen tot
een periodiek compliancedashboard ten
behoeve van het management. Daarnaast
vormen gegevens uit de volgende fase ook
voeding voor het compliancedashboard.
Management EXECUTIVE november/december 2007 WWW.KLUWERMANAGEMENT.NL Normen van binnen en
buiten de organisatie
moeten worden vertaald
in procedures
Het compliancedashboard geeft het management in een oogopslag informatie
over de status van de mate van compliance
op een bepaald moment.
Stap 2: Prioriteren
Bij de stap ‘definiëren’ heb ik al genoemd
dat het bij een brede compliancedefinitie
wenselijk is om te werken met prioriteiten.
Een belangrijk instrument hiervoor is de
impactanalyse. Voor compliance houdt dit
in het in kaart brengen waar in werkprocessen, handelwijze en/of informatiesystemen verandering nodig is. Hierbij is de
inbreng van de operationele afdelingen die
de compliance ‘ondergaan’, cruciaal. Hoe
hoger de impact, hoe hoger de prioriteit.
Impact kan worden gekwantificeerd op basis van het aantal betrokken afdelingen of
het aantal fte’s dat met wet, norm of procedure te maken krijgt. Een andere indicator voor de prioriteit kan bijvoorbeeld de
ingangsdatum van een wet zijn. Resultaten
uit audits, een vast onderdeel in de evaluatie van compliance-inspanningen, kunnen
laten zien dat compliance op al ingevoerde
onderwerpen onvoldoende is. Deze vaststelling heeft effect op de prioriteit. Wanneer de prioriteiten duidelijk zijn, kunnen
we in de volgende stap gaan plannen.
Stap 3: Plannen
Het plannen vindt plaats met de prioriteit die in de vorige stap is vastgesteld. De
details van de impactanalyse zijn ook van
belang voor de planning. Informatie uit de
impactanalyse zorgt ervoor dat de afbakening van een afzonderlijk project helder is.
Zorgvuldige planning met de juiste informatie betekent dat ook kan worden geko37
organisatie
zen voor een gefaseerde invoering, waarbij
bepaalde organisatieonderdelen worden
ontzien (bijvoorbeeld omdat een afdeling
net een complianceproject achter de rug
heeft).
Stap 4: Implementeren
Het realiseren van de punten die uiteindelijk voldoende compliance opleveren, is de
uitdaging bij de implementatie. Het draait
om het vertalen van concrete aanpassingen
in werkprocessen, handelswijzen en/of
informatiesystemen voor de juiste functionarissen. Belangrijk in een efficiënte en
tijdige implementatie is het duidelijk markeren van het moment van vaststelling
van de benodigde aanpassingen die in een
volgende fase kunnen worden ingevoerd,
zonder dat uitstel van de ingebruikneming
door een aanhoudende discussie over details van de aanpassing nodig is. Fine tuning
vindt plaats in een tweede, kleinere implementatieronde. Doordachte communicatie
is nodig zodat de betrokken medewerkers
weten wat gaat veranderen en zij vervolgens op de nieuwe manier gaan werken.
Stap 5: Evalueren
Het is noodzakelijk om enige tijd na afloop
van de implementatie na te gaan wat het
effect van de implementatie-inspanning is
geweest. Dit is mogelijk door te kijken naar
de mate van naleving. Een onafhankelijke,
interne of externe partij kan deze audit uitvoeren. Hiermee geeft het complianceproces mede invulling aan een gestructureerd
auditbeleid. De resultaten van deze audits
vormen weer input voor compliancegegevens en kunnen zorgen voor een verandering in de prioriteit van een complianceonderwerp.
Maximale compliance
Nadat duidelijk is waar en hoe de stappen
uit het complianceproces zijn belegd binnen de eigen organisatie, kan de aansturing
van het proces in kaart worden gebracht.
Afhankelijk van wie de stappen uit het
Managementboard
Compliancedashboard
Compliancegegevens
D
en
iër
n
efi
Signaleren
Prioriteren
Plannen
Implementeren
Evalueren
Het complianceproces
Figuur 1. Het complianceproces in zes stappen
Compliance committee
CEO
CRO
ess­
Busin euren
t
direc
CFO
COO
CEO/
Audit
committee
Afdelingen
Verticale rapportagelijnen:
Juridische zaken
Complianceafdeling
Businessmanagers
Interne of externe
business
consultants
Auditafdeling
Signaleren
Prioriteren
Plannen
Implementeren
Evalueren
Ingericht complianceproces
Figuur 2. Schematische weergave van optie A
38
Management EXECUTIVE november/december 2007 WWW.KLUWERMANAGEMENT.NL
Normen voor compliance
complianceproces uitvoert, kan de organisatie kiezen uit twee opties/modellen voor
de aansturing ervan. Aan de hand van deze
twee opties kan de bestaande situatie binnen de organisatie worden herzien of aangevuld. Figuur 2 laat zien dat het definiëren
van compliance voor de organisatie een
eenmalige actie kan zijn, waar de overige
stappen blijvend op steunen. Een goed gekozen definitie behoeft geen voortdurende
herziening. Er is nu sprake van een ingericht
complianceproces.
Optie A: Compliance committee
Uit de eerdergenoemde inventarisatie van
de plek (functionaris/afdeling) waar de
compliancestappen worden uitgevoerd,
komt vaak een beeld naar voren met meerdere, verticale rapportagelijnen (zie figuur
2). Een stafafdeling Juridische Zaken kan
bijvoorbeeld belast zijn met de signalering
op onderdelen van de compliancedefinitie en administratief en functioneel aangestuurd worden door de chief executive
officer (ceo). Interne of externe projectmanagers die met de implementatie zijn
belast, worden bijvoorbeeld aangestuurd
door de chief operations officer (coo).
De auditafdeling valt bijvoorbeeld onder
de chief financial officer (cfo). Deze aansturing van het complianceproces vergt
horizontale coördinatie tussen betrokken
managementboardleden in een situatie van
naast elkaar opererende, verticale rapportagelijnen. Alleen met horizontale coördinatie ontstaat een soepel en integraal complianceproces. Het overlegorgaan voor de
horizontale coördinatie wordt compliance
committee genoemd.
Optie B: (Chief) compliance officer
Het is mogelijk de noodzaak tot brede, horizontale coördinatie te beperken door de
aansturing bij één manager of boardlid te
beleggen (zie figuur 3). Deze optie houdt
in dat de bij de stappen van het complianceproces betrokken functionarissen en/of
afdelingen functioneel aan één eindverantwoordelijke gaan rapporteren. Vaak zullen compliance-activiteiten een onderdeel
vormen van het totale takenpakket van een
functionaris en/of afdeling (op basis van
de definitie). De eindverantwoordelijke
voor het complianceproces moet de betrokken functionarissen/afdelingen functioneel kunnen aansturen. Deze inrichting
pleit voor een compliance officer die niet
als staffunctionaris opereert, maar als manager met de bevoegdheid om functioneel
aan te sturen. Deze bevoegdheid moet niet
gebonden zijn aan een specifiek complianceproject.
De manager (of boardlid) die verantwoordelijk is voor de functionele aansturing van
het complianceproces is de CCO of een
manager die deze verantwoordelijkheid in
zijn portefeuille heeft. In het complianceproces bestaat hierop een belangrijke uitzondering: de evaluatiestap. Het is belangrijk dat een onafhankelijke partij (zoals een
interne of externe auditor) de mate van
compliance bekijkt. De initiatie, uitvoering
en terugkoppeling over de gemeten mate
van naleving verloopt via een aparte rapportagelijn naar het management en/of de
audit committee.
Tot slot
Naleving van wet- en regelgeving en het
daardoor bereiken van compliance is mensenwerk. Het gaat verder dan het benoemen van functionarissen of het vrijmaken
van middelen. Een doordachte inrichting
en aansturing van het complianceproces
is noodzakelijk om de compliance-inspanning – nu en in de toekomst – efficiënt en
effectief te laten plaatsvinden.
Drs. Jeroen van Lewe CIA is werkzaam als auditor bij
Aon Nederland, verzekeringsmakelaar en risicoadviseur.
[email protected]
Managementboard
ess­
Busin euren
t
c
e
ir
d
CEO
CFO
COO
Audit
committee
Afdelingen
(Chief ) compliance officer (CCO)
Juridische zaken
Complianceafdeling
Businessmanagers
Interne of externe
business
consultants
Auditafdeling
Signaleren
Prioriteren
Plannen
Implementeren
Evalueren
Ingericht complianceproces
Figuur 3. Schematische weergave van optie B
Management EXECUTIVE november/december 2007 WWW.KLUWERMANAGEMENT.NL 39
Download