Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management
  3. Projectmanagement

normen voor compliance

advertisement 
&
FINANCE
CONTROL
Corporate governance
Van de finit ie tot e valuat ie
NORMEN VOOR COMPLIANCE
Binnen organisaties wordt veel gesproken over ‘compliance’. Maar wat betekent compliance nu precies? Hoe
komt u te weten hoe het staat met de mate van compliance binnen uw organisatie? Hoe richt u een integraal
compliance-proces in? Hoe houdt u overzicht? En hoe kunt u ervoor zorgen dat schaarse mensen en
middelen efficiënt en effectief worden ingezet op dit onderwerp?
D O O R J E RO E N VA N L E W E
H
et compliance-proces in de betekenis van ‘het proces om
compliance te bereiken’ heeft een aantal specifieke kenmerken. Uit deze kenmerken vloeien eisen voort voor inrichting
en aansturing. In dit artikel beschrijf ik een manier van kijken
om het compliance-proces binnen uw organisatie te beoordelen. Tegelijkertijd geef ik een praktisch stappenplan waarmee
u het compliance-proces efficiënt en effectief kunt inrichten.
De uitdagingen in het compliance-proces
Het moment. Met een of meerdere compliance-projecten
achter de rug, staan organisaties nu voor de uitdaging om
compliance-onderwerpen vaste aandacht en structuur te
geven. Zo is het mogelijk nieuwe compliance-onderwerpen
aan te pakken en compliance met al ingevoerde regels en normen in stand te houden.
De mensen. Normen van binnen en buiten de organisatie
moeten worden vertaald in procedures die aangeven hoe
medewerkers in werksituaties dienen om te gaan met wet,
regel of norm. De medewerkers, die uiteindelijk voor compliance moeten zorgen, moeten hun werkwijze veranderen of
extra handelingen gaan verrichten. De praktijk is dat bestaande informatiesystemen deze handelingen (nog) nauwelijks
ondersteunen. Het bereiken van een bepaalde mate van compliance en het op niveau houden hiervan is een uitdaging die
voor het merendeel afhangt van de discipline van individuele
medewerkers.
De structuur. Bestaande organisatievormen brengen risico’s
met zich mee als zij worden gebruikt voor compliance. Bij een
14
|
project moet het onderwerp eerst afgebakend zijn om een
haalbaar en eindig project te kunnen bereiken. Dit conflicteert
met de doelstelling om te zorgen voor een integraal en structureel compliance-proces. Zoals hierna zal blijken, kan de
projectvorm wel bruikbaar zijn bij de implementatie van
compliance-onderwerpen, maar daar gaan dan wel een aantal
essentiële stappen aan vooraf.
De matrixorganisatie heeft als voordeel dat het een structuur
is voor een continu proces om onderwerpen/vraagstukken in
projectvorm op te pakken, waarbij functionele aansturing per
project wordt ingericht. Ook voor de matrixorganisatie geldt
dat er eerst nauwkeurig moet worden bepaald wat er opgepakt moet worden voordat een project kan starten. Bovendien
is een matrixorganisatie vooral bruikbaar voor operationele
afdelingen en projecten en vallen interne compliance-projecten hier niet onder. Interne compliance-projecten kennen
daarnaast een sterke betrokkenheid van stafafdelingen.
Stappen in het compliance-proces
Het proces om te komen tot compliance kan worden onderverdeeld in een aantal stappen of taken (zie ook figuur 1).
Voor een goede inrichting van een stap dienen er eerst een
aantal vragen te worden beantwoord. Deze vragen gaan over
hoe een bepaald onderdeel van het compliance-proces is ingericht en wie dat onderdeel uitvoert. De opbrengst van het
beantwoorden van deze vragen is dat het compliance-proces
kan worden ingericht of de inrichting kan worden verbeterd.
Bovendien is betere richting en sturing van complianceinspanningen mogelijk. De eerste en belangrijkste stap in het
compliance-proces is: definiëren.
APRIL 2007
&
FINANCE
CONTROL
Figuur 1
Het compliance-proces in zes stappen
Management board
Compliance-gegevens
De
fin
ië
re
n
Compliance dashboard
Signaleren
Prioritiseren
Plannen
Implementeren
Evalueren
Het compliance-proces
Stap 0: Definiëren. Binnen organisaties wordt veel gesproken
over compliance, maar wat betekent het nu specifiek voor uw
organisatie? Projectdoelen zijn geoperationaliseerd in te realiseren producten, zodat het binnen een afzonderlijk project
wel duidelijk is hoe compliance moet worden bereikt. Het
inrichten van een structureel compliance-proces kan alleen
met een organisatiespecifieke definitie van compliance.
Hiervoor dient het management zich af te vragen welke wetten, normen, regels, procedures en richtlijnen er onder de
eigen definitie van compliance vallen. U zou hierbij bijvoorbeeld kunnen denken aan:
~ nationale en internationale wetten die door overheden worden uitgevaardigd. Dit kunnen nieuwe wetten zijn, maar het
kan ook al bestaande wetgeving betreffen, zoals fiscale wetgeving;
~ wetten die specifiek van toepassing zijn op een of meerdere
producten of vormen van dienstverlening;
~ jurisprudentie over geschillen met betrekking tot geleverde
producten en/of diensten;
~ zelfopgelegde normen (zoals ISO en/of SAS 70) die periodiek worden gecontroleerd;
~ door de moedermaatschappij uitgevaardigde normen en
regels;
~ in procedures (nieuw en bestaand) vertaalde (eigen) regels.
vastgesteld. Een dergelijke definitie vormt de basis voor een
efficiënt en effectief compliance-proces.
In het geval van een brede definitie van compliance is het
stellen van prioriteiten belangrijk. Pas wanneer de organisatie
haar eigen definitie helder heeft, kan zij overgaan tot het
nemen van de volgende stap in het compliance-proces:
signaleren.
Het management kan kiezen voor een ‘smalle’ definitie van
compliance door hier bijvoorbeeld alleen nieuwe wetgeving
van overheden onder te scharen. Een ‘brede’ definitie houdt in
dat onder compliance ook bestaande, interne procedures vallen. In dit artikel pleit ik niet voor een brede definitie van
compliance, maar voor een doordachte definitie, waarbij het
management de compliance-definitie beargumenteerd heeft
Het registreren van deze gegevens vormt de basis van het proces om te komen tot een periodiek compliance-dashboard ten
behoeve van het management. Daarnaast vormen gegevens
uit de volgende fase ook voeding voor het compliance-dashboard. Het compliance-dashboard geeft het management in
een oogopslag informatie over de status van de mate van
compliance op een bepaald moment.
Stap 1: Signaleren. De centrale vraag van deze stap is bij wie
(welke functionaris/afdeling) de wetten, normen en/of regels
uit de eigen compliance-definitie binnenkomen. Afhankelijk
van de grootte van de organisatie en de breedte van de compliance-definitie, kan dit een verspreid beeld geven.
Op basis van dit inzicht wordt bepaald wie verantwoordelijk
is voor het bijhouden van ontwikkelingen en veranderingen
op een compliance-onderdeel uit de definitie.
De volgende stap is om het overzicht te creëren voor het
management en andere betrokken partijen. Van de compliance-onderdelen uit de definitie kunt u bijvoorbeeld bijhouden:
~ de status met bijvoorbeeld deelstatussen ‘nog van kracht te
worden’, ‘implementatie loopt’, of ‘afgerond’;
~ het geldingsgebied met bijvoorbeeld de afdeling of werkmaatschappij die (vermoedelijk) te maken krijgt met de
wet, norm en/of procedure.
APRIL 2007
|
15
W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L
&
FINANCE
CONTROL
Compliance committee
CEO
CRO
Audit committee
Business directeuren
COO
CEO / CFO
Figuur 2
Verticale
rapportagelijnen
Schematische weergave van optie A
Afdelingen
Juridische Zaken
Signaleren
Complianceafdeling
Prioritiseren
Business managers
Interne of externe
Business consultants
Audit afdeling
Plannen
Implementeren
Evalueren
Ingericht compliance-proces
Stap 2: Prioriteren. Bij de stap ‘definiëren’ heb ik al genoemd
dat het bij een brede compliance-definitie wenselijk is om te
werken met prioriteiten. Een belangrijk instrument hiervoor
is de impactanalyse. Voor compliance houdt dit in het in kaart
brengen waar in werkprocessen, handelswijze en/of informatiesystemen verandering nodig is. Hierbij is de inbreng van de
operationele afdelingen die de compliance ‘ondergaan’,
cruciaal. Hoe hoger de impact, hoe hoger de prioriteit. Impact
kan worden gekwantificeerd op basis van het aantal betrokken
afdelingen of het aantal fte’s dat met wet, norm of procedure
te maken krijgt. Een andere indicator voor de prioriteit kan
bijvoorbeeld de ingangsdatum van een wet zijn. Resultaten uit
audits, een vast onderdeel in de evaluatie van complianceinspanningen, kunnen laten zien dat compliance op al ingevoerde onderwerpen onvoldoende is. Deze vaststelling heeft
effect op de prioriteit. Wanneer de prioriteiten duidelijk zijn,
kunnen we in de volgende stap gaan plannen.
Stap 3: Plannen. Het plannen vindt plaats met de prioriteit
die in de vorige stap is vastgesteld. De details van de impactanalyse zijn ook van belang voor de planning. Informatie uit
de impactanalyse zorgt ervoor dat de afbakening van een
afzonderlijk project helder is. Zorgvuldige planning met de
juiste informatie betekent dat ook kan worden gekozen voor
een gefaseerde invoering, waarbij bepaalde organisatieonderdelen worden ontzien (bijvoorbeeld omdat een afdeling net
een compliance-project achter de rug heeft).
Stap 4: Implementeren. Het realiseren van de punten die uiteindelijk voldoende compliance opleveren, is de uitdaging bij
de implementatie. Het draait om het vertalen van concrete
aanpassingen in werkprocessen, handelswijzen en/of informatiesystemen voor de juiste functionarissen. Belangrijk in een
16
|
efficiënte en tijdige implementatie is het duidelijk markeren
van het moment van vaststelling van de benodigde aanpassingen die in een volgende fase kunnen worden ingevoerd, zonder dat uitstel van de ingebruikneming door een aanhoudende discussie over details van de aanpassing nodig is. Fine
tuning vindt plaats in een tweede, kleinere implementatieronde. Doordachte communicatie is nodig zodat de betrokken
medewerkers weten wat gaat veranderen en zij vervolgens op
de nieuwe manier gaan werken.
Stap 5: Evalueren. Het is noodzakelijk om enige tijd na
afloop van de implementatie na te gaan wat het effect van de
implementatie-inspanning is geweest. Dit is mogelijk door te
kijken naar de mate van naleving. Een onafhankelijke, interne
of externe partij kan deze audit uitvoeren. Hiermee geeft het
compliance-proces mede invulling aan een gestructureerd
auditbeleid. De resultaten van deze audits vormen weer input
voor compliance-gegevens en kunnen zorgen voor een verandering in de prioriteit van een compliance-onderwerp.
Maximale compliance
Nadat duidelijk is waar en hoe de stappen uit het complianceproces zijn belegd binnen de eigen organisatie, kan de aansturing van het proces in kaart worden gebracht. Afhankelijk van
wie de stappen uit het compliance-proces uitvoert, kan de
organisatie kiezen uit twee opties/modellen voor de aansturing ervan. Aan de hand van deze twee opties kan de bestaande situatie binnen de organisatie worden herzien of aangevuld. Figuur 2 laat zien dat het definiëren van compliance
voor de organisatie een eenmalige actie kan zijn, waar de overige stappen blijvend op steunen. Een goed gekozen definitie
behoeft geen voortdurende herziening. Er is nu sprake van
een ingericht compliance-proces.
APRIL 2007
&
FINANCE
CONTROL
Management board
CEO
Business directeuren
Audit committee
COO
CEO / CFO
Figuur 3
Schematische weergave
van optie B
Afdelingen
Juridische Zaken
Signaleren
Compliance-afdeling
Prioritiseren
Business managers
Plannen
Interne of externe
Business consultants
Implementeren
Audit afdeling
Evalueren
Ingericht compliance-proces
Optie A: Compliance committee. Uit de eerdergenoemde
inventarisatie van de plek (functionaris/afdeling) waar de
compliance-stappen worden uitgevoerd, komt vaak een beeld
naar voren met meerdere, verticale rapportagelijnen (zie
figuur 2). Een stafafdeling Juridische Zaken kan bijvoorbeeld
belast zijn met de signalering op onderdelen van de compliance-definitie en administratief en functioneel aangestuurd
worden door de Chief Executive Officer (CEO). Interne of
externe projectmanagers die met de implementatie zijn belast,
worden bijvoorbeeld aangestuurd door de Chief Operations
Officer (COO). De auditafdeling valt bijvoorbeeld onder de
Chief Financial Officer (CFO). Deze aansturing van het compliance proces vergt horizontale coördinatie tussen betrokken
managementboardleden in een situatie van naast elkaar opererende, verticale rapportagelijnen. Alleen met horizontale
coördinatie ontstaat een soepel en integraal complianceproces. Het overlegorgaan voor de horizontale coördinatie
wordt compliance committee genoemd.
Optie B: (Chief) compliance officer. Het is mogelijk de
noodzaak tot brede, horizontale coördinatie te beperken door
de aansturing bij één manager of boardlid te beleggen (zie
figuur 3). Deze optie houdt in dat de bij de stappen van het
compliance-proces betrokken functionarissen en/of afdelingen functioneel aan één eindverantwoordelijke gaan rapporteren. Vaak zullen compliance-activiteiten een onderdeel vormen van het totale takenpakket van een functionaris en/of
afdeling (op basis van de definitie). De eindverantwoordelijke
voor het compliance-proces moet de betrokken functionarissen/afdelingen functioneel kunnen aansturen. Deze inrichting
pleit voor een compliance officer die niet als staffunctionaris
opereert, maar als manager met de bevoegdheid om functioneel aan te sturen. Deze bevoegdheid moet niet gebonden zijn
aan een specifiek compliance-project.
De manager (of boardlid) die verantwoordelijk is voor de
functionele aansturing van het compliance-proces is de CCO
of een manager die deze verantwoordelijkheid in zijn portefeuille heeft. In het compliance-proces bestaat hierop een
belangrijke uitzondering: de evaluatiestap. Het is belangrijk
dat een onafhankelijke partij (zoals een interne of externe
auditor) de mate van compliance bekijkt. De initiatie, uitvoering en terugkoppeling over de gemeten mate van naleving
verloopt via een aparte rapportagelijn naar het management
en/of de audit committee.
Tot slot
Naleving van wet- en regelgeving en het daardoor bereiken
van compliance is mensenwerk. Het gaat verder dan het
benoemen van functionarissen of het vrijmaken van
middelen. Een doordachte inrichting en aansturing van het
compliance-proces is noodzakelijk om de compliance-inspanning – nu en in de toekomst – efficiënt en effectief te
laten plaatsvinden.
Drs. Jeroen van Lewe CIA is werkzaam als auditor bij Aon
Nederland ([email protected]).
APRIL 2007
|
17
W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L
Related documents
PwC - Tilburg University
PwC - Tilburg University
Uitkomst onderzoek
Uitkomst onderzoek
Normen voor compliance
Normen voor compliance
grip op de organisatie = inzicht in de verschillen tussen
grip op de organisatie = inzicht in de verschillen tussen
de ontwikkeling van de compliance- functie in bank
de ontwikkeling van de compliance- functie in bank
Gedrag en cultuur in compliancemanagementsystemen
Gedrag en cultuur in compliancemanagementsystemen
Gedrag en cultuur in compliance- managementsystemen
Gedrag en cultuur in compliance- managementsystemen
The ultimate GDPR risk protection
The ultimate GDPR risk protection
Onderstaand artikel is de bijdrage van Hans Keller aan het boek
Onderstaand artikel is de bijdrage van Hans Keller aan het boek
Gerald Rutten is een ervaren interim compliance professional met
Gerald Rutten is een ervaren interim compliance professional met
ISO 19600 langs de wetenschappelijke maatlat door Carl de
ISO 19600 langs de wetenschappelijke maatlat door Carl de
Behavioral Compliance - Nederlands Compliance Instituut
Behavioral Compliance - Nederlands Compliance Instituut
Nederland heeft nog een lange weg te gaan als het om volledig
Nederland heeft nog een lange weg te gaan als het om volledig
Risicobeoordeling van wet
Risicobeoordeling van wet
20170321 privacy compliance Kooach (1).key
20170321 privacy compliance Kooach (1).key
Van Denken naar Doen
Van Denken naar Doen
Regeling privé-beleggingstransacties Inleiding A. Beleggingsregime
Regeling privé-beleggingstransacties Inleiding A. Beleggingsregime
kbc group compliance charter
kbc group compliance charter
Raad van Toezicht Autoriteit Financiële Markten
Raad van Toezicht Autoriteit Financiële Markten
Uitdagingen in 2016 voor de compliance officer in de financiële sector
Uitdagingen in 2016 voor de compliance officer in de financiële sector
Winst op gedrag en cultuur - Nederlands Compliance Instituut
Winst op gedrag en cultuur - Nederlands Compliance Instituut
Download
advertisement