ISO 19600 langs de wetenschappelijke maatlat door Carl de

Special
ISO 19600 langs de
wetenschappelijke maatlat
De internationale richtlijn ISO 19600 is de eerste mondiale aanbeveling van een neutraal, gerenommeerd
instituut voor het inrichten, toepassen en verbeteren van een compliance managementsysteem. In de richtlijn
worden strategische, tactische en operationele maatregelen geïntegreerd om te komen tot een compliance
managementsysteem (CMS). ISO 19600 wordt op hoofdlijnen inhoudelijk toegelicht in het artikel van Dick
Hortensius elders in deze KAMNieuwsbrief. In dit artikel wordt de ISO-richtlijn geplaatst binnen de context
van bestaande compliancenormen en recente inzichten uit de psychologie. Het gaat met name om: Enterprise
Risk Management, de Duitse IDW compliance standaard en de invloed van psychosociale mechanismen
en gedragseconomie. Dit levert een benchmark op die de kwaliteit van de ISO-richtlijn binnen een breder
academisch/juridisch kader bevestigt.
Carl De Wannemaeker, adviseur in risico- en compliancemanagement
Inleiding
Vanuit microperspectief biedt de nieuwe ISO-richtlijn een
kans voor bedrijven en organisaties om hun compliance
management te verbeteren. Een bedrijf kan ook zijn business partners doorlichten op het voldoen aan deze richtlijn
als vorm van goed ondernemerschap. Op macroniveau
ontstaat een ‘level playing field’ ofwel een gelijk speelveld
waarbij het voor iedereen duidelijk is welke eisen worden
gesteld aan goed compliance management en wat de
spelers moeten doen om een goede reputatie in compliance
te behalen of te behouden.
De ISO-richtlijn geeft toezichthouders een referentiekader
om organisaties aan te spreken op hun compliance inspanningen ongeacht type en omvang. Doordat de toezichthouder nu gebruik kan maken van een internationaal geaccepteerde spiegel ontstaat de kans voor een betere toetsing en
aansturing van de compliance-cultuur binnen organisaties.
26
ISO 19600 bouwt voort op een breed spectrum van
raamwerken voor een goed compliance managementsysteem. Dit is onderzocht in het kader van een Executive
Master-scriptie; vanuit generieke managementsystemen
is daarbij de focus verfijnd naar compliance managementsystemen. Voor managementsystemen betreft het inzichten
uit Corporate Governance en Enterprise Risk Management
op het vlak van hard controls. Recente inzichten van
Harvard Professor Kaplan over risicobeheersing zijn benut
maar ook het ISO plug-in model als overkoepeling voor een
managementsysteem en inzichten uit Governance, Risk and
Compliance. ISO 19600 wordt ook getoetst ten aanzien
van soft controls voor beïnvloeding van gedrag en cultuur.
Met name gaat het om aspecten zoals: management van
integriteit, de invloed van psychosociale mechanismen en
de gedragseconomie. In de scriptie kwamen ook specifieke
Risico- en Compliance-managementsystemen aan bod:
zoals Cormican Risk audit, Resource guide Foreign Corrupt
Practices Act, UK Anti Bribery Act, IDW PS 908 en het Open
Special
Compliance and Ethics Group (OCEG) Capability Model.
Dit artikel belicht drie belangrijke referentiekaders voor de
beoordeling van ISO 19600: de COSO-norm voor Enterprise
Risk Management, de Duitse IDW compliance standaard en
de invloed van psychosociale mechanismen en gedragseconomie.
De COSO-norm voor Enterprise Risk Management
In de jaren ‘90 heeft het Committee of Sponsoring Organizations of the Treadway Commission (COSO) het Internal
Control - Integrated Framework gecreëerd. Als een organisatie haar doelstellingen wil bereiken dan moet ze haar
risico’s kennen en moet ze deze risico's beheersen. COSO
beschrijft en definieert hiervoor de verschillende elementen
van een intern beheersingssysteem (internal control). Het
model geeft in de COSO-kubus de directe relatie weer
tussen:
• de doelstellingen van een organisatie (operationeel en
wat betreft verslaglegging en compliance);
• de beheersingscomponenten (control environment, risk
assessment, control activities, information & communication en monitoring activities);
• de entiteiten van de organisatie waarvoor de interne
beheersing benodigd is.
De meest recente update van het COSO-model is
weergegeven in figuur 1.
Begin 2000 ontstond behoefte aan uitbreiding van het
model door geruchtmakende schandalen bij bedrijven
(Enron), door de roep om beter corporate governance
(Hampel report,Turnbull Report ) en nieuwe regelgeving
(Sarbanes-Oxley Act). Door deze gebeurtenissen en crisissen is duidelijk geworden dat een meer integrale aanpak
van risicobeheersing nodig was2. Dat leidde tot het ontstaan
in 2004 van het begrip Enterprise Risk Management (ERM):
‘Enterprise Risk Management is a process, effected by an
entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise,
designed to identify potential events that may affect the
entity, and manage risks to be within its risk appetite, to
provide reasonable assurance regarding the achievement of
the entity’s objectives’.3
ERM richt zich dus op alle potentiële gebeurtenissen die
de doelstellingen van de organisatie kunnen beïnvloeden
en vermijdt zo de ‘silo’ aanpak van traditioneel risicomanagement. In de praktijk werd veel getwist over de
toegevoegde waarde van deze COSO ERM aanpak, maar
studies tonen de positieve invloed aan op de waarde van
het bedrijf4. De integrale benadering van ISO 19600 bouwt
voort op de elementen ‘control environment’ en ‘risk assessment’ van het COSO model. De ISO-richtlijn stelt dat
de strategie en doelstellingen van de organisatie moeten
worden gereflecteerd in het compliance managementsysteem.5 Deze eis zorgt ervoor dat compliance management
niet wereldvreemd opereert maar dat de wisselwerking met
strategie en doelstellingen tot uiting komt in het risk based
compliance management van de organisatie. Dat speelt ook
een belangrijke rol in de geïntegreerde risicomanagement
benadering van ERM.
De ISO-richtlijn sluit in die optiek aan bij ERM door verder te
kijken dan de traditionele risicomanagement benadering.
"As emphasized in COSO’s ERM definition, ERM is to be
applied in strategy setting with an ultimate goal of
contributing to the achievement of the entity’s objectives.
Thus, ERM is by definition designed to be strategic and
value adding."6
Figuur 1 - de COSO-kubus 1
KAMNieuwsbrief 4 / 2014
27
Special
Zowel ISO 19600 als het COSO-model zijn geënt op het
strategisch fundament van de onderneming om te komen
tot een efficiënt en duurzaam risicobeheersing model.
De Duitse IDW compliance standaard
In april 2011 werd de Duitse standaard voor compliance
management gepubliceerd door het Institut der Wirtschaftsprüfer (IDW). Een onderneming kan zich
op vrijwillige basis laten certificeren voor het in deze
standaard beschreven compliance managementsysteem7.
De IDW standaard geeft als mogelijkheid de toepassing van
compliance management binnen de organisatie te laten
certificeren volgens drie verschillende niveaus:
1)Type 1 Conceptuele toetsing CMS:
alle kernelementen zijn bepaald en beschreven in CMS;
2)Type 2 CMS adequaat en geïmplementeerd:
de operationele maatregelen zijn passend en ingevoerd;
3)Type 3 CMS is werkzaam:
in lijn met type 2 met aanvullend dat de operationele
maatregelen naar behoren functioneren.
In de kern gaat het om de volgende elementen: cultuur,
doelstellingen, risico’s, programma, organisatie, communicatie, monitoring en verbetering. De standaard begint met
een hoofdstuk over cultuur en toont aan dat hedendaags
compliance management verder moet gaan dan een
eisenpakket van louter ‘hard controls’. Deze combinatie van
‘hard’ en ‘soft’ controls en de balans tussen ‘het systeem’
en het gedrag van mensen daarbinnen is ook in ISO 19600
terug te vinden.
Psychosociale mechanismen en gedragseconomie
Tal van psychosociale mechanismen beïnvloeden de
besluitvorming binnen organisaties. De mens is niet altijd
een rationeel wezen, maar houdt zichzelf vaak voor de gek.
Voorbeelden hiervan zijn: overdreven positief zelfbeeld,
handen wassen in onschuld, tunnelvisie en vormen van
rationalisatie. Deze vooroordelen beïnvloeden onze denkwijze zonder dat we ons daarvan bewust zijn. De gedragseconomie kijkt verder dan de zogenaamd economisch
rationele handelwijze naar de gedragingen van de ‘echte
mens’, beïnvloed door sociaal-psychologische mechanismen. Gedragseconomie toont aan dat mensen in hun
beslissingen systematisch NIET rationeel werken.
28
Er zijn lessen uit de gedragseconomie om bewuste keuzes
te ondersteunen en sturen.
Een aantal lessen is te vinden in het boek Nudge8. Gedrag
kan op een positieve wijze beïnvloed worden door de keuzes meer te structureren. Het boek levert door het concept
‘keuzearchitectuur’ beleidsadviezen om tot betere beslissingen te komen voor gezondheid, rijkdom en geluk. Wat houdt
keuzearchitectuur in? Door de constructie en formulering
van de keuze een sturende vorm (Nudge: duwtje of wenk)
te geven wordt de beslissing positief beïnvloed. De auteurs
willen dat mensen minder beslissingen nemen op basis
van de automatische piloot in ons brein maar meer gebruik
maken van het bewuste, reflecterend vermogen.
Het is van belang door hulpmiddelen de keuze te structureren naar de meest gezonde, uitgebalanceerde beslissing.
Ook beleidsmakers moeten zich bewust zijn van het belang
van deze mechanismen. Compliance management wordt
effectiever indien er niet alleen gesteld wordt “je moet
voldoen aan verplichting X” maar indien de beslissing tot
actie wordt geduwd in de goede richting. Dit proces wordt
omschreven in de vakliteratuur als cue-power.
De overheid is zich bewust aan het worden van het belang
van cue-power: de gedragssturing via de omgeving. In het
boek ‘De menselijke beslisser’ wordt een aanzet gedaan
hoe beleidsmakers deze inzichten kunnen benutten. De
overheid kan gedrag sturen door het invoeren van procedures die ervoor zorgen dat men zich beter aan de regel
houdt. In het verkeer zijn toepassingen te vinden; je rijdt de
bocht in met maximum snelheid 70 km/h, een elektronisch
bord meet je snelheid en meldt door een smiley symbool
of je voldoet aan de verplichting. Deze vorm van feedback
als onderdeel van keuzearchitectuur ondersteunt compliant
gedrag.
Ook organisaties moeten bij het opstellen van hun compliance managementsysteem rekening houden met de
hiervoor genoemde psychosociale mechanismen. In het
uitwerken van de operationele procedures moeten ze actief
deze uitdaging/kans benutten. Hoe moet dit gebeuren in
de praktijk? Door niet blindelings operationele procedures
op te stellen maar steeds te onderzoeken of het zinvol en
mogelijk is om gebruik te maken van keuzearchitectuur.
Special
Conclusie
Ik heb ISO 19600 gebenchmarkt ten opzichte van verschillende raamwerken om een idee te krijgen hoe sterk deze
ISO-richtlijn is. De benchmark levert een goed resultaat op
voor ISO 19600; voor wat betreft de compliance dimensies
ontbreken er geen componenten voor compliance in vergelijking met deze academische, juridische en praktijkgerichte
raamwerken. De ISO-richtlijn munt uit door het samenbrengen van harde componenten (‘hard controls’) met factoren
die gedrag en cultuur beïnvloeden naar een CULTUUR van
compliance (de ‘soft controls’).
Vaak wordt compliancebeheersing geïsoleerd aangepakt als
een pakket van maatregelen en procedures met het risico
op silovorming in de organisatie. ISO 19600 pakt dit anders
aan en benut inzichten van onder andere Enterprise Risk
Management en gedragseconomie om te komen tot
geïntegreerd compliance management. Deze aanpak
blijkt uit de combinatie van harde maatregelen zoals raamwerk, proces en procedures maar ook zachte maatregelen
door de focus op het beïnvloeden van gedrag en cultuur. Op
deze wijze haalt de ISO richtlijn compliance management
uit de traditionele silo aanpak en draagt bij aan beklijvend,
duurzaam compliance resultaat.
COSO organisation, COSO 2012 update, http://www.coso.
org/documents/cosoicifoutreachdeck_05%2018%2012.pdf
2
Marika Arena, et al., The organizational dynamics of
enterprise risk management, Accounting, Organizations and
Society, 35.7, 2010, pp. 659-675
3
Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise risk management
framework, New York: American Institute of Certified Public
Accountants, 2004
4
Robert E. Hoyt and Andre P. Liebenberg, The value of Enterprise Risk Management, Journal of Risk and Insurance,
Volume 78, Issue 4, December 2011, pp. 795-822
5
ISO org., ISO/ DIS 19600, 2013(E), Compliance management systems – Guidelines, 2013, p.7
6
COSO, Strengthening Enterprise Risk Management for
Strategic Advantage, Board position White paper, 2009
7
IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von CMS (IDW PS 980), FN-IDW 2011, Tz. 13, p. 205
8
Richard Thaler en Cass Sunstein, boek Nudge, april 2008
9
Wetenschappelijke Raad voor het Regeringsbeleid, De
menselijke beslisser, samenvatting op www.wrr.nl
1
Meer informatie
Voor meer informatie kunt u contact opnemen met
Carl De Wannemaeker, telefoon 06 538 067 48, e-mail
[email protected].
De jurist Carl De Wannemaeker boogt op een rijke praktijk in verschillende landen in de olie-industrie in salesmanagement, finance en verandermanagement. Hij heeft zich gespecialiseerd in risicobeheersing met focus op de
invoering van een compliance management systeem. Door een postdoctorale opleiding aan de Vrije Universiteit
Amsterdam heeft hij zich verdiept in de compliance materie met als resultaat de titel Executive Master of Compliance. Voor de scriptie heeft hij de nieuwe ISO-richtlijn voor compliance onderzocht en deze gekaderd binnen
academische en praktijkgerichte standaarden met oog voor ‘harde en zachte controls’. In de scriptie werd de link
naar de praktijk zeker gesteld door de ontwikkeling van een scan die organisaties en bedrijven in staat stelt zicht
te toetsen aan de nieuwe richtlijn. De scan met zijn adviezen levert een grote bijdrage voor individuele organisaties in de ontwikkeling van een beklijvende compliance cultuur.
KAMNieuwsbrief 4 / 2014
29