Visie Betekenis van een ISO-norm voor compliance management Pas begin 2013 is de ontwikkeling van een mondiale richtlijn voor compliance management van start gegaan. Nu al zijn de contouren van deze richtlijn duidelijk aan het worden, want medio januari 2014 zal de ISO Draft International Standard 19600 Compliance management systems - Guidelines worden gepubliceerd. De ontwikkeling gaat dus snel en Nederland is actief betrokken. Niet zo vreemd want er is hier al jaren veel discussie over hoe bedrijven naleving van wetgeving moeten organiseren en hoe toezichthouders daar rekening mee kunnen houden. Een mondiaal geaccepteerd referentiekader voor compliance management kan daarbij nuttig zijn. Dit artikel geeft inzicht in de laatste stand van zaken en een visie op het mogelijk gebruik van ISO 19600. Dick Hortensius, Senior-consultant NEN Managementsystemen Belangrijke uitgangspunten ISO 19600 wordt ontwikkeld in de vorm van een richtlijn voor compliance management en niet als een eisenstellende (certificeerbare) norm. Dat is een bewuste keuze waar de Nederlandse normcommissie mee heeft ingestemd. Er zijn al voldoende certificeerbare managementsysteemnormen voor specifieke onderwerpen, waarvan compliance management deel uitmaakt; denk bijvoorbeeld aan ISO 14001 voor milieumanagement of OHSAS 18001 voor Figuur 1 - Het plug-in model met onder meer ISO 19600 6 arbomanagement. ISO 19600 is bedoeld om organisaties te helpen hun bestaande aanpak van compliance management te verdiepen en te verbreden. Daarbij is het handig dat ISO 19600 is opgezet volgens de ‘high level structure’ voor managementsysteemnormen. Daardoor kan de richtlijn straks als een ‘plug-in’ dienen om het managementsysteem van een organisatie te programmeren voor compliance management (zie figuur 1). Visie Figuur 2 - risicomanagementproces voor compliance volgens ISO 31000 Risk based benadering Compliance management gaat (veel) verder dan het voldoen aan wet- en regelgeving. Organisaties hebben te maken met allerlei eisen van stakeholders (bijvoorbeeld klanten en brancheorganisaties), certificaten en keurmerken waarvoor is gekozen en last but not least eigen bedrijfsregels en gedragscodes die bijvoorbeeld in het kader van corporate governance en MVO steeds serieuzer (moeten) worden genomen. Het ‘managen’ van al deze eisen wordt een steeds lastigere klus voor organisaties. Het maken van goede keuzes en stellen van de juiste prioriteiten is daarom belangrijk. Compliance management gaat (veel) verder dan het voldoen aan wet- en regelgeving. Op voorstel van Nederland is in ISO 19600 voor een riskbased benadering gekozen die aansluit bij ISO 31000 (de ISO-richtlijn voor risicomanagement). Deze benadering is weergegeven in figuur 2. Op basis van een omgevingsanalyse worden de compliance obligations bepaald. Daarbij kiest een organisatie welke eisen, wensen en verwachtin- KAMNieuwsbrief 4 / 2013 gen van stakeholders zij als verplichtingen voor zichzelf wil aanvaarden en naleven. Voor wat betreft wettelijke eisen is er geen keuzemogelijkheid: die behoort een organisatie in ieder geval na te leven. Op basis van risicobeoordeling worden prioriteiten gesteld zodat aan de verplichtingen met de grootste compliance risico’s (wat betreft kans op optreden en ernst van de gevolgen van niet-naleving) de meeste aandacht wordt besteed. Naar gelang de omvang van de compliance-risico’s worden meer of minder intensieve beheersmaatregelen getroffen en vindt meer of minder intensieve monitoring van de naleving van eisen en van de effectiviteit van de beheersmaatregelen plaats. Dit proces helpt organisaties om focus aan te brengen in hun compliance management. Het compliance management systeem Zoals eerder aangegeven volgt ISO 19600 wat betreft inhoud en structuur de ‘High level structure’ (HLS) voor ISO-managementsysteemnormen. Daarbij worden standaardelementen van een managementsysteem ingekleurd en aangevuld voor het onderwerp compliance (zie tabel). Zo is er bijvoorbeeld veel aandacht voor rollen en verantwoordelijkheden van bestuur, directie, lijnmanagement en medewerkers van een organisatie en voor de onafhan- 7 Visie High Level Structure Invulling voor compliance management in ISO/DIS 19600 Context of the organization Omgevingsanalyse (context, issues, belanghebbenden, eisen, wensen en verwachtingen) Identificatie van compliance obligations Beoordeling van de compliance risico’s Leadership Beleid, commitment, voorbeeldgedrag Rollen, verantwoordelijkheden en bevoegdheden inzake compliance voor bestuur, top- en lijnmanagement, medewerkers en onafhankelijke compliance officer Planning Plannen van maatregelen op compliance risico’s te beheersen Vaststellen van compliance doelstellingen Support Bewustzijn, competentie en training in compliance Gedrag en cultuur Communicatie en documentatie Operation Implementatie beheersmaatregelen voor compliance (technisch, procedureel, sturing op gedrag) Performance evaluation Monitoren van naleving met toepassing van indicatoren Analyse van informatie en rapportages van resultaten (intern en extern) Improvement Actie op niet-naleving van eisen en escalatie waar nodig naar hogere managementniveaus Corrigerende maatregelen en verbeteracties kelijkheid van de compliance-officer (of algemener: de compliance functie). Voorbeeldgedrag en commitment van managers is essentieel om een cultuur tot stand te brengen waarin compliance ‘normaal’ is en medewerkers op alle niveaus en in alle omstandigheden het juiste gedrag en attitude ten toon (kunnen) spreiden. Omdat compliance voor een belangrijk deel mensenwerk is, is vanuit Nederland ook nadrukkelijk gevraagd om aandacht voor zogenoemde soft controls als onderdeel van beheersmaatregelen. Monitoring van naleving en het nemen van acties op non-compliances wordt uitgebreid beschreven met inbegrip van escalatie naar hogere managementniveaus als de ernst van de situatie daarom vraagt. In figuur 3, die in ISO/DIS 19600 is opgenomen, zijn de elementen van compliance management volgens de HLS weergegeven. Belangrijke definities in ISO/DIS 19600 Compliance: meeting all the organization’s compliance obligations Compliance risk: effect of uncertainty on compliance objectives Note - compliance is made sustained by embedding it in the culture of an organization and in the behavior and attitude of people working for it Note - Compliance risk can be characterized by the likelihood of occurrence and the consequences of noncompliance with the organization’s compliance obligations Compliance obligation: requirement that an organization has to or chooses to comply with Noncompliance: non-fulfillment of a compliance obligation Note - Obligations may arise from mandatory requirements, such as applicable laws and regulations, or voluntary commitments such as organizational and industry standards and codes, contractual relationships, principles of good governance and community and ethical standards 8 Note - Noncompliance can be a single or multiple event and may or may not be the result of a system failure Visie Figuur 3 - Compliance management volgens ISO 19600 en de HLS Betekenis van ISO 19600 Compliance management is een belangrijk onderwerp. Het is de basis voor maatschappelijk verantwoord ondernemen en voor de ‘license to operate’. De toenemende hoeveelheid en complexiteit van na te leven (wettelijke) regels vraagt om een systematische en doordachte aanpak. Toezichthouders hebben er baat bij als organisaties hun eigen verantwoordelijkheden voor implementatie en naleving van regels serieus nemen en zij de manier van toezicht (kwantitatief en kwalitatief) daarop kunnen afstemmen. Dan is een algemeen geaccepteerd referentiekader van ‘goed compliance management’ een belangrijk hulpmiddel voor alle betrokken partijen. ISO 19600 biedt straks dat referentiekader. Compliance management is een onderdeel van de bekende managementsysteemnormen ISO 14001 en OHSAS 18001. ISO 19600 sluit wat betreft structuur en inhoud goed aan op de volgende generatie managementsysteemnormen en kan dus worden gebruikt voor verdieping van compliance als onderdeel van milieu- en arbomanagement. Het geeft ook goed invulling aan de basale eisen voor compliance management die onderdeel zijn van de kerneisen van de HLS (zie figuur 1). KAMNieuwsbrief 4 / 2013 Er wordt veel gesproken over de trits Governance, Risk en Compliance management (GRC) als de kern van goed en verantwoord ondernemen. Voor risicomanagement hebben we ISO 31000, voor governance de HLS en kerneisen voor managementsystemen en begin 2015 dus ISO 19600 voor compliance management. Daarmee bieden de diverse ISO-normen goede handvatten voor verantwoord ondernemen. Transparante toepassing van risico- en compliance management als onderdeel van corporate governance lijkt de beste werkwijze om toenemende regeldruk tegen te gaan en een nieuwe balans te vinden tussen de eigen (maatschappelijke) verantwoordelijkheid van bedrijven enerzijds en die van regelgevende en toezichthoudende overheden anderzijds. Meer informatie Voor meer informatie over dit onderwerp en deelname aan de normcommissie Compliance management, kunt u contact opnemen met Dick Hortensius, telefoon (015) 2 690 115, e-mail [email protected]. 9
© Copyright 2024 ExpyDoc