Betekenis van een ISO-norm voor compliance management

Visie
Betekenis van een ISO-norm voor
compliance management
Pas begin 2013 is de ontwikkeling van een mondiale richtlijn voor compliance management van start gegaan.
Nu al zijn de contouren van deze richtlijn duidelijk aan het worden, want medio januari 2014 zal de ISO Draft International Standard 19600 Compliance management systems - Guidelines worden gepubliceerd. De ontwikkeling
gaat dus snel en Nederland is actief betrokken. Niet zo vreemd want er is hier al jaren veel discussie over hoe
bedrijven naleving van wetgeving moeten organiseren en hoe toezichthouders daar rekening mee kunnen houden.
Een mondiaal geaccepteerd referentiekader voor compliance management kan daarbij nuttig zijn. Dit artikel geeft
inzicht in de laatste stand van zaken en een visie op het mogelijk gebruik van ISO 19600.
Dick Hortensius, Senior-consultant NEN Managementsystemen
Belangrijke uitgangspunten
ISO 19600 wordt ontwikkeld in de vorm van een richtlijn
voor compliance management en niet als een eisenstellende (certificeerbare) norm. Dat is een bewuste keuze waar
de Nederlandse normcommissie mee heeft ingestemd.
Er zijn al voldoende certificeerbare managementsysteemnormen voor specifieke onderwerpen, waarvan compliance
management deel uitmaakt; denk bijvoorbeeld aan
ISO 14001 voor milieumanagement of OHSAS 18001 voor
Figuur 1 - Het plug-in model met onder meer ISO 19600
6
arbomanagement. ISO 19600 is bedoeld om organisaties
te helpen hun bestaande aanpak van compliance management te verdiepen en te verbreden. Daarbij is het handig
dat ISO 19600 is opgezet volgens de ‘high level structure’
voor managementsysteemnormen. Daardoor kan de richtlijn
straks als een ‘plug-in’ dienen om het managementsysteem
van een organisatie te programmeren voor compliance
management (zie figuur 1).
Visie
Figuur 2 - risicomanagementproces voor compliance volgens ISO 31000
Risk based benadering
Compliance management gaat (veel) verder dan het
voldoen aan wet- en regelgeving. Organisaties hebben te
maken met allerlei eisen van stakeholders (bijvoorbeeld
klanten en brancheorganisaties), certificaten en keurmerken
waarvoor is gekozen en last but not least eigen bedrijfsregels en gedragscodes die bijvoorbeeld in het kader van
corporate governance en MVO steeds serieuzer (moeten)
worden genomen. Het ‘managen’ van al deze eisen wordt
een steeds lastigere klus voor organisaties. Het maken van
goede keuzes en stellen van de juiste prioriteiten is daarom
belangrijk.
Compliance management gaat (veel) verder
dan het voldoen aan wet- en regelgeving.
Op voorstel van Nederland is in ISO 19600 voor een riskbased benadering gekozen die aansluit bij ISO 31000 (de
ISO-richtlijn voor risicomanagement). Deze benadering is
weergegeven in figuur 2. Op basis van een omgevingsanalyse worden de compliance obligations bepaald. Daarbij
kiest een organisatie welke eisen, wensen en verwachtin-
KAMNieuwsbrief 4 / 2013
gen van stakeholders zij als verplichtingen voor zichzelf wil
aanvaarden en naleven. Voor wat betreft wettelijke eisen
is er geen keuzemogelijkheid: die behoort een organisatie
in ieder geval na te leven. Op basis van risicobeoordeling
worden prioriteiten gesteld zodat aan de verplichtingen
met de grootste compliance risico’s (wat betreft kans op
optreden en ernst van de gevolgen van niet-naleving) de
meeste aandacht wordt besteed. Naar gelang de omvang van de compliance-risico’s worden meer of minder
intensieve beheersmaatregelen getroffen en vindt meer of
minder intensieve monitoring van de naleving van eisen en
van de effectiviteit van de beheersmaatregelen plaats. Dit
proces helpt organisaties om focus aan te brengen in hun
compliance management.
Het compliance management systeem
Zoals eerder aangegeven volgt ISO 19600 wat betreft
inhoud en structuur de ‘High level structure’ (HLS) voor
ISO-managementsysteemnormen. Daarbij worden standaardelementen van een managementsysteem ingekleurd
en aangevuld voor het onderwerp compliance (zie tabel).
Zo is er bijvoorbeeld veel aandacht voor rollen en verantwoordelijkheden van bestuur, directie, lijnmanagement en
medewerkers van een organisatie en voor de onafhan-
7
Visie
High Level Structure
Invulling voor compliance management in ISO/DIS 19600
Context of the organization
Omgevingsanalyse (context, issues, belanghebbenden, eisen, wensen en verwachtingen)
Identificatie van compliance obligations
Beoordeling van de compliance risico’s
Leadership
Beleid, commitment, voorbeeldgedrag
Rollen, verantwoordelijkheden en bevoegdheden inzake compliance voor bestuur, top- en lijnmanagement, medewerkers en onafhankelijke compliance officer
Planning
Plannen van maatregelen op compliance risico’s te beheersen
Vaststellen van compliance doelstellingen
Support
Bewustzijn, competentie en training in compliance
Gedrag en cultuur
Communicatie en documentatie
Operation
Implementatie beheersmaatregelen voor compliance (technisch, procedureel, sturing op gedrag)
Performance evaluation
Monitoren van naleving met toepassing van indicatoren
Analyse van informatie en rapportages van resultaten (intern en extern)
Improvement
Actie op niet-naleving van eisen en escalatie waar nodig naar hogere managementniveaus
Corrigerende maatregelen en verbeteracties
kelijkheid van de compliance-officer (of algemener: de
compliance functie). Voorbeeldgedrag en commitment van
managers is essentieel om een cultuur tot stand te brengen
waarin compliance ‘normaal’ is en medewerkers op alle
niveaus en in alle omstandigheden het juiste gedrag en
attitude ten toon (kunnen) spreiden. Omdat compliance voor
een belangrijk deel mensenwerk is, is vanuit Nederland ook
nadrukkelijk gevraagd om aandacht voor zogenoemde soft
controls als onderdeel van beheersmaatregelen. Monitoring
van naleving en het nemen van acties op non-compliances
wordt uitgebreid beschreven met inbegrip van escalatie
naar hogere managementniveaus als de ernst van de situatie daarom vraagt.
In figuur 3, die in ISO/DIS 19600 is opgenomen, zijn de
elementen van compliance management volgens de HLS
weergegeven.
Belangrijke definities in ISO/DIS 19600
Compliance:
meeting all the organization’s compliance obligations
Compliance risk:
effect of uncertainty on compliance objectives
Note - compliance is made sustained by embedding it in the
culture of an organization and in the behavior and attitude of
people working for it
Note - Compliance risk can be characterized by the likelihood of
occurrence and the consequences of noncompliance with the
organization’s compliance obligations
Compliance obligation:
requirement that an organization has to or chooses to
comply with
Noncompliance:
non-fulfillment of a compliance obligation
Note - Obligations may arise from mandatory requirements,
such as applicable laws and regulations, or voluntary commitments such as organizational and industry standards and codes,
contractual relationships, principles of good governance and
community and ethical standards
8
Note - Noncompliance can be a single or multiple event and
may or may not be the result of a system failure
Visie
Figuur 3 - Compliance management volgens ISO 19600 en de HLS
Betekenis van ISO 19600
Compliance management is een belangrijk onderwerp. Het
is de basis voor maatschappelijk verantwoord ondernemen
en voor de ‘license to operate’. De toenemende hoeveelheid
en complexiteit van na te leven (wettelijke) regels vraagt om
een systematische en doordachte aanpak. Toezichthouders
hebben er baat bij als organisaties hun eigen verantwoordelijkheden voor implementatie en naleving van regels
serieus nemen en zij de manier van toezicht (kwantitatief
en kwalitatief) daarop kunnen afstemmen. Dan is een algemeen geaccepteerd referentiekader van ‘goed compliance
management’ een belangrijk hulpmiddel voor alle betrokken
partijen. ISO 19600 biedt straks dat referentiekader.
Compliance management is een onderdeel van de bekende
managementsysteemnormen ISO 14001 en OHSAS 18001.
ISO 19600 sluit wat betreft structuur en inhoud goed aan
op de volgende generatie managementsysteemnormen en
kan dus worden gebruikt voor verdieping van compliance
als onderdeel van milieu- en arbomanagement. Het geeft
ook goed invulling aan de basale eisen voor compliance
management die onderdeel zijn van de kerneisen van de
HLS (zie figuur 1).
KAMNieuwsbrief 4 / 2013
Er wordt veel gesproken over de trits Governance, Risk en
Compliance management (GRC) als de kern van goed en
verantwoord ondernemen. Voor risicomanagement hebben
we ISO 31000, voor governance de HLS en kerneisen voor
managementsystemen en begin 2015 dus ISO 19600
voor compliance management. Daarmee bieden de diverse
ISO-normen goede handvatten voor verantwoord ondernemen. Transparante toepassing van risico- en compliance
management als onderdeel van corporate governance
lijkt de beste werkwijze om toenemende regeldruk tegen
te gaan en een nieuwe balans te vinden tussen de eigen
(maatschappelijke) verantwoordelijkheid van bedrijven
enerzijds en die van regelgevende en toezichthoudende
overheden anderzijds.
Meer informatie
Voor meer informatie over dit onderwerp en deelname
aan de normcommissie Compliance management, kunt u
contact opnemen met Dick Hortensius, telefoon (015)
2 690 115, e-mail [email protected].
9