Direct naar content
  • Ervaring sinds 2001

  • Trainingen door heel Nederland

Betekenis van een ISO-norm voor compliance management

KAM coördinator opleiding

Schrijf u nu in voor de praktische KAM coördinator opleiding van V-Kam Education!

Belangrijke uitgangspunten

ISO 19600 wordt ontwikkeld in de vorm van een richtlijn voor compliance management en niet als een eisenstellende (certificeerbare) norm. Dat is een bewuste keuze waar de Nederlandse normcommissie mee heeft ingestemd. Er zijn al voldoende certificeerbare managementsysteemnormen voor specifieke onderwerpen, waarvan compliance management deel uitmaakt; denk bijvoorbeeld aan ISO 14001 voor milieumanagement of OHSAS 18001 voor arbomanagement. ISO 19600 is bedoeld om organisaties te helpen hun bestaande aanpak van compliance management te verdiepen en te verbreden. Daarbij is het handig dat ISO 19600 is opgezet volgens de ‘high level structure’ voor managementsysteemnormen. Daardoor kan de richtlijn straks als een ‘plug-in’ dienen om het managementsysteem van een organisatie te programmeren voor compliance management (zie figuur 1).

Risk based benadering

Compliance management gaat (veel) verder dan het voldoen aan wet- en regelgeving. Organisaties hebben te maken met allerlei eisen van stakeholders (bijvoorbeeld klanten en brancheorganisaties), certificaten en keurmerken waarvoor is gekozen en last but not least eigen bedrijfsregels en gedragscodes die bijvoorbeeld in het kader van corporate governance en MVO steeds serieuzer (moeten) worden genomen. Het ‘managen’ van al deze eisen wordt een steeds lastigere klus voor organisaties. Het maken van goede keuzes en stellen van de juiste prioriteiten is daarom belangrijk.

Compliance management gaat (veel) verder dan het voldoen aan wet- en regelgeving.

Op voorstel van Nederland is in ISO 19600 voor een riskbased benadering gekozen. Deze benadering is weergegeven in figuur 2. Op basis van een omgevingsanalyse worden de compliance obligations bepaald. Daarbij kiest een organisatie welke eisen, wensen en verwachtingen van stakeholders zij als verplichtingen voor zichzelf wil aanvaarden en naleven. Voor wat betreft wettelijke eisen is er geen keuzemogelijkheid: die behoort een organisatie in ieder geval na te leven. Op basis van risicobeoordeling worden prioriteiten gesteld zodat aan de verplichtingen met de grootste compliance risico’s (wat betreft kans op optreden en ernst van de gevolgen van niet-naleving) de meeste aandacht wordt besteed. Naar gelang de omvang van de compliance-risico’s worden meer of minder intensieve beheersmaatregelen getroffen en vindt meer of minder intensieve monitoring van de naleving van eisen en van de effectiviteit van de beheersmaatregelen plaats. Dit proces helpt organisaties om focus aan te brengen in hun compliance management.

Het compliance management systeem

Zoals eerder aangegeven volgt ISO 19600 wat betreft inhoud en structuur de ‘High level structure’ (HLS) voor ISO-managementsysteemnormen. Daarbij worden standaardelementen van een managementsysteem ingekleurd en aangevuld voor het onderwerp compliance (zie tabel). Zo is er bijvoorbeeld veel aandacht voor rollen en verantwoordelijkheden van bestuur, directie, lijnmanagement en medewerkers van een organisatie en voor de onafhankelijkheid van de compliance-officer (of algemener: de compliance functie). Voorbeeldgedrag en commitment van managers is essentieel om een cultuur tot stand te brengen waarin compliance ‘normaal’ is en medewerkers op alle niveaus en in alle omstandigheden het juiste gedrag en attitude ten toon (kunnen) spreiden. Omdat compliance voor een belangrijk deel mensenwerk is, is vanuit Nederland ook nadrukkelijk gevraagd om aandacht voor zogenoemde soft controls als onderdeel van beheersmaatregelen. Monitoring van naleving en het nemen van acties op non-compliances wordt uitgebreid beschreven met inbegrip van escalatie naar hogere managementniveaus als de ernst van de situatie daarom vraagt.

In figuur 3, die in ISO/DIS 19600 is opgenomen, zijn de elementen van compliance management volgens de HLS weergegeven.

Betekenis van ISO 19600

Compliance management is een belangrijk onderwerp. Het is de basis voor maatschappelijk verantwoord ondernemen en voor de ‘license to operate’. De toenemende hoeveelheid en complexiteit van na te leven (wettelijke) regels vraagt om een systematische en doordachte aanpak. Toezichthouders hebben er baat bij als organisaties hun eigen verantwoordelijkheden voor implementatie en naleving van regels serieus nemen en zij de manier van toezicht (kwantitatief en kwalitatief) daarop kunnen afstemmen. Dan is een algemeen geaccepteerd referentiekader van ‘goed compliance management’ een belangrijk hulpmiddel voor alle betrokken partijen. ISO 19600 biedt straks dat referentiekader.

Compliance management is een onderdeel van de bekende managementsysteemnormen ISO 14001 en OHSAS 18001. ISO 19600 sluit wat betreft structuur en inhoud goed aan op de volgende generatie managementsysteemnormen en kan dus worden gebruikt voor verdieping van compliance als onderdeel van milieu- en arbomanagement. Het geeft ook goed invulling aan de basale eisen voor compliance management die onderdeel zijn van de kerneisen van de HLS (zie figuur 1).

Er wordt veel gesproken over de trits Governance, Risk en Compliance management (GRC) als de kern van goed en verantwoord ondernemen. Voor compliance management bestaat de ISO 19600. Daarmee bieden de diverse ISO-normen goede handvatten voor verantwoord ondernemen. Transparante toepassing van risico- en compliance management als onderdeel van corporate governance lijkt de beste werkwijze om toenemende regeldruk tegen te gaan en een nieuwe balans te vinden tussen de eigen (maatschappelijke) verantwoordelijkheid van bedrijven enerzijds en die van regelgevende en toezichthoudende overheden anderzijds.

Eerder hebben wij een artikel geschreven met 10 tips om risicomanagement te versterken.

Bron: nen.nl