‘Compliance management’ is een begrip dat al lang niet meer alleen belangrijk is in de financiële sector. Elke sector heeft te maken met aangescherpte wet- en regelgeving en moet voldoen aan bepaalde normen – zoals de NEN7510 norm voor informatiebeveiliging in de zorg. Andere sectoren kunnen wel veel leren van de financiële sector, die voorop loopt op het gebied van compliance management. Door gebruik te maken van het ‘Three Lines’ bijvoorbeeld, waarmee je met drie verdedigingslinies zakelijke risico’s beperkt. In dit artikel lees je meer over dit model en hoe je aan de hand van een concreet stappenplan jouw compliance beleid vorm kunt geven.
Als je ‘compliance’ opzoekt in de Dikke van Dale, dan staat er als betekenis ‘volgzaamheid’ en ‘meegaandheid’. Compliance management is dan ook het voldoen aan interne en externe wet- en regelgeving binnen een organisatie. Maar als je compliant wil zijn, gaat het om méér dan het volgen van wetten en regeltjes. Het gaat erom dat je als organisatie zegt wat je doet en doet wat je zegt. Want je wil toch niet alleen compliant zijn omdat je misschien geaudit kunt worden? Als het goed is, wil je als organisatie sociaal handelen en doen wat juist is. Je wilt integer en betrouwbaar zijn.
Je kunt ervoor kiezen om een compliance manager in dienst te nemen. In sommige bedrijven is dit noodzakelijk en zij beschikken over een heel team van compliance officers. Zij staan in voor de bescherming van de reputatie en de integriteit. In kleinere organisaties wordt niet altijd specifiek een compliance manager ingehuurd, maar is dit een taak van onder andere de juridische afdeling. Hoe dan ook is dit een topic dat de hele organisatie raakt en waar iedereen mee bezig zou moeten zijn – van de directie tot de stagiaires en van de facilitair medewerkers tot de HR-afdeling.
Nee, we gaan je geen geschiedenislesje geven! Wél is het interessant om te snappen waar compliance management vandaan komt, want de nadruk die erop is komen te liggen is echt iets van de laatste jaren. In september 2008 brak de grootste financiële crisis van de naoorlogse geschiedenis uit. Doordat Amerika te gretig en te veel kredieten had uitgegeven, raakte de hele banksector besmet. Grote banken vertrouwde elkaar niet meer – waardoor er overal ter wereld wantrouwen ontstond in de financiële sector. Zowel politici als gedupeerde organisaties en particulieren eisten verandering.
Die verandering kwam er. Het gevolg was dat de financiële sector te maken kreeg met aangescherpte regelgeving en strengere, nieuwe wetten. De sector heeft van de gelegenheid gebruikgemaakt om zich te specialiseren in compliance wet- en regelgeving. Andere sectoren hebben hiervan geleerd en zijn zelf ook serieus aan de slag gegaan met compliance management. Of het nu gaat om ziekenhuizen, overheidsinstanties of grote corporate organisaties – voor allemaal geldt dat de mensen die er werken zich aan bepaalde gedragscodes en wetten dienen te houden.
Omdat ze geen andere keuze hadden, werden de werkwijzen rondom compliance management van de financiële sector een goed voorbeeld voor andere sectoren en organisaties. Vaak is het raamwerk dat zij hebben gebaseerd op het Three Lines Model. Dit model gaat uit van drie verdedigingslinies om zakelijke risico’s te beperken. De business is de eerste linie, gevold door systemen die het proces van risicomanagement ondersteunen. De derde lijn biedt extra handvatten voor controle dankzij interne audits.
Deze methode stelt organisaties in staat om belangrijke risico’s te beheersen Het Three Lines Model dus gaat uit van drie ‘verdedigingslinies’:
Bovenstaand model biedt veel voordelen. Je krijgt meer inzicht in risico’s en oplossingen, kijkt een organisatiebrede kijk op risico’s, een structurele aanpak vanuit verschillende invalshoeken én een onafhankelijke controle van risicomanagementprocessen dankzij de audits van de derde lijn.
Naast het Three Lines Model zijn er nog goede voorbeelden uit de financiële sector die andere sectoren kunnen toepassen als het gaat om compliance management. Denk aan een helder en efficiënt beleid rondom incidentmanagement, maar ook periodieke rapportages. ‘Doen wat je zegt en zeggen wat je doet’ wordt in veel branches afgedwongen – in de financiële sector is dat onder andere de Europese Bankautoriteit (EBA). Je moet dus niet alleen interne audits houden, maar ook je klanten en leveranciers kennen. Je kunt tegenwoordig maar beter goed nadenken met wie je zakendoet.
Net zoals banken heeft iedere sector bepaalde wetten en normen waaraan voldaan moet worden om compliant te zijn. Infoland is een bedrijf gesitueerd in de IT-sector. Belangrijke wetten en normen waaraan wij als organisatie moeten voldoen, zijn bijvoorbeeld de Algemene Verordening Gegevensbescherming (AVG) en de Algemene Verordening Gegevensbescherming EU (EU GDPR).
Ook is onze ISO-certificering van groot belang voor ons, want daarmee laten wij zien dat we ook écht doen wat we zeggen en zeggen wat we doen. Voor de zorgsector is bijvoorbeeld NEN 7510 dé norm voor informatiebeveiliging. Het naleven van die norm is essentieel, want medische- en patiëntgegevens worden veelvoudig uitgewisseld in de zorgsector.
Compliance en risk management heeft betrekking op verschillende processen in je organisatie: zoals governance en juridische processen. Het is – zoals eerder aangehaald – iets wat moet leven in de hele organisatie en het moet volledig geïntegreerd zijn in het bedrijfsmodel, de gedragsregels en de cultuur. Daar bovenop is compliance management een continu proces.
Maar hoe doe je dat dan? Hoe stel je een effectief compliance beleid op? Als je hier serieus mee aan de slag gaat, zijn er een aantal aandachtspunten waarmee je rekening moet houden.
Hieronder gaan we dieper in op de verschillende stappen voor het opstellen van een goed compliance beleid.
Hieronder gaan we dieper in op de verschillende stappen voor het opstellen van een goed compliance beleid.
Begin bij het begin. Het is belangrijk om de activiteiten van jouw organisatie in kaart te brengen. Hierbij horen ook relevante stakeholders (zowel intern als extern).
Nu de markt is vastgesteld, moet je vaststellen welke wet- en regelgeving op jouw organisatie van toepassing zijn. Dit is het ‘legal framework’ van je organisatie. Een compliance managementtool kan een uitkomst bieden geeft inzicht in de voor jouw organisatie gestelde normen.
Je kunt nu, op basis van de wet- en regelgeving, verschillende compliance thema’s vaststellen. Breng per risico de thema’s in kaart en leg vast welke maatregelen daarbij horen.
Je hebt de risico’s vastgesteld en bepaald hoe je ze gaat beheersen? Mooi. Dan is het nu tijd om dit te vertalen naar een compliance beleid. Zo wordt compliance met één aanpak binnen jouw organisatie geïntegreerd.
Wanneer het beleid is bepaald, worden concrete beheerstaken aan medewerkers toegekend. Bied ook handleidingen en trainingen aan zodat iedereen dezelfde aanpak hanteert. Je kunt je beleid, nieuwe trainingen of andere informatie bijvoorbeeld onder de aandacht brengen met ‘mini-campagnes’ via Zenya BOOST.
Compliance management stopt niet na één audit of na het formuleren van een beleid. Dit is een ongoing proces waarbij je continu moet monitoren, beheersmaatregelen moet uitvoeren en aan toezichthouders moet laten zien of je aan de normen die gelden voor jouw organisatie voldoet.
Zenya software is er om compliance management binnen jouw organisatie makkelijker te maken. Zo kun je Zenya DOC gebruiken om belangrijke bestanden en documenten op te slaan die je bijvoorbeeld nodig hebt tijdens een audit. Je kunt er bewijsmaterialen opslaan, zodat deze goed gebord, opgeslagen en vindbaar zijn wanneer je ze nodig hebt. Ook kun je in Zenya DOC werkinstructies opslaan of interactieve documenten aanmaken, waarmee je kunt aantonen dat je op een bepaalde manier aan thema’s binnen een belangrijke norm werkt. Je kunt hier een workflow aan koppelen met Zenya FLOW, zodat je binnen een bepaalde tijd bijvoorbeeld een seintje krijgt wanneer de toestemming afloopt.
Vragenlijsten en checks zijn onmisbaar om te voldoen aan de steeds strengere wetten en normen. Met Zenya CHECK, ons slimme audit management systeem, borg je dit hele proces. Je wordt hierin ondersteund door overzichtelijke planningen, automatische taakschema’s inclusief meldingen en duidelijke rapportages. Jouw compliance beleid communiceren naar de rest van de organisatie op een laagdrempelige manier doe je met Zenya BOOST.
Tonino, T. (2023, 3 februari). Financiële sector: inspiratie speciaal voor andere sectoren. Geraadpleegd van: https://intermediate.pro/blog/audit-risk-en-compliance/financiele-sector/
Weiss, S. (2022, 7 juli). Wat is eigenlijk IT-compliance? Geraadpleegd van: https://www.gdata.be/advies/wat-is-eigenlijk-it-compliance
Ruler (2021, 14 juni). Compliance Management. Geraadpleegd van: https://ruler.nl/wiki/compliance-management/
Vraag de brochure aan zodat je alle informatie gemakkelijk bij de hand hebt.
Zelf zien wat Zenya voor jouw organisatie kan betekenen? Vraag een gratis demo aan.
Neem vrijblijvend contact op met onze experts. Wij denken graag met je mee.