Risk en Compliance Management | Duthler Associates

Voldoet uw risk- en compliance management?

Verantwoordelijk of accountable zijn voor het organiseren van compliance met wettelijke, beleidsmatige en contractuele verplichtingen staat centraal bij de bedrijfscompliance functie. De bevindingen uit de risk- en compliance onderzoeken voeden de onderbouwing van de bedrijfscompliance. Het doel van het (IT-) riskmanagement is adequaat reageren op kwetsbaarheden in de administratieve en technische organisatie die de bedrijfscontinuïteit bedreigen. Het doel van de bedrijfscompliance functie is de bedrijfsleiding in staat te stellen verantwoording af te leggen op basis van baselines waarin de eisen van eigen beleid, contractuele – en wettelijke verplichtingen zijn opgenomen.

De verantwoording vormt een begin punt voor het verbeteren van het organiseren van de bedrijfsactiviteiten.

Onder druk van nieuwe wetgeving en hiermee samenhangend toezicht door bevoegde toezichthouders neemt de toezicht- of compliance-last toe. Ook ketenpartners eisen steeds vaker dat aantoonbaar aan de wet en afspraken wordt voldaan. Bedrijven met enige omvang zijn gewend aan de compliance-druk. Voor bedrijven met een bescheiden omvang is deze druk nieuw. Zij ervaren dat veelal als knellend.

Interesse? Neem gerust contact op.

Een overzicht van onze dienstverlening

Ervaart de bedrijfsleiding compliance-inspanningen als een last of kostenpost? Dan ontwikkelt de (bedrijfs)compliance functie zich moeizaam. Onderkent de bedrijfsleiding dat de functie een bijdrage kan leveren aan de continuïteit van de bedrijfsvoering? Dan ontstaat er toegevoegde waarde.

Bekijk hieronder onze dienstverlening op het gebied van riskmanagement en compliance.

Nulmeting op uw (bedrijfs)compliance functie

Tijdens een nulmeting gaan wij de volgende punten na: ‘wat is de status van de (bedrijfs)compliance functie?’ ‘Sluit het risk- en compliancemanagement aan op de bedrijfsactiviteiten en wat zijn de knel- en verbeterpunten?’ ‘Hoe kan het risk- en compliancemanagement effectiever georganiseerd worden en wat levert dat op?’

Lees meer

Managen van (bedrijfsspecifieke) baselines

De bedrijfsleiding maakt gebruik van een scala aan samenhangende algemeen geaccepteerde en bedrijfsspecifieke baselines en specificaties. Nieuwe en nadere uitleg van wetgevings-, beleids- en contractverplichtingen alsmede verbeterende beheersmaatregelen geven aanleiding baselines regelmatig aan te passen. Onder de verantwoordelijkheid van het management vallen zowel de “statische” baselines als het compliance-proces.

Lees meer

IT-Riskmanagement in de Cloud

Bedrijven maken steeds meer gebruik van clouddiensten. Terecht want de cloud biedt veel voordelen voor bedrijven. De directe verantwoordelijkheden verschuiven maar het bedrijf behoudt de eindverantwoordelijkheid en loopt derhalve risico’s in de verlengde keten. Ongeacht de cloud laag die wordt afgenomen, is het bedrijf altijd verantwoordelijk voor het toekennen van bevoegdheden, het beheer van gegevens en het gebruik van devices in het netwerk.

Lees meer

IT-Compliance in de Cloud

De cloud biedt goede mogelijkheden om compliance uit te voeren. Hierbij kan geautomatiseerd vastgesteld worden dat aan diverse normenkaders wordt voldaan. De compliance officer biedt hierbij sturing en ondersteuning.

Lees meer

Interne beheersing

Periodiek stelt een bedrijf de effectieve werking vast van getroffen beheers- en beveiligingsmaatregelen in systemen die bedrijfsprocessen ondersteunen en waarmee de bedrijfsactiviteiten zijn georganiseerd. Bij de compliancewerkzaamheden helpen de baselines de medewerker of professional een inschatting te maken van het volwassenheidsniveau van de beheersing. De beheersmaatregelen zijn te organiseren “by design” in systemen of worden uitgevoerd door medewerkers.

Lees meer

Contractmanagement en compliance

Het continue vaststellen van compliance met contractuele verplichtingen en in voldoende mate benutten van de rechten kunnen wij zien als een bijzondere vorm van compliance. In de contractlevenscyclus heet het contractmanagement. Gezien de voortrekkersrol van onze professionals bij het organiseren van een effectieve bedrijfsjuridische functie besteden wij hier speciale aandacht aan.

Lees meer

Trainingsprogramma risk- en compliance management

Het toepassen van risk- en compliance management vraagt van de bedrijfsleiding, het afdelingsmanagement en medewerkers aandacht voor het uitvoeren van de werkzaamheden. De meeste medewerkers zullen zich afvragen waarom risk- en compliance management nodig is en wat de toegevoegde waarde voor het bedrijf, de afdeling en de medewerker is. Bewustwordings- en trainingsprogramma’s zijn nodig om de kennis over compliance over te brengen alvorens zij hier tijdens hun dagelijks werk een goede invulling aan kunnen geven.

Lees meer

Risk- en compliance ondersteuning op afroep

Wij ondersteunen bedrijven met kennisbanken, webinars, en opleidingen zodat een bedrijf in staat is de bedrijfscompliance functie zelf te organiseren. Is toch hulp nodig, bijvoorbeeld wegens gebrek aan capaciteit, dan kan een bedrijf een beroep doen op één van onze compliance-professionals.

Lees meer

Opstellen van een passende businesscase

Het organiseren van de bedrijfscompliance functie kan slechts succesvol zijn als er sprake is van voldoende toegevoegde waarde voor het bedrijf, de afdeling en de medewerkers. Bij elke stap is er een businesscase nodig met inkomsten- en kostenstromen.

Lees meer

Veelgestelde vragen

Wat is de (bedrijfs)compliance functie?

Er is geen eenduidige definitie van compliance voorhanden. In de financiële sector is de rol van compliance officer uitgewerkt en is het doel van compliance vast te stellen dat voldaan wordt aan wet- en regelgeving.

Wij zien meer en meer nieuwe (Europese) wetgeving met compliance-arrangementen. De subjecten, veelal de bedrijven en de bedrijfsleiding, zijn verantwoordelijk voor het organiseren van compliance met wettelijke en contractuele verplichtingen. Zij moeten over de (mate van) compliance verantwoording afleggen. Hiermee worden de toezichtslasten bij de subjecten neergelegd.

Naarmate deze wetgeving met compliance-arrangementen doorgezet wordt, is er bij bedrijven – onafhankelijk van omvang en type – behoefte aan een praktische, integrale en effectieve compliance-aanpak.

Wij passen een dergelijke compliance-aanpak bij bedrijven toe. Een bedrijf dat verantwoordelijkheid neemt – en de verantwoording uitdraagt – voor het realiseren van haar eigen missie en visie of haar beleid wint aan vertrouwen bij haar partners (klanten, medewerkers en leveranciers). Het versterkt haar reputatie.

Is het gebruik van MYOBI Vertrouwensnetwerk en toepassingen noodzakelijk voor het organiseren van een integrale compliance-aanpak?

Nee, het organiseren van een integrale compliance-aanpak kan op een traditionele wijze georganiseerd worden. Voor het organiseren van een effectieve bedrijfscompliance functie is gebruikmaken van het vertrouwensnetwerk wel aan te bevelen. De basis voor een effectieve bedrijfscompliance functie zijn betrouwbare bedrijfs- en persoonsgegevens.

Wat zijn baselines. Hoort daar ook een normenkader bij en functionele en non-functionele specificaties aan een IT-systeem?

Wij omschrijven een baseline als een overzicht met beheersdoelstellingen die een bedrijf wenst te behouden of te bereiken. Hierbij worden de maatregelen (per volwassenheidsniveau) genoemd, waardoor een bedrijf kan meten of de doelstelling is behaald en zonodig kan bijsturen.

De baselines zijn gebaseerd op algemene normenkaders zoals ISO en NEN (good practices) en wettelijke kaders zoals de AVG. Baselines kunnen bedrijfsspecifiek gemaakt worden door ze aan te vullen met doelstellingen van het bedrijf en contractuele rechten en verplichtingen. Een baseline kan ook specifiek voor een bedrijfsactiviteit worden opgesteld, bijvoorbeeld een baseline met functionele en non-functionele specificaties voor de inkoop van een toepassing in de cloud of de aankoop van een IT-systeem.

Wat is het verschil tussen het begrip ‘interne controle’, ‘compliance’ of ‘interne beheersing’?

Wij onderkennen geen verschil:

Registeraccountants, belast met de audit van de financiële verantwoordingen, gebruiken het begrip ‘administratieve organisatie en interne controle’. Wetgevers en toezichthouders gebruiken het begrip ‘compliance (met wetgeving)’ voor verantwoordelijk zijn voor het organiseren van compliance met wettelijke en contractuele verplichtingen.
Operationeel, als onderdeel van het effectief organiseren van bedrijfsactiviteiten met bedrijfsprocessen waarin beheersmaatregelen zijn opgenomen, spreken medewerkers van bedrijven veelal over interne beheersing.

Is contractmanagement ook een vorm van compliance?

Wij kunnen contractmanagement beschouwen als een bijzondere vorm van compliance. Een bedrijf maakt afspraken met haar partner over het leveren van een prestatie tegen betaling. Partijen wensen dat over en weer de verplichtingen worden voldaan zoals is afgesproken. In termen van compliance kan er door de partners een baseline worden afgesproken waaraan eenieder zich houdt.

Waarom het onderscheid tussen bedrijfscompliance functie, en risk- en compliance-management?

Bedrijven brengen hun IT-behoeften naar de cloud. Veelal maken de bedrijven gebruik van de clouddiensten van Microsoft, Amazon en of Google (het is een gemis dat er geen Europese aanbieders in dit rijtje staan). Bedrijven wijzen voor het beheer van hun cloud tenant (gehuurde IT-omgeving) IT-bureaus aan en besteden vervolgens te weinig tijd aan (IT-) risk- en compliance-management waardoor het borgen van de bedrijfscontinuïteit en het behalen van de beloofde toegevoegde waarde in gevaar komt.

Het beleidsmatig afspreken en organisatorisch beleggen van bedrijfscompliance functie is een noodzakelijke randvoorwaarde voor succes. De praktische implementatie in de organisatie vinden wij in risk- en compliance management waarbij de cloudleveranciers effectieve IT-tools beschikbaar stellen.

Riskmanagement is gericht op het onderkennen van kwetsbaarheden die impact hebben op bedrijfsrisico’s, inventariseren en treffen van effectieve beheers- en beveiligingsmaatregelen waarmee het bedrijf haar bedrijfscontinuïteit borgt.Compliance management richt zich op het vaststellen van het compliant zijn met beleidsmatige, wettelijke en contractuele verplichtingen.