Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Compliance risicoanalyse

Meten van het compliance risicoanalyse

Met behulp van een compliance risicoanalyse wordt de effectiviteit van de compliance functie in een organisatie gemeten. Het accent van de analyse kan liggen bij de bestuurlijke verankering of juist op continuous monitoring op de informatie infrastructuur en of de applicaties. De uitkomsten van de risicoanalyse zijn belangrijk voor de leiding omdat:

  • Het een indicatie geeft over de mate van compliance met wetgeving, overeenkomsten en of beleidseisen. Het geeft ook een indicatie over de mate waarin de organisatie de risicogebieden en risico’s kent op non-compliance;
  • Een indruk ontstaat over de effectiviteit en kostenefficiency van de bestaande compliance functie; en
  • Er overzicht en inzicht ontstaat van mogelijk blokkades de interne organisatie meer effectief en kostenefficiënt te maken.

Op basis van de bevindingen van de analyse en uitkomsten van gesprekken over deze bevindingen met sleutelfunctionarissen kan een meer optimale compliance functie worden uitgewerkt en aangegeven hoe deze gerealiseerd kan worden.

Aanleiding voor een compliance risicoanalyse

De aanleiding voor een compliance risicoanalyse op de interne beheersing en risicomanagement kan intern of extern zijn. Op basis van deze aanleiding kan de scope liggen op de organisatie als geheel of alleen op het adequaat functioneren van de bedrijfs-compliance functie.

Het functioneren van de interne beheersing en risicomanagement van een organisatie wordt extern beïnvloed door wijzigingen in wet- en regelgeving, eisen van toezichthouders, bedrijfsactiviteiten die onder het verantwoordelijkheidsdomein vallen van de organisatie, governance codes en of technologische adoptie door de organisatie.

Er zijn ook interne factoren die de interne beheersing en risicomanagement van een organisatie beïnvloeden. Wij kunnen de volgende aanleidingen noemen: creëren en in stand houden van vertrouwen bij zakelijke partners, optimaliseren van de effectiviteit en kostenefficiency van beheersmaatregelen, accountable zijn voor de verantwoording aan het maatschappelijk verkeer over effectieve werking beheersmaatregelen en of openstaan voor detecteren van incidenten en datalekken en passende maatregelen treffen deze te voorkomen.

De externe aanleiding is generiek van aard maar de vraagstukken zijn intenser en de frequentie is sterk gestegen. Een paar opmerkingen:

  • Toezichtsarrangementen in wetgeving vragen van bedrijven een resultaat in plaats van een inspanning te leveren.
  • Bedrijven staan voor de uitdaging van een applicatie- naar een datacentrische gegevensverwerking om te schakelen. Een paar opmerkingen over interne aanleiding:
  • Het creëren van vertrouwen in de organisatie wordt op de proef gesteld doordat de wetgever het individu de regie geeft over het verwerken van de eigen (persoons)gegevens.

Als een organisatie in onvoldoende mate incidenten signaleert, kan dit aanleiding zijn een analyse uit te voeren. Het object van onderzoek kan ook de compliance functie zelf zijn.

Aanpak

Een praktische benadering voor het uitvoeren van een compliance risicoanalyse is het in het onderzoek betrekken van een model van volwassenheidsniveaus compliance functie.

Wij zouden de stappen als volgt kunnen zetten:

  1. Bepalen van de scope en reikwijdte van het onderzoek alsmede de planning van activiteiten & interne en externe budgetten in tijd, capaciteit en middelen;
  2. Uitvoeren van de geplande activiteiten;
  3. De rapportage bestaat uit een verslag van de bestaande situatie waarin de bevindingen in kaart zijn gebracht. De bevindingen geven aanleiding voor het voorstellen van aanpassingen.

Wij kunnen op dit soort onderzoeken veel varianten bedenken. Wij doen dat graag samen met organisaties die het voornemen hebben een dergelijk onderzoek uit te voeren.

Meer informatie en contact

Ingeval van vragen of u wilt een vrijblijvende offerte ontvangen, aarzelt u niet contact met ons op te nemen. Dit kan via +31 (0)70 – 392 22 09 of info@duthler.nl.