Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Aanpak optimaliseren van de compliance functie

We beginnen met een businesscase

De leiding van een organisatie zal in de compliance functie willen investeren als er een goede businesscase is. De businesscase biedt inzicht in de bestaande situatie, impact van relevante risico’s en een beoogde situatie. Aanleiding voor het uitwerken van een businesscase zou kunnen zijn:

  • Eisen van de wetgever dat een organisatie, binnen een netwerk van verantwoordelijkheid en aansprakelijkheid, aantoonbaar haar verplichtingen nakomt;
  • Eisen van de wetgever verantwoording af te leggen over de bescherming van persoonsgegevens;
  • Compliance is een goed instrument om continue te werken aan verbetering van uw processen en de tevredenheid van uw cliënten;
  • Uw medewerkers worden gestimuleerd om hun werk volgens afgesproken richtlijnen uit te voeren;
  • Het verzoek van uw cliënten “in control” te zijn over door hen uitbestede diensten voor (directe en indirecte) verplichtingen uit wet- en regelgeving, aangegane overeenkomsten en het bedrijfsbeleid;
  • Inzicht verkrijgen in de productiviteit van de compliance functie. In het verlengde hiervan ligt de wens te beschikken over een effectieve en kostenefficiënte compliance functie die zorgt dat de interne organisatie ook effectief en kostenefficiënt blijft;
  • Organiseren van accountability voor de effectiviteit van beleid; of
  • Het verlagen van compliance en interne en externe auditkosten.

De businesscase is de verantwoording voor het opbouwen of optimaliseren van de compliance functie.

Aanpak businesscase

Duthler Associates biedt de leiding van organisaties de mogelijkheid gezamenlijk met interne sleutelfunctionarissen een businesscase en een plan van aanpak uit te werken. De aanpak bestaat uit de volgende stappen:

  1. Bureauonderzoek naar de bedrijfsactiviteiten van de organisatie, het bepalen van de referentiegroep en het stellen van vragen;
  2. Uitvoeren van een cijferanalyse op de bestaande compliance functie, uitwerken van een aangepaste opzet en samenstellen van verslag van bevindingen bij de businesscase. Als blijkt dat de compliance functie effectief is dan feliciteren wij de leiding van de organisatie. Als dat niet het geval is dan werken wij een plan van aanpak uit voor het opbouwen en in stand houden van meer effectieve en kostenefficiënte compliance functie; en
  3. Met de leiding van de organisatie bespreken van de bevindingen en resultaten.

Het uitvoeren van een vakinhoudelijke én financiële beoordeling op hoofdlijnen van de bedrijfs-compliance functie zet de doelstellingen, het uitvoeren en de kosten & opbrengsten van compliance in perspectief.

Aanpak optimaliseren van de compliance functie

Als de leiding van de organisatie het verantwoord vindt het plan van aanpak voor het optimaliseren van de compliance functie uit te voeren dan zetten wij in samenwerking met medewerkers van de organisatie graag de volgende stappen:

  1. Het uitvoeren van een nadere analyse om inzicht te krijgen in:
    a) relevante wet- en regelgeving plus aanstaande ontwikkelingen;
    b) rechten en verplichtingen die voortvloeien uit de bestaande contractafspraken;
    c) de effectiviteit van de geformuleerde en gerealiseerde beleidsdoelstellingen.
    Op basis van de uitkomsten van deze analyse leggen wij accenten in de beoogde compliance functie;
  2. Het leggen van een relatie tussen de bedrijfsactiviteiten en relevante juridische modellen en normenkaders. Het volwassenheidsniveau en de ambities voor de komende jaren worden door de leiding bepaald;
  3. Zo nodig wordt een besluit genomen over het al dan niet toepassen van smart contracting. Smart contracting creëert immers de randvoorwaarden voor smart compliance. Desgewenst werken we eerst nog een businesscase uit voor de bedrijfsjuridische functie;
  4. Bepalen van de scope van het verantwoordelijkheids- en aansprakelijkheidsgebied van de organisatie. Dit is zowel een intern als extern vraagstuk. Kent de organisatie alle eigen entiteiten en samenwerkingsverbanden alsmede de sleutelrollen en de personen die de rollen uitvoeren? Extern gaat het over het vraagstuk van het kennen van cliënten en leveranciers en hun vertegenwoordigingsbevoegden. Zie ook [link opnemen naar LEM]. Meer en meer stelt de wetgever eisen aan het kennen van de partners;
  5. Binnen het verantwoordelijkheidsgebied in kaart brengen van de technische en logische informatie infrastructuur. Met behulp van een overzicht kan worden nagegaan welke gebieden in aanmerking komen voor rationalisatie;
  6. Op basis van de infrastructuur worden de administratieve organisatie en interne beheersing (AO/IB) uitgewerkt. Er is een inschatting nodig in hoeverre de AO/IB in samenhang doordacht moet worden en vervolgens wordt nagegaan of de getroffen beheersmaatregelen effectief (genoeg) zijn. Een optimale compliance functie maakt een meer effectieve en kostenefficiënte administratieve organisatie en interne beheersing mogelijk (Nb. er geldt veelal ook: een gebrekkige compliance functie kent een ineffectieve en inefficiënte administratieve organisatie en interne beheersing).  
  7. Plannen van de activiteiten van compliance functie en aangeven welke taken door medewerkers worden uitgevoerd en voor welke taken capaciteit extern wordt betrokken; en
  8. Operationaliseren van compliance functie
    De compliancefunctie volgt een jaarlijkse PDCA-cyclus waarbinnen wij een aantal onafhankelijke cycli kunnen onderscheiden. De compliance functie meer effectief en kostenefficiënt maken vraagt zorgvuldige planning met de juiste reikwijdte en scope en zal een aantal slagen vergen. Samenhang en prioriteiten zullen moeten worden aangebracht.
    Van het ontstaan van wettelijke en juridische verplichtingen tot aan het stopzetten van die verplichtingen beschouwen wij als de scope van smart compliance en de samenhangende dienstverlening. U kunt overigens kiezen voor een beperktere scope.
  9. Treffen van passende beheers- en beveiligingsmaatregelen

Effectieve beheersmaatregelen

Met de inzet van smart contracting en smart compliance zijn effectieve beheersmaatregelen getroffen. Dit is vaak niet toereikend omdat er ook passende beheers- en beveiligingsmaatregelen nodig zullen zijn in de bedrijfssystemen zelf. Soms zijn er beperkte aanpassingen nodig en zal een leverancier van IT-diensten hierin voorzien. Het komt ook voor dat de informatiesystemen te oud zijn om passende maatregelen aan te brengen. Afhankelijk van de ambitie van de leiding en de strategie van de onderneming kan een digitale transformatie van een applicatie- naar een datacentrische platform nodig zijn;

Vanuit het perspectief van de bedrijfsactiviteiten kunnen de wettelijke eisen aan IT-systemen worden vertaald naar een normenkader en uiteindelijk de functionele eisen die nodig zijn voor een effectieve en kostenefficiënte compliance. Er is namelijk een reeks van aandachtsgebieden waarmee bij de systeemontwikkeling of aanschaf van de IT-service rekening gehouden moet worden. Wij kunnen bijvoorbeeld denken aan principes van “runtime & enforcement” en “data in rest”, individu centrische dataverwerking en het toepassen van effectieve encryptie, applicatie-overschrijdende autorisatiemechanismen, continuous monitoring en aantoonbaar vaststellen van de effectieve werking van getroffen beheersmaatregelen gericht op het compliant zijn met wetgeving, overeenkomsten en bedrijfsbeleid.

Meer informatie en ondersteuning

Het optimaliseren van de compliance functie vraagt om draagvlak, kennis, zorgvuldige planning en effectieve middelen. Draagvlak binnen de organisatie tracht Duthler Associates te bewerkstelligen met een gerichte risico-inschatting (bedrijfsonderzoek), een toegankelijke businesscase en een plan van aanpak.

De bedrijfs-compliance functie ondersteunt Duthler Associates met smart compliance en als onderdeel hiervan smart contracting. Het primaire doel is: compliance met relevante wetgeving, contractafspraken en beleidseisen; secundair ontstaan de randvoorwaarden voor een effectieve en kostenefficiënte administratieve organisatie en interne beheersing.

In Duthler Academy delen de professionals van Duthler Associates graag hun kennis en ervaringen.

Duthler Associates voorziet in onderzoeks- en adviescapaciteit. Als het nodig is vult Duthler Associates graag de capaciteit aan met de inzet van professionals die meewerken aan een meer optimale compliance functie.