Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Organiseren van good governance en compliance

Bedrijfscompliance functie

De scope en reikwijdte van good governance & compliance bepalen in belangrijke mate de kerntaken van de bedrijfscompliance functie. De leiding kan kiezen voor een ruimere scope door de activiteiten ook te richten op het bevorderen van de effectiviteit en kostenefficiency van getroffen (en te treffen) beheers- en beveiligingsmaatregelen in sturende en operationele processen. Hiermee heeft de compliance functie een onderzoekende én een adviserende rol.

Enge opvatting

De enge opvatting van de taken van de compliance functie vinden wij in de op 1 april 2001 door DNB uitgevaardigde Regeling Organisatie en Beheersing (ROB). Artikel 69 ROB geeft als volgt weer: “De instelling beschikt over een onafhankelijke ‘compliance’-functie voor het toezicht op de naleving van de interne normen, voorschriften en gedragsregels alsmede voor het toezicht op de realisatie van bijstellingen naar aanleiding van gesignaleerde tekortkomingen en gebreken”.

Ruime opvatting

Kiest de leiding voor een ruimer mandaat dan kunnen de werkzaamheden – in navolging van de wettelijke taken van de functionaris voor gegevensbescherming, artikel 37 – 39 Avg – van de bedrijfs-compliance functie er op hoofdlijnen als volgt uitzien:

  • De in de praktijk meest voorkomende wijze waarop bedrijven de inrichting, reikwijdte en bevoegdheden van de compliancefunctie vastleggen is in het compliance charter; een formele vastlegging. In het charter worden onafhankelijkheidsvereisten, vakbekwaamheid en taken van de compliance officer opgenomen. Het charter geeft aan hoe de organisatie het  stelsel van maatregelen heeft ingericht dat ervoor zorgt dat compliance- en integriteitsrisico’s aantoonbaar beheersbaar zijn;
  • De relevante bedrijfsactiviteiten geven richting aan het compliance programma. Het programma leidt tot: overzicht en inzicht in relevante wetgeving, gemaakte afspraken en beleidsdoelstellingen. Vervolgens geeft het programma overzicht in het verantwoordelijkheidsgebied, effectiviteit van getroffen beheersmaatregelen van en inzicht in de risico’s op non-compliance. In het (jaar)programma is een set van uitgebalanceerde onderzoeken opgenomen waarmee effectief en kostenefficiënt de beoogde compliance doelstellingen gehaald kunnen worden;
  • In vergelijking met de ruime taakopvatting – zoals wij die kennen bij wetgeving op het vlak van beschermen van persoonsgegevens – van de compliance functie, in het bijzonder de functionaris voor gegevensbescherming, zal de compliance officer de organisatie van advies dienen over het treffen van effectieve en kostenefficiënte beheers- en beveiligingsmaatregelen. Met deze rol kan de compliance functie toegevoegde waarde bieden aan de organisatie.
    In projecten gericht op het optimaliseren van interne processen kan de compliance medewerker taken van interne controle vervullen; en
  • De compliance functie verzorgt de onderbouwing van de af te leggen verantwoording aan het maatschappelijk verkeer. Hiermee wordt een basis geleverd aan good governance.

Opvatting van compliance

Het invullen van de compliance functie is beperkt gebonden aan wettelijke vereisten. In de financiële sector zijn functiescheidingen vereist om de onafhankelijkheid te borgen. Bij gegevensbescherming is een praktische benadering gekozen. Het gaat bij het organiseren van compliance meer om opvattingen. Zie “Aanpak optimaliseren van de compliance functie”.

Let op: de functionaris voor gegevensbescherming is een wettelijk aan te stellen functionaris. De compliance officer is dat niet, maar wordt vaak wel door een toezichthouder afgedwongen.

Integrale compliance is een randvoorwaarde voor een effectieve en kostenefficiënte bedrijfsvoering

De leiding van elke organisatie wenst compliant te zijn met wetgeving, gemaakte afspraken en beleidsdoelstellingen. Intern is overzicht en inzicht in het eisenpakket nodig; extern gaat het om een integrale verantwoording. Op basis van onze ervaringen wenst een organisatie een integrale compliance functie die de grondslag moeten realiseren voor het voldoen aan de verantwoordingsplicht aan het maatschappelijk verkeer (inclusief zoveel mogelijk toezichthouders). Zie: “verantwoorden aan het maatschappelijk verkeer”.

De sector- of bedrijfsspecifieke juridische modellen worden uitgewerkt in sector- of bedrijfsspecifieke baselines die gebruikt worden de effectiviteit van de getroffen beheers- en beveiligingsmaatregelen te beoordelen én desgewenst te vervangen. Het gaat erom dat de bedrijfsactiviteiten effectief en kostenefficiënt georganiseerd worden/ zijn. Dat wil zeggen dat er sprake is van “compliance by design” en “compliance by default”.

Sommige wetgeving stelt aan “compliance by design” expliciete en strenge eisen. De compliance medewerker zal deze eisen toevoegen aan het bestek van de toe te passen beheers- en beveiligingsmaatregelen. Hierbij wordt rekening gehouden met de bedrijfsdoelstellingen van de organisatie. Als het gaat om gegevensbescherming zullen DPIA’s uitgevoerd moeten worden. Zie: “DPIA”.

Beheers- en beveiligingsmaatregelen

Op verschillende niveaus in de organisatie worden beheers- en beveiligingsmaatregelen genomen. Wij volgen de SIVA-methode.

  • Besturende processen, governance & compliance
    De leiding van een organisatie formuleert beleid en houdt daarbij rekening met wettelijke eisen en gemaakte en te maken afspraken. Voor het realiseren van beleid worden taken gedelegeerd aan het uitvoerende niveau, risico’s op niet (tijdig) realiseren van de taken gemonitord en bijgestuurd. Uiteindelijk legt de leiding verantwoording af over het uitgevoerde beleid aan het maatschappelijk verkeer;
  • Uitvoerende processen
    Het managen van bedrijfsactiviteiten wordt door de leiding gedelegeerd aan de uitvoerende organisatie. De bedrijfsactiviteiten worden uitgewerkt in bedrijfsprocessen en de activiteiten worden door medewerkers uitgevoerd. In een proces plan – plan do check act – worden de resultaten van de activiteiten gemonitord en indien nodig bijgestuurd;
  • Controlerende processen
    Op het controlerende niveau kunnen wij de compliance functie positioneren. Risico’s op non-compliance worden in kaart gebracht en met het management van het uitvoerende niveau besproken. Periodiek wordt verslag uitgebracht aan het besturende niveau.

Vanuit verschillende perspectieven worden passende beheersmaatregelen voor het organiseren van de bedrijfsactiviteiten genomen met als doel compliant te zijn met wetgeving, gemaakte afspraken en beleidsdoelen. De samenhang tussen de perspectieven vormen een regelkring van formuleren van doelen & delegeren van taken, uitvoeren van taken en uitoefenen van interne controle en afleggen van verantwoording.

Wat kunnen wij voor u doen?

Wij kunnen op verschillende posities worden ingezet. De meeste toegevoegde waarde ontstaat als een organisatie heeft gekozen voor een ruime taakopvatting van de compliance functie.

Wij zijn in staat de betekenis van de compliance functie voor de organisatie te vergroten met:

  • Sectorspecifieke juridische modellen die gebruikt kunnen worden om bedrijfsspecifiek te maken en toe te passen bij de beleidsvorming. Zie “Juridische modellen en normenkaders” ;
  • Overzicht creëren in het verantwoordelijkheids- en aansprakelijkheidsdomein van de organisatie. Zie “Legal Entity Management”;
  • Smart contracting;
  • Trainingen en opleidingen; en
  • Professionele dienstverlening.