Voldoet uw risk- en compliance management?
Verantwoordelijk of accountable zijn voor het organiseren van compliance met wettelijke, beleidsmatige en contractuele verplichtingen staat centraal bij de bedrijfscompliance functie. De bevindingen uit de risk- en compliance onderzoeken voeden de onderbouwing van de bedrijfscompliance. Het doel van het (IT-) riskmanagement is adequaat reageren op kwetsbaarheden in de administratieve en technische organisatie die de bedrijfscontinuïteit bedreigen. Het doel van de bedrijfscompliance functie is de bedrijfsleiding in staat te stellen verantwoording af te leggen op basis van baselines waarin de eisen van eigen beleid, contractuele – en wettelijke verplichtingen zijn opgenomen.
De verantwoording vormt een begin punt voor het verbeteren van het organiseren van de bedrijfsactiviteiten.
Onder druk van nieuwe wetgeving en hiermee samenhangend toezicht door bevoegde toezichthouders neemt de toezicht- of compliance-last toe. Ook ketenpartners eisen steeds vaker dat aantoonbaar aan de wet en afspraken wordt voldaan. Bedrijven met enige omvang zijn gewend aan de compliance-druk. Voor bedrijven met een bescheiden omvang is deze druk nieuw. Zij ervaren dat veelal als knellend.
Een overzicht van onze dienstverlening
Ervaart de bedrijfsleiding compliance-inspanningen als een last of kostenpost? Dan ontwikkelt de (bedrijfs)compliance functie zich moeizaam. Onderkent de bedrijfsleiding dat de functie een bijdrage kan leveren aan de continuïteit van de bedrijfsvoering? Dan ontstaat er toegevoegde waarde.
Bekijk hieronder onze dienstverlening op het gebied van riskmanagement en compliance.
Nulmeting op uw (bedrijfs)compliance functie
Tijdens een nulmeting gaan wij de volgende punten na: ‘wat is de status van de (bedrijfs)compliance functie?’ ‘Sluit het risk- en compliancemanagement aan op de bedrijfsactiviteiten en wat zijn de knel- en verbeterpunten?’ ‘Hoe kan het risk- en compliancemanagement effectiever georganiseerd worden en wat levert dat op?’
Managen van (bedrijfsspecifieke) baselines
De bedrijfsleiding maakt gebruik van een scala aan samenhangende algemeen geaccepteerde en bedrijfsspecifieke baselines en specificaties. Nieuwe en nadere uitleg van wetgevings-, beleids- en contractverplichtingen alsmede verbeterende beheersmaatregelen geven aanleiding baselines regelmatig aan te passen. Onder de verantwoordelijkheid van het management vallen zowel de “statische” baselines als het compliance-proces.
IT-Riskmanagement in de Cloud
Bedrijven maken steeds meer gebruik van clouddiensten. Terecht want de cloud biedt veel voordelen voor bedrijven. De directe verantwoordelijkheden verschuiven maar het bedrijf behoudt de eindverantwoordelijkheid en loopt derhalve risico’s in de verlengde keten. Ongeacht de cloudlaag die wordt afgenomen, is het bedrijf altijd verantwoordelijk voor het toekennen van bevoegdheden, het beheer van gegevens en het gebruik van devices in het netwerk.
IT-Compliance in de Cloud
De cloud biedt goede mogelijkheden om compliance uit te voeren. Hierbij kan geautomatiseerd vastgesteld worden dat aan diverse normenkaders wordt voldaan. De compliance officer biedt hierbij sturing en ondersteuning.
Interne beheersing
Periodiek stelt een bedrijf de effectieve werking vast van getroffen beheers- en beveiligingsmaatregelen in systemen die bedrijfsprocessen ondersteunen en waarmee de bedrijfsactiviteiten zijn georganiseerd. Bij de compliancewerkzaamheden helpen de baselines de medewerker of professional een inschatting te maken van het volwassenheidsniveau van de beheersing. De beheersmaatregelen zijn te organiseren “by design” in systemen of worden uitgevoerd door medewerkers.
Contractmanagement en compliance
Het continue vaststellen van compliance met contractuele verplichtingen en in voldoende mate benutten van de rechten kunnen wij zien als een bijzondere vorm van compliance. In de contractlevenscyclus heet het contractmanagement. Gezien de voortrekkersrol van onze professionals bij het organiseren van een effectieve bedrijfsjuridische functie besteden wij hier speciale aandacht aan.
Trainingsprogramma risk- en compliance management
Het toepassen van risk- en compliance management vraagt van de bedrijfsleiding, het afdelingsmanagement en medewerkers aandacht voor het uitvoeren van de werkzaamheden. De meeste medewerkers zullen zich afvragen waarom risk- en compliance management nodig is en wat de toegevoegde waarde voor het bedrijf, de afdeling en de medewerker is. Bewustwordings- en trainingsprogramma’s zijn nodig om de kennis over compliance over te brengen alvorens zij hier tijdens hun dagelijks werk een goede invulling aan kunnen geven.
Risk- en compliance ondersteuning op afroep
Wij ondersteunen bedrijven met kennisbanken, webinars, en opleidingen zodat een bedrijf in staat is de bedrijfscompliance functie zelf te organiseren. Is toch hulp nodig, bijvoorbeeld wegens gebrek aan capaciteit, dan kan een bedrijf een beroep doen op één van onze compliance-professionals.
Opstellen van een passende businesscase
Het organiseren van de bedrijfscompliance functie kan slechts succesvol zijn als er sprake is van voldoende toegevoegde waarde voor het bedrijf, de afdeling en de medewerkers. Bij elke stap is er een businesscase nodig met inkomsten- en kostenstromen.
Veelgestelde vragen
Wat is de (bedrijfs)compliance functie?
Er is geen eenduidige definitie van compliance voorhanden. In de financiële sector is de rol van compliance officer uitgewerkt en is het doel van compliance vast te stellen dat voldaan wordt aan wet- en regelgeving.
Wij zien meer en meer nieuwe (Europese) wetgeving met compliance-arrangementen. De subjecten, veelal de bedrijven en de bedrijfsleiding, zijn verantwoordelijk voor het organiseren van compliance met wettelijke en contractuele verplichtingen. Zij moeten over de (mate van) compliance verantwoording afleggen. Hiermee worden de toezichtslasten bij de subjecten neergelegd.
Naarmate deze wetgeving met compliance-arrangementen doorgezet wordt, is er bij bedrijven – onafhankelijk van omvang en type – behoefte aan een praktische, integrale en effectieve compliance-aanpak.
Wij passen een dergelijke compliance-aanpak bij bedrijven toe.Een bedrijf dat verantwoordelijkheid neemt – en de verantwoording uitdraagt – voor het realiseren van haar eigen missie en visie of haar beleid wint aan vertrouwen bij haar partners (klanten, medewerkers en leveranciers). Het versterkt haar reputatie.
Is het gebruik van MYOBI Vertrouwensnetwerk en toepassingen noodzakelijk voor het organiseren van een integrale compliance-aanpak?
Nee, het organiseren van een integrale compliance-aanpak kan op een traditionele wijze georganiseerd worden. Voor het organiseren van een effectieve bedrijfscompliance functie is gebruikmaken van het vertrouwensnetwerk wel aan te bevelen. De basis voor een effectieve bedrijfscompliance functie zijn betrouwbare bedrijfs- en persoonsgegevens.
Wat zijn baselines. Hoort daar ook een normenkader bij en functionele en non-functionele specificaties aan een IT-systeem?
Wij omschrijven een baseline als een overzicht met beheersdoelstellingen die een bedrijf wenst te behouden of te bereiken. Hierbij worden de maatregelen (per volwassenheidsniveau) genoemd, waardoor een bedrijf kan meten of de doelstelling is behaald en zonodig kan bijsturen.
De baselines zijn gebaseerd op algemene normenkaders zoals ISO en NEN (good practices) en wettelijke kaders zoals de AVG. Baselines kunnen bedrijfsspecifiek gemaakt worden door ze aan te vullen met doelstellingen van het bedrijf en contractuele rechten en verplichtingen. Een baseline kan ook specifiek voor een bedrijfsactiviteit worden opgesteld, bijvoorbeeld een baseline met functionele en non-functionele specificaties voor de inkoop van een toepassing in de cloud of de aankoop van een IT-systeem.
Wat is het verschil tussen het begrip ‘interne controle’, ‘compliance’ of ‘interne beheersing’?
Wij onderkennen geen verschil:
- Registeraccountants, belast met de audit van de financiële verantwoordingen, gebruiken het begrip ‘administratieve organisatie en interne controle’. Wetgevers en toezichthouders gebruiken het begrip ‘compliance (met wetgeving)’ voor verantwoordelijk zijn voor het organiseren van compliance met wettelijke en contractuele verplichtingen.
- Operationeel, als onderdeel van het effectief organiseren van bedrijfsactiviteiten met bedrijfsprocessen waarin beheersmaatregelen zijn opgenomen, spreken medewerkers van bedrijven veelal over interne beheersing.
Is contractmanagement ook een vorm van compliance?
Wij kunnen contractmanagement beschouwen als een bijzondere vorm van compliance. Een bedrijf maakt afspraken met haar partner over het leveren van een prestatie tegen betaling. Partijen wensen dat over en weer de verplichtingen worden voldaan zoals is afgesproken. In termen van compliance kan er door de partners een baseline worden afgesproken waaraan eenieder zich houdt.
Waarom het onderscheid tussen bedrijfscompliance functie, en risk- en compliance-management?
Bedrijven brengen hun IT-behoeften naar de cloud. Veelal maken de bedrijven gebruik van de clouddiensten van Microsoft, Amazon en of Google (het is een gemis dat er geen Europese aanbieders in dit rijtje staan). Bedrijven wijzen voor het beheer van hun cloud tenant (gehuurde IT-omgeving) IT-bureaus aan en besteden vervolgens te weinig tijd aan (IT-) risk- en compliance-management waardoor het borgen van de bedrijfscontinuïteit en het behalen van de beloofde toegevoegde waarde in gevaar komt.
Het beleidsmatig afspreken en organisatorisch beleggen van bedrijfscompliance functie is een noodzakelijke randvoorwaarde voor succes. De praktische implementatie in de organisatie vinden wij in risk- en compliance management waarbij de cloudleveranciers effectieve IT-tools beschikbaar stellen.
Riskmanagement is gericht op het onderkennen van kwetsbaarheden die impact hebben op bedrijfsrisico’s, inventariseren en treffen van effectieve beheers- en beveiligingsmaatregelen waarmee het bedrijf haar bedrijfscontinuïteit borgt.Compliance management richt zich op het vaststellen van het compliant zijn met beleidsmatige, wettelijke en contractuele verplichtingen.
Laatste nieuws
Recht op uw zelfverdediging door IT-risicomanagement te organiseren
Door: Caroline Willemse Inleiding Bedrijven krijgen steeds meer te maken met aanvallen op hun netwer…
Welk volwassenheidsniveau heeft u in 2022 en 2023?
Campagne verantwoorden Op dit moment benaderen wij bedrijven die aangesloten zijn bij het MYOBI…
Het verhaal van de ezel en de steen – de lessen van een ransomware aanval
Door: Caroline Willemse Waarom Luister: André Hazes – Waarom – YouTube Steeds vaker word…
Heeft u vragen of wilt u een afspraak maken?
Heeft u vragen over het organiseren, implementeren of uitbouwen van uw (bedrijfs)compliance functie? Onze service-eigenaar, André Biesheuvel of één van zijn collega’s, bespreekt graag uw specifieke casus.
