Voldoet uw risk- en compliance management?

Verantwoordelijk of accountable zijn voor het organiseren van compliance met wettelijke, beleidsmatige en contractuele verplichtingen staat centraal bij de bedrijfscompliance functie. De bevindingen uit de risk- en compliance onderzoeken voeden de onderbouwing van de bedrijfscompliance. Het doel van het (IT-) riskmanagement is adequaat reageren op kwetsbaarheden in de administratieve en technische organisatie die de bedrijfscontinuïteit bedreigen. Het doel van de bedrijfscompliance functie is de bedrijfsleiding in staat te stellen verantwoording af te leggen op basis van baselines waarin de eisen van eigen beleid, contractuele – en wettelijke verplichtingen zijn opgenomen.

De verantwoording vormt een begin punt voor het verbeteren van het organiseren van de bedrijfsactiviteiten.

Onder druk van nieuwe wetgeving en hiermee samenhangend toezicht door bevoegde toezichthouders neemt de toezicht- of compliance-last toe. Ook ketenpartners eisen steeds vaker dat aantoonbaar aan de wet en afspraken wordt voldaan. Bedrijven met enige omvang zijn gewend aan de compliance-druk. Voor bedrijven met een bescheiden omvang is deze druk nieuw. Zij ervaren dat veelal als knellend.

Hoe kunnen wij u helpen?

Heeft u vragen over het organiseren, implementeren of uitbouwen van uw bedrijfs(compliance) functie? Onze service-eigenaar, Caroline Willemse AA RE RFG of haar collega’s, bespreken graag uw specifieke casus.

Wat is onze dienstverlening?

Het organiseren van de compliancefunctie is ons primair aandachtsveld. Uiteraard beleidsmatig, zoals wij dat bijvoorbeeld voor MYOBI hebben gedaan met een (wettelijke) verantwoordingsplicht, vanuit een tactisch en operationeel perspectief het organiseren van compliance met beleidsmatige, wettelijke en contractuele verplichtingen.

Het organiseren van riskmanagement zetten wij thematisch op. Het kan een onderdeel zijn van de bedrijfsjuridische functie, reputatiemanagement of en IT-riskmanagement. Steeds gaat het er om de kwetsbaarheden en de daarmee samenhangende bedrijfsrisico’s te signaleren, te inventariseren en passende beheersmaatregelen treffen. Wij zien een groeiende vraag naar IT-riskmanagement nu bedrijven hun IT behoefte naar de cloud brengen en het beheer uitbesteden aan IT-bureaus.

Tijdens het uitvoeren van de compliance werkzaamheden adviseren wij graag over verbeterpunten in de administratieve organisatie en interne controle, het beschermen van bedrijfs- en persoonsgegevens en het effectiever organiseren van bedrijfsactiviteiten met behulp van bedrijfsprocessen waarin beheers- en beveiligingsmaatregelen “by design” zijn opgenomen.

Ervaart de bedrijfsleiding compliance-inspanningen als een last of kostenpost, dan ontwikkelt de (bedrijfs)compliance functie zich moeizaam. Onderkent de bedrijfsleiding dat de functie een bijdrage kan leveren aan de continuïteit van de bedrijfsvoering, dan ontstaat er toegevoegde waarde.

Blogs over risk & compliance management

  • Recht op uw zelfverdediging door IT-risicomanagement te organiseren

    Door: Caroline Willemse Inleiding Bedrijven krijgen steeds meer te maken met aanvallen op hun netwerk. Vaak bedoeld om de bedrijfs- en persoonsgegevens te gijzelen om het betalen van losgeld af te dwingen. Als het bedrijfsgeheimen betreft kan het bedrijf zijn unieke positie in de markt verliezen. Persoonsgegevens die in onbevoegde handen komen is per definitie een datalek en tast

    20 oktober 2022
  • Welk volwassenheidsniveau heeft u in 2022 en 2023?

    Campagne verantwoorden Op dit moment benaderen wij bedrijven die aangesloten zijn bij het MYOBI Vertrouwensnetwerk. Bedrijven die deelnemen aan het vertrouwensnetwerk hebben een grote gemene deler: de ambitie en de wil om bedrijfs- en persoonsgegevens te beschermen. En met deze wil, de ondersteuning door MYOBI en het uitspreken naar elkaar op welk volwassenheidsniveau je bent, wordt gewerkt aan

    12 oktober 2022
  • Het verhaal van de ezel en de steen – de lessen van een ransomware aanval

    Door: Caroline Willemse Waarom Luister: André Hazes – Waarom – YouTube Steeds vaker worden bedrijven aangevallen door cybercriminelen waarna zij pas weer bij hun gegevens kunnen komen nadat losgeld is betaald. Hoewel het betalen van losgeld wordt ontmoedigd, heeft een bedrijf vaak geen andere keus. Immers, de continuïteit van het bedrijf loopt ernstig gevaar als

    23 september 2022
  • Het belang van riskmanagement voor de continuïteit van de bedrijfsvoering

    Door: Caroline Willemse en André Biesheuvel Aanleiding Riskmanagement beschouwen wij als een proces van het identificeren, het beoordelen en het nemen van passende maatregelen gericht op het borgen van de continuïteit van de bedrijfsvoering. Elke organisatie kent risicogebieden waarin riskmanagement nodig is. De risicogebieden kunnen betrekking hebben op strategische, financiële, juridische of administratief organisatorische thema’s.

    18 september 2022

Veelgestelde vragen

Er is geen eenduidige definitie van compliance voorhanden. In de financiële sector is de rol van compliance officer uitgewerkt en is het doel van compliance vast te stellen dat voldaan wordt aan wet- en regelgeving.

Wij zien en voorziet van meer en meer nieuwe (Europese) wetgeving met compliance-arrangementen. De subjecten, veelal de bedrijven en de bedrijfsleiding, zijn verantwoordelijk voor het organiseren van compliance met wettelijke en contractuele verplichtingen. Zij moeten over de (mate van) compliance verantwoording afleggen. Hiermee worden de toezichtslasten bij de subjecten neergelegd.

Naarmate deze wetgeving met compliance-arrangementen doorgezet wordt, is er bij bedrijven – onafhankelijk van omvang en type – behoefte aan een praktische, integrale en effectieve compliance-aanpak.

Wij passen een dergelijke compliance-aanpak bij bedrijven toe.

Een bedrijf dat verantwoordelijkheid neemt – en de verantwoording uitdraagt – voor het realiseren van haar eigen missie en visie of haar beleid wint aan vertrouwen bij haar partners (klanten, medewerkers en leveranciers). Het versterkt haar reputatie.

Neen, het organiseren van een integrale compliance-aanpak kan op een traditionele wijze georganiseerd worden. Voor het organiseren van een effectieve bedrijfscompliance functie is gebruikmaken van het vertrouwensnetwerk wel aan te bevelen. De basis voor een effectieve bedrijfscompliance functie zijn betrouwbare bedrijfs- en persoonsgegevens.

Wij omschrijven een baseline als een overzicht met beheersdoelstellingen die een bedrijf wenst te behouden of te bereiken. Hierbij worden de maatregelen (per volwassenheidsniveau) genoemd, waardoor een bedrijf kan meten of de doelstelling is behaald en zonodig kan bijsturen.

De baselines zijn gebaseerd op algemene normenkaders zoals ISO en NEN (good practices) en wettelijke kaders zoals de AVG. Baselines kunnen bedrijfsspecifiek gemaakt worden door ze aan te vullen met doelstellingen van het bedrijf en contractuele rechten en verplichtingen.

Een baseline kan ook specifiek voor een bedrijfsactiviteit worden opgesteld, bijvoorbeeld een baseline met functionele en non-functionele specificaties voor de inkoop van een toepassing in de cloud of de aankoop van een IT-systeem.

Wij onderkennen geen verschil:

  • Registeraccountants, belast met de audit van de financiële verantwoordingen, gebruiken het begrip ‘administratieve organisatie en interne controle’. Wetgevers en toezichthouders gebruiken het begrip ‘compliance (met wetgeving)’ voor verantwoordelijk zijn voor het organiseren van compliance met wettelijke en contractuele verplichtingen.
  • Operationeel, als onderdeel van het effectief organiseren van bedrijfsactiviteiten met bedrijfsprocessen waarin beheersmaatregelen zijn opgenomen, spreken medewerkers van bedrijven veelal over interne beheersing.

Wij kunnen contractmanagement beschouwen als een bijzondere vorm van compliance. Een bedrijf maakt afspraken met haar partner over het leveren van een prestatie tegen betaling. Partijen wensen dat over en weer de verplichtingen worden voldaan zoals is afgesproken. In termen van compliance kan er door de partners een baseline worden afgesproken waaraan een ieder zich houdt.

Bedrijven brengen hun IT-behoeften naar de cloud. Veelal maken de bedrijven gebruik van de clouddiensten van Microsoft, Amazon en of Google (het is een gemis dat er geen Europese aanbieders in dit rijtje staan). Bedrijven wijzen voor het beheer van hun cloud tenant (gehuurde IT-omgeving) IT-bureaus aan en besteden vervolgens te weinig tijd aan (IT-) risk- en compliance-management waardoor het borgen van de bedrijfscontinuïteit en het behalen van de beloofde toegevoegde waarde in gevaar komt.

Het beleidsmatig afspreken en organisatorisch beleggen van bedrijfscompliance functie is een noodzakelijke randvoorwaarde voor succes. De praktische implementatie in de organisatie vinden wij in risk- en compliance management waarbij de cloudleveranciers effectieve IT-tools beschikbaar stellen.

Riskmanagement is gericht op het onderkennen van kwetsbaarheden die impact hebben op bedrijfsrisico’s, inventariseren en treffen van effectieve beheers- en beveiligingsmaatregelen waarmee het bedrijf haar bedrijfscontinuïteit borgt.

Compliance management richt zich op het vaststellen van het compliant zijn met beleidsmatige, wettelijke en contractuele verplichtingen.

Heeft u vragen of behoefte aan een afspraak?

Neem gerust contact met ons op via +31 (0) 70 392 22 09 of info@duthler.nl. Of neem hieronder contact op met onze specialisten.