Ik ben een groot voorstander van heldere, pragmatische, eenvoudige en effectieve compliance programma’s. Lange (juridische) teksten en dikke handboeken werken volgens mij niet. Lees even verder, want de kans dat jij de vorige week gepubliceerde ISO 37301 standaard gaat lezen is waarschijnlijk niet groot. MAAR er is goed nieuws: zelfs in dergelijke publicaties staan heel waardevolle zaken waar wij als Compliance Professionals ons voordeel mee kunnen doen. Ik zet de hoogtepunten voor je op een rij vandaag.
Achtergrond:
De nieuwe standaard ISO 37301 vervangt sinds 13 april jl. de richtlijn ISO 19600 uit 2014 en is nu ook te auditen en certificeren. ISO 37301 beschrijft een ‘compliance management systeem’ (CMS) en geeft toelichtingen daarop (ik zou het liever een compliance programma noemen). Ook al gaan jullie deze ISO standaard nooit gedetailleerd doorvoeren, lees even verder want je kunt veel elementen gebruiken om te benchmarken of te anticiperen. Ook kun je in dit dokument argumenten vinden om meer steun en resources voor jouw eigen programma te krijgen.
Tip 1: Bestuur
Moet jouw Bestuur nog een beetje worden overtuigd? Deze standaard is glashelder over de verplichtingen die het Bestuur zelf heeft! Het Bestuur moet compliance in de dagelijkse operatie integreren; gewenst gedrag stimuleren; voldoende middelen vrijmaken; het grote belang van compliance communiceren; zorgen dat het programma effectief is en compatibel met de strategische doelen; zorgdragen dat disciplinaire maatregelen worden opgelegd bij overtredingen en e.e.a. vastleggen in een helder charter.
Tip 2: Raad van Commissarissen
De Raad van Commissarissen /Toezicht moet de Raad van Bestuur afrekenen op het behalen van compliance doelstellingen en toezicht houden op die Raad mbt de werking van het programma. In veel governance codes zagen we al eerder de verplichtingen van toezichthouders mbt integriteit, gedrag en cultuur (denk aan Principe 2.5 in de Corporate Governance Code, de Code Verzekeraars, de Zorgbrede Governancecode, De governancecode AEDES Woningcorporaties, enz).
Tip 3: Elke leidinggevende
Elke manager heeft extra verantwoordelijkheden op het gebied van compliance! Iedere leidinggevende moet actief, zichtbaar, duurzaam en consistent het programma uitdragen en de gewenste cultuur ondersteunen; ervoor zorgen dat zijn/haar teamleden zich compliant gedragen; hun awareness verhogen; risico’s identificeren en communiceren; voor een veilige cultuur zorgdragen om zorgen kenbaar te maken zonder represailles; en opgelegde sancties doorvoeren. Indien jullie de kans krijgen om jullie gedragscode te vernieuwen, neem dan al deze verplichtingen expliciet op!
Tip 4: HR
Ook de HR-afdeling krijgt een zware uitdaging: compliance naleving moet onderdeel worden van de jaarlijkse beoordelingen. Het Bestuur moet daartoe besluiten, HR zal daaraan opvolging moeten geven, want dit is een complexe taak waar HR regelmatig hard van wegrent, zo is mijn ervaring (KLIK HIER voor mijn eerdere blog hierover). Toch zie je een aantal multinationals dit in de praktijk zorgvuldig doorvoeren.
Tip 5: Jullie governance
Qua governance moet de compliance functie directe toegang hebben tot het Bestuur, onafhankelijk van de business kunnen opereren en voldoende autoriteit en competentie hebben. Deze elementen zagen we ook al heel duidelijk naar voren gebracht in de eisen die het Amerikaanse Ministerie van Justitie vorig jaar juni publiceerde mbt compliance programma’s (KLIK HIER voor dat blog).
Tip 6: Meldprocedures
De organisatie moet ervoor zorgen dat alle medewerkers zich compliant gedragen, trainingen volgen, hun zorgen (en vermoedens van overtredingen; rn) delen, de meldprocedure en de daaruit voortvloeiende rechten en bescherming kennen (géén represailles) en die procedure ook kunnen gebruiken. Meldingen moeten vertrouwelijk blijven (zo ook de nieuwe richtlijn bescherming Klokkenluiders, die in december van kracht moet worden in Europa). Ook anonieme meldingen moeten geaccepteerd worden!
Tot slot:
ISO standaarden volgen past niet bij mij, van elkaar leren wel. En van ontwikkelingen die zich gaan doorzetten. Deze standaard is gebaseerd op de Plan-Do-Check-Act cyclus en gaat natuurlijk de komende jaren ons compliance-denken mede beïnvloeden. Want certificering door accountants bestaat in het buitenland al jaren (denk aan de Duitse Pruefungsstandard 980). Gelukkig was al heel veel uit deze standaard in veel organisaties bekend en doorgevoerd, bij voorbeeld omdat zij de Amerikaanse of Britse toelichtingen bij sancties of wetgeving volgden, of op basis van eerdere Nederlandse publicaties.
Deze ISO standaard kan wellicht als een leidraad fingeren om af en toe je eigen compliance programma tegen te benchmarken en argumenten te lenen, indien nodig of handig, om je eigen directie te overtuigen. Want als dezelfde elementen terugkomen in publicaties in de USA, UK, Duitsland, Nederland en nu ISO……tsja 😊
