Wanneer is jouw compliance programma goed genoeg?

By Roland NotermansGeen categorieWith 0 comments

Vorig jaar april schreef ik twee nieuwsbrieven over het thema: wanneer is compliance awareness voldoende. Ook onze workshops over anti-corruptie behandelen het thema: wat is adequaat? Vorige maand publiceerde het Amerikaanse Ministerie van Justitie een lange lijst met vragen zodat elk bedrijf kan toetsen of het compliance programma goed genoeg is.

Uiteraard voegen zij daaraan toe dat het van de omstandigheden afhangt welke eisen moeten worden gesteld aan een compliance programma in een specifiek geval. Indien de overtreding al bij het Department of Justice bekend is en jullie organisatie wordt onderzocht, dan heb je hopelijk al de meeste van onderstaande onderwerpen geadresseerd in jouw eigen programma.
Aan de ene kant bevat de lijst met vragen niet heel veel nieuws, omdat vele daarvan zijn terug te vinden in eerdere publicaties van toezichthouders, in gerechtelijke uitspraken of in deferred prosecution agreements. Aan de andere kant is het een schokkerend lange, pittige lijst waaraan erg weinig Nederlandse bedrijven helemaal voldoen momenteel.

De belangrijkste reden om vandaag aandacht te geven aan de ruim zes pagina’s met tientallen vragen is dat deze lijst een beknopte, heldere opsomming geeft van onderwerpen om jouw eigen compliance programma tegen te benchmarken en wellicht sommige in jouw eigen meerjarenplannen op te nemen.

De publicatie adresseert de volgende categorieën (ik laat die hieronder even onvertaald):
* Analysis and Remediation of Underlying Misconduct
-Root Cause Analysis
-Prior Indications
-Remediation

* Senior and Middle Management
-Conduct at the Top
-Shared Commitment
-Oversight

* Autonomy and Resources
-Compliance Role
-Stature
-Experience and Qualifications
-Autonomy
-Empowerment
-Funding and Resources
-Outsourced Compliance Function

* Policies and Procedures: design and accessibility
-Designing Compliance Policies and Procedures
-Applicable Policies and Procedures
-Gatekeepers
-Accessibility

* Policies and Procedures: operational integration
-Responsibility for Integration
-Controls
-Payment Systems
-Approval/Certification Process
-Vendor management

* Risk Assessment

-Risk Management Process
-Information gathering and Analysis
-Manifested Risks

* Training and Communications
-Risk-Based Training
-Form/Content/Effectiveness of Training
-Communications about Misconduct
-Availability of Guidance

* Confidential Reporting and Investigation
-Effectiveness of the Reporting Mechanism
-Properly Scoped Investigation by Qualified Personnel
-Response to Investigations

* Incentives and Disciplinary Measures
-Accountability
-Human Resources Process
-Consistent Application
-Incentive System

* Continuous Improvement, Periodic Testing and Review
-Internal Audit
-Control Testing
-Evolving Updates

* Third Party Management
-Risk-Based and Integrated Processes
-Appropriate Controls
-Management of Relationships
-Real Actions and Consequences

* Mergers and Acquisitions
-Due Diligence Process
-Integration in the M&A Process
-Process Connecting Due Diligence to Implementation

 

Klik hier om de originele lijst met vragen te downloaden.