Vaatimustenmukaisuus tarkoittaa "sääntöjen noudattamista" - riippumatta siitä, millainen sääntö on kyseessä ja kuka sen laatii. Sääntöjen rikkomisesta yrityksen ylin johto on suoraan vastuussa. Organisaatioiden on siksi päätettävä, ottavatko ne käyttöön yritysten välisen vaatimustenmukaisuuden hallintajärjestelmän (CMS) sääntöjen noudattamisen varmistamiseksi. Mutta se ei lopu tähän. Miten CMS:n tehokkuus tarkalleen ottaen todennetaan?
Loading...
Pienten ja keskisuurten yritysten (pk-yritysten) vaatimustenmukaisuuden hallinnassa vaatimustenmukaisuuden hallintajärjestelmän (CMS) suunnittelu ja täytäntöönpano voi ensi näkemältä vaikuttaa aikaa vievältä taloudelliselta taakalta mille tahansa yritykselle. Jos kuitenkin katsoo syvemmälle, löytää mielenkiintoisia näkökulmia: johtoelimen tukemana, mutta myös sisäisten ja ulkoisten tarkastajien suorittaman CMS:n asianmukaisuuden ja tehokkuuden tarkastuksen avulla, sääntöjen noudattamisen kulttuuri kasvaa kestävästi ja avaa mahdollisuuden lisätä yrityksen menestystä ja siten kasvattaa yrityksen arvoa.
Mitkä ovat tärkeimmät motiivit CMS:n perustamiselle?
Suurin osa pk-yrityksistä pitää vastuun välttämistä ja korruption ehkäisemistä tärkeimpinä motiiveina CMS-järjestelmän perustamiselle. Yhä tärkeämpiä ovat kuitenkin myös liikekumppanien vaatimukset ja maineen suojaaminen. Korruptio, kilpailulainsäädännön rikkomukset ja tietosuoja ovat säännöllisesti tärkeimpien vaatimustenmukaisuuteen liittyvien kysymysten listan kärjessä. Muita tärkeimpiä kysymyksiä ovat työ- ja sosiaaliset normit yrityksessä.
Toisaalta pk-yritykset pelkäävät vaatimustenmukaisuuteen liittyvää lisätaakkaa organisaatiolle niin sanotun vaatimustenmukaisuusbyrokratian muodossa. Pk-yrityksiä koskevan järkevän lähestymistavan on siksi poikettava merkittävästi suuryritysten lähestymistavasta.
Vaarojen tunnistaminen
Ensinnäkin on tärkeää, että yritys selvittää itselleen yksittäiset vaatimustenmukaisuuteen liittyvät vaaratekijät riskianalyysin avulla. Vain näillä tärkeillä tunnistetuilla riskialueilla olisi sitten tarkistettava ja tarvittaessa täydennettävä olemassa olevia säännöksiä ja käyttäytymismalleja. Esimerkiksi: Yritykset voivat ensin tarkastella, onko yrityksen kriittiset osa-alueet (esim. tietosuoja henkilöstöhallinnossa) tai yksittäiset vaatimustenmukaisuuden tyypit, esimerkiksi työterveyteen ja -turvallisuuteen liittyvien lakisääteisten velvoitteiden noudattaminen, katettu. Toisin sanoen: Noudattamistoimenpiteet ovat viime kädessä järkeviä ja tarpeellisia, jos ne perustuvat juuri tähän riskinarviointiin.
Vaatimustenmukaisuuden hallinta pk-yrityksissä: Asiaankuuluvat standardit
Huhtikuussa 2021 julkaistavasta standardista ensimmäisenä mainittava standardi on tietenkin ISO 37301:2021-04. Standardissa muotoillaan vaatimustenmukaisuuden hallintajärjestelmiä koskevat vaatimukset ja soveltamisohjeet. Standardi on saatavissa Beuthilta. Tällä välin ISO 19600:2016-12 (Compliance management systems - Guidelines) on vedetty pois käytöstä.
ISO 31000:2018-10 on myös kiinnostava riskilähtöisyyden näkökulmasta. Standardissa esitetään ohjeita yritysten kohtaamien riskien käsittelyyn. Standardi on saatavissa Beuthilta.
Auditoinnit tehokkuuden varmistamiseksi?
Varsinkin laillisten edustajien johtamisvelvollisuuden kannalta on varsinaisen CMS:n rinnalle asetettava jatkuva vaikuttavuustarkastus. Syynä tähän on oikeuskäytäntö. Tällöin johdon on täytettävä kaksi tehtävää osana valvontavelvollisuuttaan: Yhtäältä sen on valvottava niitä toimenpiteitä, jotka yrityksessä on toteutettu säännösten noudattamisen varmistamiseksi. Toiseksi sen on valvottava kriittisesti niiden tehokkuutta - ja se on tehtävä säännöllisesti eikä vain tapauskohtaisesti. Tämä velvollisuus koskee sekä osakeyhtiöiden hallituksen jäseniä että osakeyhtiöiden toimitusjohtajia.
"Riippumattoman kolmannen osapuolen suorittama CMS:n tehokkuusarviointi on objektiivinen todiste siitä, että valvontavelvoitteet on täytetty."
Seurannan tarkoituksena on varmistaa, että CMS:n toteutetut periaatteet (käyttäytymisohjeet, toimintaperiaatteet jne.) ja toimenpiteet (koulutus, valvonta jne.) soveltuvat CMS:n määrittelemien sääntörikkomusten ehkäisemiseen, merkittävään estämiseen tai oikea-aikaiseen havaitsemiseen. CMS:n tehokkuutta voidaan tarkistaa sisäisillä ja ulkoisilla tarkastuksilla:
- Tehokkuuden seuranta sisäisten tarkastusten avulla: Järjestelmän sisäistä valvontaa kutsutaan "sisäiseksi valvonnaksi". Tämä valvonta on olennainen osa CMS:ää, jota voidaan kutsua myös laadunhallinnaksi (QM). Laadunhallintaan kuuluvat siis kaikki toimenpiteet, jotka edistävät valmistelevasti, täydentävästi ja jatkojalostuksellisesti ennalta määritellyn laadun luomista tai ylläpitämistä CMS:ssä.
- Tehokkuuden seuranta ulkoisen valvonnan avulla: Järjestelmän ulkopuolisesta valvonnasta käytetään nimitystä "tarkastus" tai "auditointi". Tässä seurantamuodossa tarkastava yksikkö on riippumaton järjestelmästä eikä osallistu sen todellisen tilan aikaansaamiseen. Riippumattomuudesta on etua. CMS-järjestelmän tarkastavat ulkopuoliset tarkastajat (esim. lakimiehet, tilintarkastajat, DQS:n kaltaiset akkreditoidut sertifioijat tai muut ulkopuoliset asiantuntijat).
Säännölliset tarkistukset - Hyvin suunniteltu
Järjestelmästä riippumattomien tarkastusten tehokkuuden varmistamiseksi tarkastusvälien tulisi olla hyvin suunniteltuja. Uudelleentarkastelu voi olla hyödyllistä aina, kun CMS-järjestelmä otetaan vasta käyttöön. Lisäksi ulkoiset tarkastukset olisi toistettava säännöllisesti 3-5 vuoden välein. Satunnaisia tarkastuksia tehdään sen jälkeen, kun sääntöjen noudattamista koskevia rikkomuksia on havaittu. Kuitenkin myös vakiintuneen CMS-järjestelmän yhteydessä on yhä ilmeisempää, että säännöllisiä tarkastuksia pidetään tosiasiallisesti pakollisina. Prosessiin liittyvien tarkastusten lisäksi CMS-järjestelmien suunnittelua, riittävyyttä ja tehokkuutta olisi tarkasteltava säännöllisesti, ja riippumattomia järjestelmätarkastuksia tai sertifiointeja olisi mieluiten tehtävä kerran vuodessa ja vähintään kolmen vuoden välein.
Vaatimustenmukaisuustarkastusten edut
Pk-yritysten vaatimustenmukaisuuden hallinnassa vaatimustenmukaisuustarkastuksista voidaan yleensä odottaa lisäarvoa seuraavasti:
- Nykyisten prosessien optimointi
- CMS-järjestelmän heikkouksien havaitseminen
- CMS:n tehokkuuden ja vaikuttavuuden lisääminen
- Nykyaikaisten standardien käyttöönotto
- sääntöjen noudattamisen kulttuurin vakiinnuttaminen
- Kilpailukyvyn lisääminen
- Operatiivisen liiketoiminnan turvallisuus
- Yrityksen kestävän menestyksen turvaaminen
- Yrityksen arvon kasvattaminen
Oikea tilintarkastaja - Tärkein päätöksentekokriteeri:
CMS-järjestelmän tehokkuusauditointiin liittyy monialaisia vaatimuksia.
Siksi tarkastajan ammatillisen asiantuntemuksen on oltava etusijalla.
→ Tarkastajalla on esimerkiksi oltava asiaankuuluvaa oikeudellista ja liiketoiminnallista tietämystä sekä alan kokemusta .
→ Tilintarkastajan riippumattomuus on taattava (riippumattomuus tosiasioissa, mutta myös julkisuuden kannalta riippumattomuus näennäisesti).
→ Lopuksi on tärkeää, että tilintarkastajalla on hyvä maine markkinoilla.
→ Esimerkki vakiintuneista auditointi- ja sertifiointistandardeista on esimerkiksi IDW:n auditointistandardi "Principles of Proper Auditing of Compliance Management Systems" (IDW PS 980).
→ CMS-järjestelmän ulkoisten auditointien tuloksia voidaan käyttää auditoidun CMS-järjestelmän "sertifiointiin". Myönnettävä todistus on ulkoinen todiste siitä, että CMS-järjestelmä on määriteltyjen vaatimusten mukainen. Siinä määritellään todistuksen voimassaoloaika ja soveltamisala, tarkastuskohde ja tarkastusmenettely (tarkastuksen kohde, tyyppi ja laajuus) sekä tarkastuselimen riippumattomuutta ja pätevyyttä koskevat vaatimukset ("akkreditointi").
Loading...
More about compliance audits by DQS
- Yrityksesi vaatimustenmukaisuusriskien pätevä analyysi
- Lainsäädännön järjestelmällinen noudattaminen
- Vastuuriskien tehokas vähentäminen
- Parempi yrityskuva
Johtopäätös
Tehokkaan ja taloudellisen vaatimustenmukaisuuden hallintajärjestelmän hallinnointia voidaan tukea ja kehittää edelleen myös ulkoisella tarkastuksella. Tilintarkastaja tukee yrityksen johtoa säännösten noudattamisen kulttuurin luomisessa ja vakiinnuttamisessa.
Edellytyksenä on ulkopuolisen asiantuntijan tunnollinen valinta. Ylivoimaisten vertailumahdollisuuksien, muista yrityksistä saadun kokemuksen ja neutraalina kolmantena osapuolena omaksutun näkemyksensä ansiosta hänen on pystyttävä olemaan arvokas keskustelukumppani. On myös tärkeää valita sopiva säännöstö ulkoisen tarkastuksen pohjaksi.
DQS: Simply leveraging Quality.
DQS on kansainvälisesti tunnustettu johtamisjärjestelmien ja -prosessien sertifioija, joka auditoi yli 30 000 auditointipäivää vuodessa. Vaatimuksemme alkaa siitä, mihin auditointitarkastuslistat päättyvät: Usko meitä sanoissamme! Odotamme innolla keskustelua kanssasi ja näytämme mielellämme, mihin auditointiemme suorituskyky ja laatu perustuvat, jotka ovat:
- Asiantuntevat tarkastajat, joilla on rehellisyyttä ja alan kokemusta
- Räätälöidyt ratkaisut, jotka soveltuvat organisaatiollesi ja johtamisjärjestelmällesi
- Mahdollisten heikkouksien ja riskien kohdennettu tunnistaminen
- Objektiiviset, ymmärrettävät tulokset ja merkittävät päätöksenteon apuvälineet
- Kansainvälisesti tunnustetut sertifikaatit, joilla on korkea markkinahyväksyntä
- Auditoinnin/analyysin tulosten seuranta, mukaan lukien toteutettujen toimenpiteiden tehokkuuden tarkastaminen
- Kriteeriluetteloiden ja arviointijärjestelmien yksilöllinen kehittäminen ja luominen
Loading...
Do you have any questions?
Ota meihin yhteyttä - sitoumuksetta ja maksutta.
DQS uutiskirje
Pysy ajan tasalla ja tilaa uutiskirjeemme!
Kirjoittaja
Viola Beecken
Viola Beecken is an auditor and tax consultant with her own office in Hamburg, Germany, as well as an auditor of DQS for the auditing standard IDW PS 980 "Principles of proper auditing of compliance management systems". Furthermore, she is active in the field of quality assurance systems for auditors ("Peer Review") and tax consultants (ISO 9000:2015).
Loading...