compliance-header-blog-säulen gerichtsgebäude

Compliance management in KMO's - noodzakelijk of optioneel?

Viola Beecken

DQS-auditor
mrt. 31 , 2022

Compliance betekent "zich aan regels houden" - ongeacht wat voor regel het is en wie die maakt. In geval van overtredingen is het topmanagement van de onderneming rechtstreeks aansprakelijk. Organisaties moeten daarom beslissen of ze een bedrijfsoverkoepelend compliance managementsysteem (CMS) willen implementeren om ervoor te zorgen dat de regels worden nageleefd. Maar daar houdt het niet op. Hoe controleert men precies de doeltreffendheid van een CMS?

Inhoud

Wat het compliance management in kleine en middelgrote ondernemingen (KMO's) betreft, kan het ontwerp en de handhaving van een compliance managementsysteem (CMS) op het eerste gezicht voor elke onderneming een tijdrovende economische last lijken te zijn. Wie echter dieper kijkt, vindt interessante perspectieven: gesteund door het bestuursorgaan, maar ook door een beoordeling van de geschiktheid en doeltreffendheid van het CMS door interne en externe auditors, groeit de compliance-cultuur duurzaam en opent zij de mogelijkheid om het bedrijfssucces te vergroten en zo de waarde van de onderneming te verhogen.

 

Wat zijn de belangrijkste redenen om een CMS op te zetten?

De meerderheid van de KMO's ziet het vermijden van aansprakelijkheid en het voorkomen van corruptie als de belangrijkste motieven om een CMS op te zetten. Maar ook eisen van zakenpartners en bescherming van de reputatie worden steeds belangrijker. Corruptie, inbreuken op het mededingingsrecht en gegevensbescherming staan regelmatig bovenaan de lijst van relevante compliance-kwesties. Andere toppunten zijn arbeids- en sociale normen in het bedrijf.

Anderzijds vrezen KMO's de extra belasting van de organisatie in verband met compliance in de vorm van zogeheten compliance-bureaucratie. Een verstandige aanpak voor de KMO zal daarom sterk moeten verschillen van die voor grote ondernemingen.

 

Identificeer de gevaren

In de eerste plaats is het belangrijk dat de onderneming zichzelf door middel van een risicoanalyse duidelijkheid verschaft over haar afzonderlijke compliance-gevaren. Alleen op deze belangrijke geïdentificeerde risicogebieden moeten vervolgens de bestaande voorschriften en gedragingen opnieuw worden bekeken en zo nodig worden aangevuld. Bijvoorbeeld: ondernemingen kunnen eerst nagaan of kritieke deelgebieden in de onderneming (bijvoorbeeld gegevensbescherming bij human resources) of afzonderlijke soorten compliance zijn afgedekt, bijvoorbeeld de naleving van wettelijke verplichtingen inzake gezondheid en veiligheid op het werk. Met andere woorden: Compliance-maatregelen zijn uiteindelijk redelijk en noodzakelijk als ze precies op deze risicobeoordeling zijn gebaseerd.

 

Compliance management in de KMO: relevante normen

De eerste norm die hier genoemd moet worden en die in april 2021 is gepubliceerd, is natuurlijk ISO 37301:2021-04. De norm formuleert eisen voor compliance managementsystemen met richtlijnen voor de toepassing. Inmiddels is ISO 19600:2016-12 (Compliance management systems - Guidelines) ingetrokken.

ISO 31000:2018-10 is ook interessant vanuit het oogpunt van risicogerichtheid. De norm geeft richtlijnen voor het omgaan met risico's waar bedrijven mee te maken krijgen.

 

Audits om de effectiviteit te waarborgen?

Juist met het oog op de beheersplicht van de wettelijke vertegenwoordigers moet naast het feitelijke CMS een continue effectiviteitsaudit worden geplaatst. De reden hiervoor ligt in de jurisprudentie. Hier moet de directie in het kader van haar toezichtsplicht twee taken vervullen: enerzijds moet zij de maatregelen controleren die in de onderneming zijn genomen om de naleving van de voorschriften te waarborgen. Ten tweede moet zij de doeltreffendheid ervan kritisch volgen - en wel regelmatig, niet alleen op ad hoc-basis. Deze verplichting geldt zowel voor bestuurders van naamloze vennootschappen als voor bestuurders van vennootschappen met beperkte aansprakelijkheid.

"De beoordeling van de doeltreffendheid van het CMS door een onafhankelijke derde is het objectieve bewijs dat aan de controleverplichtingen is voldaan."

Monitoring is bedoeld om te waarborgen dat de geïmplementeerde beginselen (gedragsrichtlijnen, beleid, enz.) en maatregelen (opleiding, controles, enz.) van het VSV geschikt zijn om overtredingen van regels, zoals omschreven in het VSV, te voorkomen, aanzienlijk te belemmeren, of tijdig op te sporen. De doeltreffendheid van het VSV kan worden gecontroleerd door middel van interne en externe controles:

  • Controle van de doeltreffendheid door middel van interne controles: toezicht dat intern is aan het systeem wordt "interne controle" genoemd. Deze controle is een essentieel onderdeel van een CMS, dat ook kan worden aangeduid als kwaliteitsmanagement (QM). QM omvat dus alle maatregelen die voorbereidend, begeleidend en nageschakeld bijdragen tot het tot stand brengen of handhaven van een vooraf bepaalde kwaliteit van het CMS.
  • Monitoring van de doeltreffendheid door middel van externe controles: het toezicht buiten het systeem wordt "onderzoek" of "audit" genoemd. Bij deze vorm van toezicht staat de controlerende instantie los van het systeem en is zij niet betrokken bij het tot stand brengen van de werkelijke toestand van het systeem. Dit heeft een voordeel in termen van onafhankelijkheid. Het CMS wordt gecontroleerd door externe auditors (bijvoorbeeld juristen, accountants, geaccrediteerde certificeerders zoals DQS of andere externe deskundigen).

Whitepaper

ISO 45001 - Veiligheid op de werkplek en naleving

  • Vier belangrijke verschillen tussen BS OHSAS en ISO 45001
  • Gerichte naleving van onderwerpen die relevant zijn voor OHS
  • Wat te doen bij niet-naleving?
  • Zeven stappen om ISO 45001 te implementeren
Download nu

Regelmatige evaluaties - goed gepland

Om de doeltreffendheid van systeemonafhankelijke beoordelingen te garanderen, moeten de tussenpozen goed worden gepland. Een evaluatie kan nuttig zijn wanneer een CMS nieuw wordt geïmplementeerd. Bovendien moeten externe audits om de drie tot vijf jaar op regelmatige basis worden herhaald. Occasionele herzieningen worden uitgevoerd nadat inbreuken op de naleving zijn vastgesteld. Maar zelfs met een gevestigd CMS wordt het steeds duidelijker dat regelmatige audits de facto als verplicht worden beschouwd. Naast procesgerelateerde controles moeten het ontwerp, de toereikendheid en de doeltreffendheid van de CMS's regelmatig worden geëvalueerd en moeten onafhankelijke systeemaudits of -certificeringen idealiter eenmaal per jaar en ten minste om de drie jaar plaatsvinden.

 

Voordelen van nalevingsaudits

Wat het compliance management in KMO's betreft, kan over het algemeen de volgende toegevoegde waarde van compliance audits worden verwacht:

  • Optimalisering van bestaande processen
  • Waarneming van zwakke punten in het CMS
  • Verhoging van de efficiëntie en effectiviteit van het CMS
  • Invoering van moderne normen
  • Totstandbrenging van een compliance-cultuur
  • Vergroting van het concurrentievermogen
  • Zekerheid voor de operationele activiteiten
  • Waarborgen van duurzaam bedrijfssucces
  • Verhoging van de waarde van de onderneming

De juiste auditor - de belangrijkste beslissingscriteria:

 

CMS-audits brengen multidisciplinaire eisen met zich mee. Daarom moet de professionele expertise van de auditor op de eerste plaats komen.

→ De auditor moet bijvoorbeeld beschikken over relevante juridische en zakelijke kennis en ervaring in de sector.

→ De onafhankelijkheid van de auditor moet gewaarborgd zijn (onafhankelijkheid in feiten maar ook naar buiten toe onafhankelijkheid in schijn).

→ Ten slotte is het van belang dat de audit een goede marktreputatie heeft.

→ Een voorbeeld van gevestigde audit- en certificatienormen is bijvoorbeeld de IDW-auditnorm "Principles of Proper Auditing of Compliance Management Systems" (IDW PS 980).

→ De resultaten van externe audits van het CMS kunnen worden gebruikt om een gecontroleerd CMS te "certificeren". Het af te geven certificaat is een extern bewijs van naleving van de vastgestelde eisen voor het CMS. Het bepaalt de geldigheidsduur en de reikwijdte van het certificaat, het doelobject en de auditprocedure (onderwerp, type en reikwijdte van de audit), alsmede de vereisten voor de onafhankelijkheid en competentie van het auditorgaan ("accreditatie").

baretton-gerber-2-dqs

Meer over compliance audits door DQS

  • Valide analyse van compliance risico's in uw bedrijf
  • Systematische naleving van wettelijke voorschriften
  • Effectieve vermindering van aansprakelijkheidsrisico's
  • Verbeterd bedrijfsimago
Informeer u hier!

Conclusie

Het beheer van een efficiënt en zuinig compliance managementsysteem kan ook ondersteund en verder ontwikkeld worden door een externe audit. De auditor ondersteunt de bedrijfsleiding bij het tot stand brengen en consolideren van de compliance-cultuur.

Voorwaarde is de gewetensvolle selectie van de externe deskundige. Met zijn superieure vergelijkingsmogelijkheden, zijn ervaring met andere bedrijven en zijn kijk op de zaken als neutrale derde, moet hij een waardevolle gesprekspartner kunnen zijn. Het is ook belangrijk een geschikte reeks regels te kiezen als basis voor de externe audits.

 

DQS: Simply leveraging Quality.

Als internationaal erkend certificeerder voor managementsystemen en -processen, voert DQS audits uit op meer dan 30.000 auditdagen per jaar. Onze claim begint waar auditchecklists eindigen: geloof ons op ons woord! Wij verheugen ons op een gesprek met u en laten u graag zien waarop de prestaties en de kwaliteit van onze audits zijn gebaseerd, en dat zijn:

  • Competente auditors met integriteit en ervaring in de sector
  • Op maat gemaakte oplossingen die geschikt zijn voor uw organisatie en uw managementsysteem
  • Gerichte identificatie van mogelijke zwakke punten en risico's
  • Objectieve, begrijpelijke resultaten en substantiële besluitvormingshulpmiddelen
  • Internationaal erkende certificaten met een hoge marktacceptatie
  • De follow-up van audit/analyseresultaten, inclusief effectiviteitscontroles van genomen maatregelen
  • Individuele ontwikkeling en creatie van criteriacatalogi en evaluatiesystemen
fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Heeft u nog vragen?

Neem contact met ons op - vrijblijvend en kosteloos.

We kijken ernaar uit van u te horen
Auteur
Viola Beecken

Viola Beecken is auditor en belastingadviseur met haar eigen kantoor in Hamburg, Duitsland, en tevens auditor van DQS voor de auditstandaard IDW PS 980 "Principles of proper auditing of compliance management systems". Verder is zij actief op het gebied van kwaliteitsbewakingssystemen voor auditors ("Peer Review") en belastingadviseurs (ISO 9000:2015).

Hebt u vragen?

Wij zijn er voor u.
Neem contact met ons op