Maak uw compliance bestendig!

Een manier om de gevolgen van nieuwe regels voor de organisatie te beperken en beter in control te zijn is het toepassen van de bestendige- compliancemethodiek. Door wetsregels via requirements en controls te koppelen aan processtappen wordt een relatie gelegd tussen wetten, processen en producten. De impact van de mutaties wordt direct inzichtelijk. Extra wet- en regelgeving leidt niet tot een explosie aan nieuwe controlemaatregelen, want een significant deel van de bestaande controlemaatregelen kan worden hergebruikt. Daar zit de winst.

WAAROM COMPLIANCE GESTRUCTUREERD AANPAKKEN?
Een complianceproject X levert al snel 100 spreadsheets op waarin alle controls staan opgesomd. De vraag is wie al deze sheets up-to-date gaat houden. Een complianceproject levert ook een aantal controlemaatregelen op, maar toont niet aan dat alle wetsartikelen ook behandeld zijn.

De volledigheid wordt niet bewezen, waardoor de compliance auditors steekproeven moeten doen om de relatie tussen wet en controlemaatregel te toetsen op volledigheid. De opdrachtgever riskeert hierdoor niet volledig in control te zijn of een negatieve auditbeoordeling te krijgen. Er moet ook extra geld voor reparatiewerk worden uitgegeven. Verder bestaat de kans dat hij een project krijgt afgeleverd waarin onduidelijk is bij welke controlemaatregelen een risico wordt gelopen.

Daar moet de lijnorganisatie proefondervindelijk achter komen, waardoor het vaak te laat is om de risico’s nog op tijd te mitigeren. De organisatie zou dan uiteindelijk aansprakelijk gesteld kunnen worden. Verder valt te denken aan het aanpassen van applicaties, formulieren, processen en functieprofielen, het trainen van medewerkers, het opstellen van formeel beleid etc., etc. De beschikbare tijd voor implementatietrajecten is vaak kort en de kosten liggen hoog. Tevens geven de diverse complianceprojecten vaak verschillende projectresultaten, wat weer extra tijd vraagt bij het in beheer nemen. Er is een aanpak nodig die eisen stelt aan de projectresulaten en aan de wijze waarop compliance geïmplementeerd wordt in de organisatie.

HOE HELPT DE BESTENDIGE COMPLIANCEMETHODIEK?
• Vooraf is bekend welke wetsartikelen voor meerdere uitleg vatbaar zijn en daardoor tot jurisprudentie kunnen leiden.
• Aangetoond wordt dat alle wetsartikelen van een wet (voorbeeld Wwft) zijn afgedekt.
• Het is mogelijk te variëren met het accepteren van risico’s en daardoor de besluitvorming te versnellen.
• Oplossingen uit eerdere compliancetrajecten kunnen worden hergebruikt in plaats van opnieuw het wiel uit te vinden.
• Er bestaat geen twijfel of de zorgplicht om de klant te informeren in alle kanalen goed wordt toegepast.
• Er is helderheid over de exacte inhoud van het in control-statement waar de wettelijke controls onder vallen.
• De proceseigenaar komt niet voor verrassingen te staan bij controle van de auditor.
• Bij processen die worden geoutsourced, is duidelijk welke eisen er aan de leverancier gesteld kunnen worden. Kortom, onze stelling is dat het hanteren van een eenduidige methodiek en de toewijzing van verantwoordelijkheden om zaken vast te leggen, de organisatie in staat stelt snel en eenduidig op vraagstukken te antwoorden.

BOUWSTENEN
In essentie hoeven er maar vier basisbouwstenen te worden vastgelegd: Regels, Requirements, Control en Processtap. Naast deze vier bouwstenen worden er nog speciale views toegekend (Labels genoemd). Tevens wordt de relatie tussen de bouwstenen bepaald.

Regels
Een regel is een stuk tekst die in de externe wet- en regelgeving staat, zoals een wetsartikel of een lid binnen een wetsartikel. Een regel kan ook een stuk tekst zijn uit een intern beleidsstuk.

Requirements
Een requirement is de herformulering van een regel, waarbij de juridische of beleidstaal is omgezet in eenduidige taal. Indien er sprake is van een interpretatie, wordt dat vastgelegd bij een requirement.

Control
Een control is een controlemaatregel die nodig is om te toetsen of aan een requirement is voldaan. Denk hierbij aan een controle vlak voor het uitleveren van diensten of producten, of een controlemaatregel om de logistiek te monitoren.

Processtap
Een processtap is de plek waar de activiteiten uitgevoerd worden om aan de gestelde requirement te voldoen. Een processtap maakt deel uit van een proces. Een controlemaatregel kan verwijzen naar een primair proces, maar ook naar een beheer- of aansturend proces. Alle controls worden uiteindelijk gekoppeld aan een processtap.

Labels
De labels zijn er om bepaalde views te ondersteunen. Denk hierbij aan een specifiek product, ‘credit card gold’, of een specifieke productgroep, ‘credit cards’.

RELATIES TUSSEN DE BOUWSTENEN
Behalve de bouwstenen zelf leggen we ook de relaties tussen de bouwstenen vast. Door het vastleggen van deze relaties wordt inzicht, overzicht en impact getoond. Inzichtvraagstukken tonen in detail hoe de relatie tussen de bouwstenen in elkaar steekt. Overzichtvraagstukken tonen overzichtelijk alle regels van een wet en de daarbij behorende requirements en controls. Bij impact wordt getoond wat de gevolgen van een wijziging zijn. De zoekrichting binnen de bouwstenen is variabel. Zo kan van wet naar processtap worden gezocht, maar ook vice versa, en daar zit de kracht van deze zoekmethodiek.

BESTENDIGE-COMPLIANCEMETHODIEK EN KOSTEN, PROJECTEN EN ORGANISATIE

Kosten
Goed beheer van de requirements en controls leidt ertoe dat er veel hergebruik zal zijn. Alleen nieuwe requirements en controls hoeven in de projectrealisatiefase begroot en betaald te worden. Dit levert een aanzienlijke kostenbesparing op. In onderstaand voorbeeld ziet u dat naast de wet Wid de wet Wwft wordt toegevoegd. Stel dat de wet Wid al is uitgewerkt, dan kan worden vastgesteld welke requirements en controls de nieuwe wet Wwft vereist, welke daarvan al aanwezig zijn en welke erbij komen. Alleen de nieuwe hoeven daadwerkelijk te worden gerealiseerd en vormen de scope van het projectplan, zie figuur 2.

Projecten
In de fase van projectmandaat tot en met het opstellen van een projectplan zal de scope van werkzaamheden van een complianceproject zeer concrete resultaten opleveren en bovendien zichtbaar maken welke requirements en controls nieuw zijn versus welke reeds bestaan. Deze vaststelling zal gedaan worden in de fase van het opstellen van een projectplan. Hoe eerder de scope vastgesteld kan worden, hoe geringer worden de mutatiekosten om scopewijzigingen door te voeren, zie figuur 3.

We stellen eisen waaraan onze projectresultaten moeten voldoen. Dit doen we door een standaardset van attributen bij requirements en controls te hanteren. Hierdoor wordt geborgd dat na oplevering van de projectresultaten inzicht, overzicht en vooral impact geboden wordt aan de beheerorganisatie.

Organisatie
Wij zien impact op de organisatie op de volgende gebieden:

1. kennismanagement
Bij veel organisaties is er sprake van kennismanagement bij de afdeling compliance. Door het gestructureerd vastleggen van de vier bouwstenen en de labels kan eenvoudig worden onderkend wat de overeenkomsten en verschillen tussen de diverse wetten zijn. Een businessunit wil geadviseerd worden over de veranderingen van een nieuwe wet en de afdeling compliance kan daar dankzij deze methodiek snel antwoord op geven. De geaccepteerde risico’s en interpretaties van bepaalde regels worden gestructureerd vastgelegd, waardoor het niveau van kennismanagement verbetert.

2. eigenaarschap
Per resultaat wordt een eigenaar van de afdeling compliance benoemd. Deze gaat in overleg met andere stafafdelingen en de projectorganisatie om te bespreken welke partij eigenaar is van de requirements en controls en de relaties tussen de vier basisbouwstenen.

3. samenwerking en overdrachtsdocument
De lijst van controls die voortvloeien uit een wet, vormt voor de compliance auditors een eenduidig normenkader. Ook de riskmanagers kunnen met deze lijst van controls eenduidig vaststellen welke controlemaatregelen er zijn in het kader van een nieuwe wet en welke daarvan een aanduiding van geaccepteerd risico hebben.

De methodiek bestendige compliance is tot stand gekomen na gedegen feedback van externe organisaties zoals Rijkswaterstaat, ING en Eureko, en van collega’s bij Ordina Risk, Compliance & Assurance

HILCO TAPPEL is managementconsultant bij Ordina Consulting