Vanaf deze week staat de whitepaper Compliance is niet zo moeilijk op onze website. Deze whitepaper is geschreven door Bernadette van Pampus, expert-auditor. Naar aanleiding van deze whitepaper legden wij haar vier vragen voor over compliance in een audit.
Wat kan een voorbereiding op de compliance check overzichtelijk maken?
Na het lezen van de whitepaper kan de norm compliance overweldigend overkomen. Er is een hoop waar je aan moet denken. Stel verantwoordelijkheden als ook bevoegdheden vast en zet ze op papier. Op die manier creëer je overzicht en wordt het onderdeel compliance geen obstakel.
Wat wordt er in de praktijk bij compliance wel eens over het hoofd gezien?
Men vergeet wel eens de gedragsmatige kant van het vraagstuk. Ethiek en integriteit zijn onderdeel van compliance management. Het is van belang ook deze regels en afspraken zwart op wit te zetten.
De rol van de Raad van Toezicht is ook van groot belang. Dit orgaan houdt onder andere de toezicht op het naleven van wet- en regelgeving, het voldoen aan de eisen van de financiële verslaggeving, de interne controle en risicobeheersing. Vergeet die dus niet.
Wat als blijkt dat een organisatie niet ‘in-compliance’ is?
Wanneer tijdens een audit blijkt dat een organisatie niet ‘ in-compliance’ is, is een eerste stap het onderwerp compliance management te behandelen als beleidsvraagstuk. De organisatie kan zo voor zichzelf vaststellen hoe ze met het vraagstuk compliance management om wil gaan en hoe ze het uit wil dragen. Ontwikkel als organisatie een visie op compliance management en neem het dus op in het beleid van de organisatie.
In de whitepaper staat op pagina 2: ‘Uiteraard zullen auditoren afhankelijk van uw organisatie, haar diensten en de actualiteit verschillende accenten leggen.’Welke accenten zijn dit?
Afhankelijk van de volwassenheid en de omvang van het managementsysteem kunnen de auditoren verschillende accenten leggen. Bij een kleine organisatie die zich nog niet bewust is van compliance management, kan de auditor voorzichtig toetsen of het bewustzijn al aanwezig is. Vragen naar de maatregelen die ze genomen hebben en hoe ze wijzigingen bijhouden heeft dan geen nut.
Als de organisatie al verder is met compliance management kan de auditor meer door vragen: hoe worden wijzigingen bijgehouden, is compliance management opgenomen in het risicomanagement, hoe toetsen ze of de genomen maatregelen effectief zijn etc.