Als bedrijf moet je gewoon aan de wet voldoen. En als bedrijf ben je er verantwoordelijk voor dat je dit bent.
Van iedere medewerker mag verwacht worden dat deze weet welke eisen vanuit wet of normen aan het werk gesteld worden. De organisatie moet hen hierbij helpen door het faciliteren van opleiding en training.
Overactieve Compliance Officer?
Wat ik het meeste tegenkom is dat de compliance officer, riskmanager, ICT manager, etc. zelf of door middel van interviews de informatie proberen vast te leggen. Fout! Op deze wijze krijg je nooit verantwoordelijkheidsgevoel op de plek waar het hoort. Bovendien zorgt dit er ook voor dat het altijd een individueel feestje blijft. Budget en capaciteit vrijmaken blijft dan altijd een gebedel.
Verantwoordelijkheid bij de medewerker
De ideale situatie krijg je door de medewerkers zelf te laten aangeven of ze wel of niet compliant zijn. Reik ze handvatten en tooling aan. Verzorg trainingen. Organiseer een vraagbaak. Maar zorg ervoor dat de mensen zelf schrijven! Dan maak je verantwoordelijkheid expliciet.
Zo krijg je zelf tijd om inzicht te verschaffen. Aan management en medewerkers. Je legt de zwakke plekken bloot en er is een samenhangend verhaal over waar budget en capaciteit nodig is om de organisatie te verbeteren.
100% Compliant bestaat niet! 100% inzicht wel!
Compliance kan niet zonder Risk en Audit functioneren. 100% compliant bestaat niet.
100% inzicht wel!
Risk als basis voor waar je absoluut compliant wilt zijn en daar waar je het niet bent zul je moeten kunnen uitleggen waarom (nog) niet. Welk plan ligt hierachter? Audit is nodig om de toezichthouder en het management comfort te geven over de kwaliteit van de beheersmaatregelen. Tegenwoordig is het niet acceptabel dat je als organisatie niet zeker bent over de status van de beheersmaatregelen op je belangrijkste risico’s.
De belangrijkste risico’s worden bepaald aan de hand van de relatie met de doelstellingen van de organisatie. Een powerfull instrument om keuzes te maken waar de schaarse middelen van de organisatie aan besteed kunnen worden om strategie te realiseren.
