Hoe helpt ISO uw compliancy te borgen en te verbeteren? Dick Hortensius, NEN Milieu&Maatschappij 31 mei 2016

Transcriptie

1 Hoe helpt ISO uw compliancy te borgen en te verbeteren? Dick Hortensius, NEN Milieu&Maatschappij 31 mei 2016

2 overheid industrie vakbonden consumenten NGO s Missie: Wij zij hèt kennisnetwerk op gebied van normontwikkeling en normtoepassing in Nederland consultancy/ wetenschap 168 leden 31 leden Opzetten en invoeren van een Kwaliteitsmanagementsysteem 2

3 Wat kunt u verwachten? Issues in compliance Compliance en managementsystemen ISO 19600: Systeem: hard controls Cultuur en gedrag: soft controls Volgende stappen 3

4 4

5 5

6 Sjoemelsoftware Stikstofoxidenverdoezelaar,,Het is hebzucht omwille van roem en erkenning'', zei Schauble.,,Zoals de crisis heeft aangetoond is de concurrentie enorm hevig, zeker als je succesvol wilt zijn in de mondiale markt''. Hij doelde daarmee op de ambitie van Volkswagen in de afgelopen jaren om Toyota voorbij te streven en de grootste ter wereld te worden. 6

7 7

8 8

9 Atex WM hoofdstuk 10 Waterwet vergunning Emissiehandel / BEES A PGS 15 Wet geluidhinder Gebruiksbesluit Drukvaten besluit Ner Atex MEE BRZO / PGS 13 ARBO besluit en regeling grondwater vergunning E-PRTR Milieuvergunning & IPPC Heineken brouwerij Zoeterwoude

10 Een ongeval: waar ligt de oorzaak? 10

11 Drie randvoorwaarden voor veilig werken en voor compliance Technische kwaliteit en integriteit? Cultuur gedrag? Goede compliance prestaties Systeem? En normen helpen daarbij! 11

12 Goede correlatie De essentie van een managementsysteem Management systeem Wensen/ eisen input Beleid en doelstellingen Stakeholders Feedback/ verantwoording output Act Plan Check Prestaties Do ISO 9001 ISO OHSAS 18001/ ISO ISO ISO ISO Certificaten

13 De uitdaging ISO 9001 kwaliteitsmanagement ISO milieumanagement ISO Asset management OHSAS 18001/ ISO arbomanagement ISO Information security ISO Business Continuity ISO Food safety ISO energy management ISO Records management ISO Supply chain security

14 ISO ISO ISO Generieke normen De oplossing: Plug-in model ISO-normen Sectornormen Bijvoorbeeld: Kwaliteitsmanagement Milieumanagement Arbomanagement ISO/TS NTA 8620 ISO/TS Bijvoorbeeld: Automobielsector Veiligheidsmanagement Olie- en gasindustrie ISO 9001 ISO ISO Bijvoorbeeld: Risicomanagement MVO Compliance management Kernelementen en eisen HLS ISO ISO Bijvoorbeeld: Auditing Documentatie Specifieke richtljnen Generieke richtlijnen

15 Kernelementen en eisen van ISO MSS Paragrafen in HLS 4. Context van de organisatie 5. Leiderschap 6. Planning 7. Ondersteuning 8. Uitvoering 9. Evaluatie van prestaties 10. Verbetering Managementonderwerpen Leiderschap Stakeholder management Risicomanagement Compliance management Procesmanagement Verbetermanagement Mensen en middelen Koppeling strategie en operatie 15

16 Koppeling HLS en managementthema s Thema s HLS-eisen Leiderschap Risico management Compliance management Stakeholder management Proces management Verbeter management Mensen & middelen Context van de organisatie Context van de organisatie Interne en externe issues Stakeholder eisen en verwachtingen Stakeholder eisen en verwachtingen Managementsysteem Leiderschap Leiderschap Beleid Organisatie Integratie systeem in bedrijfsvoering Beleid Rollen, verantwoordelijkheid, bevoegdheid Planning Ondersteuning Middelen Communicatie Risico s en kansen oppakken Eisen vertalen naar maatregelen Stakeholdereisen en wensen meenemen Communicatie Doelstellingen en plannen van aanpak Middelen, competenties Doelstellingen en plannen van aanpak Middelen Middelen, competenties, communicatie, documentatie Uitvoering Beheersing risico s, benutten kansen Beheersing processen op voldoen eisen Operationele beheersing Evaluatie van de prestaties Directiebeoordeling Monitoring beheersing Monitoring compliance Monitoring, meten Monitoring Interne audit Directiebeoordeling Verbetering Verbetering Correctie, corrigerende maatregelen Correctie, corrigerende maatregelen Correctie, corrigerende maatregelen Corrigerende maatregelen, verbetering

17 Horizontale integratie Van contextanalyse naar operationele beheersing in de HLS Wat speelt er zich af? Welke kansen en bedreigingen? Issues/factoren 4.1 Risicomanagement 6-10 Contextanalyse 4 Strategische keuzes Stakeholders 4.2 Analyse, prioritering Operationele beheersing 8 monitoring en meting (9) Compliance management 6-10 Met wie hebben wij te maken? Welke eisen, wensen, verwachtingen?

18 Input directie-beoordeling Verticale integratie Van strategie naar operatie en weer terug de goede dingen doen Mission and strategy 9.3 management review HLS 4.1/4.2 context analyse PDCA 4.3/4.4 systeem Externe/interne issues en ontwikkelingen Stakeholders, eisen en verwachtingen Koppeling strategie en operatie 5.2 beleid 5.3 structuur 5.1 leider schap de dingen goed doen Operational excellence 10 Corrigerende acties en verbetering 6.1 aanpakken van risico s en kansen PDCA 6.2 doelstellingen en planning Operationele risicobeoordeling 9 Evaluatie van prestaties/ interne audit 8 Uitvoering 7 support Operationele beheersmaatregelen

19 Input directie-beoordeling Verticale integratie Van strategie naar operatie en weer terug Leiderschap de goede dingen doen Mission and strategy 9.3 management review HLS 4.1/4.2 context analyse PDCA 4.3/4.4 systeem Externe/interne issues en ontwikkelingen Stakeholder Stakeholders, management eisen en verwachtingen Koppeling strategie en operatie 5.2 beleid 5.3 structuur 5.1 leider schap Compliance management de dingen goed doen Operational excellence 10 Corrigerende acties en verbetering 6.1 aanpakken van risico s en kansen PDCA 6.2 doelstellingen en planning Operationele risicobeoordeling Risico management Mensen & middelen 9 Evaluatie van prestaties/ interne audit 8 Uitvoering 7 support Operationele beheersmaatregelen Proces management

20 Meer informatie? 20

21 ISO 19600: plug-in voor compliance ISO

22 ISO Belangrijke kenmerken Richtlijn, geen eisenstellende norm Niet bedoeld voor certificatie Beschrijft een managementsysteem PDCA aanpak van compliance management Volgt de High Level Structure (HLS) Ideale plug-in Is risk-based wat betreft opzet Sluit aan bij ISO Aandacht voor cultuur en gedrag 22

23 ISO Enkele belangrijke begrippen Compliance voldoen aan alle complianceverplichtingen Complianceverplichting: compliance-eis of complianceverbintenis Non-compliance Niet-naleving van een complianceverplichting Compliancerisico combinatie van kans op optreden en consequenties van een non-compliance 23

24 ISO risk based approach Context van de organisatie (issues, stakeholder eisen, wensen en verwachtingen, wet- en regelgeving) Stap 1 Risicobeoordeling Stap 2 Stap 3 Complianceverplichtingen Compliancerisico s Beheersmaatregelen en monitoringregime X non-compliances Beoordeling van compliance risico s Keuze risk controls 24

25 ISO structuur en inhoud Hoofdstukken (generieke MSS) 1. Scope 3.Termen en definities 4.Context van de organisatie 5. Leadership 6. Planning Belangrijkste compliance facetten Van toepassing op alle typen organisaties, ook wat betreft omvang Compliance, complianceverplichtingen, compliancerisico, compliancecultuur Inzicht in de eisen, wensen en verwachtingen van belanghebbenden, Identificeren en bijhouden van verplichtingen, risicobeoordeling van complianceverplichtingen Management commitment, beleid, rollen & verantwoordelijkheden van bestuur, directie, lijnmanagement, compliance functie, medewerkers Maatregelen om compliancerisico s te beheersen 25

26 ISO Compliance verplichtingen structuur identificatie en inhoud van complianceverplichtingen voorbeelden van compliance-eisen voorbeelden van complianceverbintenissen Hoofdstukken (generieke Bijhouden MSS) van complianceverplichtingen Belangrijkste compliance facetten contacten met bevoegde gezagen 1. Scope overeenkomsten met juridische adviseurs wat betreft omvang abonnementen op informatiediensten 3.Termen en definities 4.Context van de organisatie 5. Leadership 6. Planning Van toepassing op alle typen organisaties, ook Compliance, complianceverplichtingen, compliancerisico, compliancecultuur 4.6 identificatie, analyse en evaluatie van compliancerisico s a) relateren verplichtingen aan activiteiten, producten en diensten b) Identificeren oorzaken en gevolgen vannon-compliances c) Vaststellen kans en ernst d) Vaststellen noodzaak en omvang van beheersmaatregelen e) Periodieke herbeoordeling Inzicht in de eisen, wensen en verwachtingen van belanghebbenden, Identificeren en bijhouden van verplichtingen, risicobeoordeling van complianceverplichtingen Management commitment, beleid, rollen & verantwoordelijkheden van bestuur, directie, lijnmanagement, compliance functie, medewerkers Maatregelen om compliancerisico s te beheersen 26

27 5.1 leiderschap en commitment ISO Kernwaarden van de organisatie hoog houden Zorgen voor middelen structuur Zorgen dat compliance en inhoud de bedrijfsprocessen wordt geïntegreerd Communiceren van het belang van compliance management Zorgen voor afstemming tussen operationele doelen en compliance Hoofdstukken verplichtingen (generieke MSS) Belangrijkste compliance facetten 5.3 rollen, verantwoordelijkheden en bevoegdheden 1. Scope Compliance functie: wat betreft omvang Autoriteit en verantwoordelijkheid voor het CMS 3.Termen en definities Helder en onomwonden steun Compliance, en directe complianceverplichtingen, toegang tot directie en compliancerisico, compliancecultuur bestuur 4.Context van de Autoriteit organisatie en vermogen om tegenwicht te bieden (countervailing power) 5. Leadership 6. Planning Van toepassing op alle typen organisaties, ook Inzicht in de eisen, wensen en verwachtingen van belanghebbenden, Identificeren en bijhouden van verplichtingen, risicobeoordeling van complianceverplichtingen Management commitment, beleid, rollen & verantwoordelijkheden van bestuur, directie, lijnmanagement, compliance functie, medewerkers Maatregelen om compliancerisico s te beheersen 27

28 ISO structuur en inhoud Hoofdstukken (generieke MSS) Ondersteuning Uitvoering Evaluatie van de prestaties Verbetering Belangrijkste compliance facetten Middelen, competenties, bewustzijn, training, gedrag, cultuur, commmunicatie, documentatie Maatregelen om complianceverplichtingen te managen en te sturen op gewenst gedrag Monitoring compliance prestaties, evaluatie, compliance rapportage, audit & management review Acteren op non-compliances (met inbegrip van escalatieprocedures) 28

29 ISO Gedrag Rol van de directie: structuur het creëren en van een inhoud omgeving waarin het melden van non-compliance wordt aangemoedigd en de meldende werknemer gevrijwaard wordt van represailles; het bewerkstelligen dat compliance onderdeel wordt van de cultuur van Hoofdstukken de organisatie (generieke MSS) Belangrijkste compliance facetten Ondersteuning Zorgen dat de operationele doelstellingen Middelen, competenties, en taakstellingen bewustzijn, compliant training, gedrag niet in het gedrang brengen. Uitvoering Evaluatie van de prestaties Verbetering gedrag, cultuur, commmunicatie, documentatie Compliancecultuur heldere set van gepubliceerde waarden management dat actief laat zien dat het de waarden implementeert en zich eraan houdt Voorbeeldgedrag management Zichtbare waardering van bereikte resultaten in compliance directe en proportionele disciplinaire maatregelen bij nalatigheid Open communicatie Maatregelen om complianceverplichtingen te managen en te sturen op gewenst gedrag Monitoring compliance prestaties, evaluatie, compliance rapportage, audit & management review Acteren op non-compliances (met inbegrip van escalatieprocedures) 29

30 Verbeteren Identificatie van externe en interne issues (4.1) Identificatie van eisen van stakeholders (4.2) Vaststelling van de scope en inrichting van het CMS (4.3/4/4) Vaststelling van het compliance beleid (5.2) Principes van goed bestuur (4.4) Inrichten Onderhouden Identificatie van compliance verplichtingen en beoordeling van compliance risico s (4.5/4.6) Ontwikkelen Managen van noncompliances en van continue verbetering Evalueren Management commitment, onafhankelijke compliance functie (5.1), verantwoordelijkheden op alle niveaus (5.3), ondersteunende functies (7) Planning voor het aanpakken van compliance risico s en het behalen van doelstellingen (6.1) Implementeren Evaluatie van de prestaties en rapportage van compliance (9) Operationele planning en beheersing van compliance risico s

31 Verbeteren Identificatie van externe en interne issues (4.1) Identificatie van eisen van stakeholders (4.2) Managen van noncompliances en van continue verbetering Evalueren Vaststelling van de scope en inrichting van het CMS (4.3/4/4) Management commitment, onafhankelijke compliance functie (5.1), verantwoordelijkheden op alle niveaus (5.3), ondersteunende functies (7) Principes van goed bestuur (4.4) Vaststelling van het Compliance cultuur: compliance beleid waarden, ethische normen en (5.2) overtuigingen die overal binnen een organisatie bestaan en Identificatie van die interacties hebben met compliance de structuren en verplichtingen en beheerssystemen van de beoordeling organisatie van voor het tot stand brengen van gedragsnormen compliance risico s die van (4.5/4.6) gunstige invloed zijn op de complianceresultaten. Onderhouden Ontwikkelen Planning voor het aanpakken van compliance risico s en het behalen van doelstellingen (6.1) Implementeren Inrichten Evaluatie van de prestaties en rapportage van compliance (9) Operationele planning en beheersing van compliance risico s

32 ISO NL aandachtspunt Compliance: Controlled organization HLS based management Good behavior?? Systematisering soft controls op basis van de 7 gedragsfactoren van Muel Kaptein Uitwerken in een Nederlandse Praktijk Richtlijn (NPR) 32

33 Gedragsbeïnvloedende factoren Muel Kaptein Helderheid over wat van medewerkers wordt verwacht; Voorbeeldgedrag van (top)management en leidinggevenden; Uitvoerbaarheid van operationele doelstellingen en opgelegde taken; Why good Betrokkenheid van medewerkers om zich in te zetten voor de organisatie; people do sometimes bad things Transparantie over het effect van eigen handelen en dat van anderen; Bespreekbaarheid van (bijna)incidenten, dillema s en van (afwijkende) meningen en inzichten; Handhaving van gedrag waarbij gewenst gedrag wordt gewaardeerd en beloond en ongewenst gedrag wordt bestraft. 33

34 Gedragsfactoren in ISO Thema s HLS-eisen Helderheid Voorbeeldgedrag Betrokkenheid Transparantie Uitvoerbaarheid Bespreekbaarheid Handhaving Context van de organisatie Leiderschap Beleid Leiderschap Rollen, verantwoordelijkheid Leiderschap Leiderschap Rol management Rollen, verantwoordelijkheid, bevoegdheid Planning Doelstellingen Ondersteuning Heldere set waarden Communicatie Gedrag en cultuur Rol directie Bewustzijn Gedrag en cultuur Gedrag en cultuur Uitvoering Duidelijke procedures Evaluatie van de prestaties Rapportages Bronnen feedback Verbetering Escalatie Correctie en corrigerende acties

35 Barrières NTA 8544 Veiligheidsgedrag Theory of planned behaviour (Ajzen) Attitude t.o.v. gedrag Vaardigheden Subjectieve norm Intentie tot gedrag Gedrag Controle over gedrag In kader compliancemanagement: Systematisering soft controls op basis van de 7 gedragsfactoren van Muel Kaptein 35

36 NPR XXX Cultuur & gedrag bij compliance management Attitude t.o.v. gedrag Verdere uitwerking van tips&tricks voor toepassing van deze factoren in een NPR Subjectieve norm Intentie tot gedrag Gedrag Controle over gedrag Gedragsbeïnvloedende factoren 36

37 Gebruik van ISO ISO bedrijf ISO Toezichthouder leverancier K A M V klant ISO Inrichten van een CMS Voor aanpassing en verbetering

38 Convenant Twence - Overijssel 38

39 ISO Zelfassessment Bedoeld voor organisatie zelf (verbetering) en haar belanghebbenden (vertrouwen, afleggen verantwoording) Quick-scan en detail assessement Aansluiten bij de procesvoering van bedrijven (op basis 6 stappen model KWA) Vormgeving als IT-tool (regelhulp bij ondernemingsdossier?) 39

40 Operationeel Heeft de organisatie inzicht in de interne en externe factoren die van invloed zijn op het compliancebeleid en het CMS? Heeft de organisatie inzicht in de eisen (inclusief verwachtingen) van belanghebbenden? Is de scope van het CMS duidelijk? Wordt het CMS geïmplementeerd, geëvalueerd, onderhouden enverbeterd? Is het CMS in overeenstemming met beginselen goed bestuur? Is er een compliancebeleid? Geldt voor de compliancefunctie: - Directe toegang tot het bestuur - Onafhankelijkheid - Passende bevoegdheid en adequate middelen Strategisch Zijn alle complianceverplichtingen geïdentificeerd? Worden de complianceverplichtingen onderhouden? Zijn de compliancerisico s beoordeeld Worden afwijkingen en noncompliance geanalyseerd en corrigerende maatregelen getroffen? Is er een proces om te escaleren naar hogere managementniveaus? Is er continue verbetering van het CMS? Act Check Is er management commitment? Zijn rollen en verantwoordelijkheden toebedeeld voor directie en bestuur, leidinggevenden en medewerkers? Is er een (onafhankelijke) compliancefunctie? Is er een compliancecultuur met daarbinnen aandacht voor bewustzijn en gedrag? Zijn competenties vastgesteld en zijn er programma s voor opleiding en training? Zijn er voldoende middelen beschikbaar? Zijn processen voor in- en externe communicatie ingericht? Is er een documentenbeheersysteem? Plan Do Zijn er maatregelen gepland om de compliancerisico s te beheersen en aan complianceverpkchtingen te voldoen? Zijn er compliancedoelstellingen vastgesteld en programma s ingericht om die doelstellingen te realiseren? Worden beheersmaatregelen gemonitord? Worden compliancepresties gemeten, geanalyseerd en geëvalueerd? Wordt gerapporteerd over compliance? Worden resultaten geregistreerd? Vinden interne audits plaats? Vinden directiebeoordelingen plaats? Zijn beheersmaatregelen (technisch, procedureel) geïmplementeerd om de compliancerisico s te beheersen en aan complianceverpkchtingen te voldoen?

41 Input: Inzicht in de interne en externe cotext en eisen en verwachtingen van stakeholders Bepaling van: scope CMS complianceverplichtingen compliancerisico s Overzicht van complianceverplichtingen en risico s Beleid, leiderschap, cultuur, (in)richting organisatie en managementsysteem Bepaling van: Maatregelen Doelstellingen en programma s Overzicht van geplande maatregelen en doelstellingen Implementatie en uitvoering van maatregelen Overzicht van geïmplementeerde maatregelen naar afdelingen en personen Monitoring, metingen Analyseren en evalueren Rapporteren Interne audit Directiebeoordeling Overzicht van resultaten Rapportages Uitkomsten audits en beoordelingen Afwijkingen analyseren Corrigerende maatregelen Escalatie verbetering Overzicht van corrigerende maatregelen en verbeteringen Plan Plan Do Check Act Output: Complianceresultaten (rapportage) acceptaie door stakeholders ( license to operate ) Middelen, competenties, training, communicatie, documentenbeheersing Gebaseerd op het 6-stappen model voor MS van KWA Bedrijfsadviseurs BV

42 ISO Waar staan we en waar naar toe? Publicatie ISO in december 2014 Lancering Nederlandse vertaling op introductieseminar 27 mei 2015 Aanvullende nationale initiatieven: Richtlijn voor cultuur en gedrag >Raamwerk beschikbaar; invulling in 2016 Richtlijn voor zelfassessment >Pilot bij afvalverwerkend bedrijf i.s.m. toezichthouders 42

43 Normen voor Compliance en veiligheid Technische Integriteit Cultuur gedrag NTA 8544 veiligheidsgedrag SAQ (veiligheid voorop) Veiligheidsprestatieladder OECD Richtlijn Management van procesveiligheid NPR XXXX Sturen op gedrag en cultuur in compliancemanagement Atex gerelateerde normen ISO Assetmanagement maintenance (EN 16646) Machineveiligheid Risk based inspections PGS-reeks SIL-classificatie (IECnormen) Goede compliance en veiligheids prestaties Systeem ISO 45001/NTA 8620 arbo en veiligheid ISO compliance ISO risicomngmnt ISO risk assessment techniques ISO milieumanagement 43

44 Meer informatie Voor deelname normcommissie: 44