Bouw je eigen compliance-framework - Klein beginnen, groot denken

Frameworks worden veelvuldig gebruikt om overzicht te krijgen en vooral ook te houden. Ook in ons vakgebied. De keuze in frameworks is groot met de bijhorende verschillen, voor- en nadelen. In deze nieuwsbrief wordt ingegaan in het zelf opzetten/inrichten van een framework.

Voordat je op zoek gaat naar al bestaande frameworks, stel eerst vast wat het doel en noodzaak is van zo'n framework. Een framework moet het middel zijn om overzicht te geven in de compliance-eisen en de status daarvan. Daarnaast dien je te overwegen over het opzetten (of aanschaffen) van een framework noodzakelijk is om dit overzicht te houden.

Dat leidt direct tot het volgende, gerelateerde onderdeel. Met welke compliance-eisen wil je dit framework vullen? Is dit alleen een ISO- of NIST-norm? Omvat het alle beleidstukken en procedures van de organisatie? Maakt wet- en regelgeving onderdeel uit van dit framework? Maar ook, wat is het geografische gebied dat de compliance-eisen omvat (alleen Nederland, EU of wereldwijd)? Zo kunnen, naast deze overwegingen, andere overwegingen meespelen voor een organisatie. Het inzichtelijk maken van het algehele toepassingsgebied draagt bij aan het vaststellen van doel en noodzaak van een framework.

Zodra is vastgesteld dat een framework van toegevoegde waarde is, is het tijd deze te gaan vullen. Hoe specifieker het framework gevuld wordt, hoe concreter het in- en overzicht wordt.

Het vullen van een framework is een tijdrovend karwei. Hoewel er overlap bestaat tussen organisaties, is een goed ingericht framework maatwerk. Laat je dan ook niet verleiden tot het (te) snel knippen-plakwerk. Daarmee ga jij je in de vingers snijden.

ISO-, NEN- en NIST-normen

Voor normen en standaarden is het vullen van een framework nog redelijk eenvoudig. Per relevante norm voeg je de normeis toe, de organisatie specifieke invulling ervan en de status. Zoals dit lijkt in de Verklaring van Toepasselijkheid.

TIP: Neem ook uitgesloten normeisen op in je framework. Hierdoor houd je het volledige overzicht en kun je nooit een normeis 'vergeten'. Ook in het geval dat een normeis van toepassing wordt, is deze al aan het framework toegevoegd.

Wet- en regelgeving

Wet- en regelgeving is te vinden op het internet. Er zijn diverse bronnen waar je deze kunt vinden. Ook bestaan er bronnen (al dan niet kosteloos) die al overzichten hebben met toepasselijke wet- en regelgeving. Hoewel de meeste wet- en regelgeving voor alle organisaties geldt, kunnen er ook per branche of type organisatie onderlinge verschillen bestaan. Wees hier alert op.

TIP: Houd ook een overzicht van uitgesloten wet- en regelgeving met onderbouwing bij zoals je dit ook doet voor uitgesloten normeisen.

!!! Ook rechtspraak maakt onderdeel uit van wet- en regelgeving. Het kan dan ook voor jouw organisatie belangrijk zijn bepaalde uitleg of toepassing van rechtsregels uit de rechtspraak toe te voegen aan je framework. TIP: Wanneer je een wetsartikel en wet in het framework hebt, gebruik de titel en artikelnummer om te zoeken naar rechtspraak. Dan krijg je relevante(re) resultaten.

Eigen beleid en procedures

Het is altijd mogelijk om eigen beleid en procedures aan het framework toe te voegen. Veelal vindt dit integraal plaats via de toepasselijke normen en standaarden. Aanvullingen kunnen altijd gemaakt worden wanneer beleid of procedures wel van toepassing zijn maar niet ondervangen worden in een norm of standaard.

Geografisch gebied

Wanneer internationaal gewerkt wordt, wordt het framework complexer. Cultuur, beleid, wet- en regelgeving maar ook de invulling of opvatting rondom compliance kunnen verschillen. Wanneer er een centraal framework gehanteerd wordt kan het opzetten van een baseline uitkomst bieden. Een decentraal framework zal in elk afzonderlijk land actueel gehouden moeten worden. Een baseline geeft de minimum compliance-eis aan waar elk land aan moet voldoen. Wanneer lokaal strengere eisen gelden dan worden die aanvullingen lokaal genomen. Hierdoor voorkom je dat andere landen strengere compliance-eisen moeten hanteren dan nodig zou zijn.

TIP: Om te komen tot een baseline is het wel nodig om van elk land per compliance-eis de lokale inzichten te hebben en bij te houden. Veranderingen op lokaal niveau kan ook aanpassingen aan het framework tot gevolg hebben.

TIP: Een decentraal framework kan leiden tot verminderd in- en overzicht omdat meerdere varianten van het framework gebruikt worden. Zorg voor een centrale coördinatie zodat algemeen bindende compliance-eisen in elk land eenduidig gehandhaafd worden.

Klein, klein, klein is altijd fijn

Een salsa-leraar zei dit eens lang geleden tijdens een les. Niet alleen voor de danspassen maar ook voor frameworks geldt dit. Hiermee bedoel ik dan ook dat het van meerwaarde kan zijn om het framework eerst klein op te zetten en dit in de tijd verder uit te breiden. Hierdoor gaat het bijstellen en aanpassen van het framework makkelijker en sneller. Ook kan de organisatie ervaring opdoen en het framework in de eigen P&C- en andere processen inbedden. Klein beginnen biedt daarom ruimte om te groeien!