Actueel inzicht in de compliance-situatie
Nieuwsbrief
Schrijf u in voor onze nieuwsbrief en blijf op de hoogte van ons nieuws.
Borger & Burghouts
Aanleiding
Inzicht in hoeverre de organisatie voldoet aan de voorschriften op het gebied van milieu, arbo en/of veiligheid blijft voor veel organisaties een lastig onderwerp. Dit terwijl het niet “in compliance” zijn vaak leidt tot een verhoogd risico op schade op gebied van imago, financiële positie, medewerkerstevredenheid, het milieu en zelfs bedrijfscontinuïteit.
Om inzicht te krijgen in de actuele stand van zaken ten aanzien van naleving van voorschriften wordt doorgaans een compliance-audit uitgevoerd. Een compliance-audit kenmerkt zich door controle van documentatie en een fysieke rondgang over de locatie. Vragen die vooraf aandacht behoeven betreffen de scope van de audit, de frequentie waarmee audits worden uitgevoerd en de kwaliteit van de persoon die de audit uitvoert.
Onze oplossing
De aanpak die Borger & Burghouts hanteert bij het uitvoeren van compliance-audits is de zogeheten risico-gestuurde aanpak. Hiervoor is het noodzakelijk dat we eerst inzicht krijgen in het wettelijk kader dat op de organisatie van toepassing is. Een register van eisen is het overzicht waarin wij voor de organisatie precies duidelijk maken welke verplichtingen op de organisatie van toepassing zijn, uiteraard gespecificeerd naar bedrijfsonderdeel, proces en/of installatie. Door dit kader vooraf samen met onze opdrachtgever te definiëren, stellen we feitelijk de scope van de audit vast. Afhankelijk van de risico’s die samenhangen met de bedrijfsactiviteiten en het wettelijk kader stellen we gezamenlijk de auditfrequentie vast. Het is namelijk niet noodzakelijk de gehele bedrijfsvoering met dezelfde frequentie te “toetsen”. Vaak voeren wij de audits per thema uit, zoals specifiek voor de PGS-15, blootstelling aan gevaarlijke stoffen of bijvoorbeeld keuring van arbeidsmiddelen.
Voorbeelden uit de praktijk
F.A.Q.
Uitvoeren HSE-audits en compliance audits
Wat is een audit?
Een audit is een systematisch en onafhankelijk onderzoek dat wordt uitgevoerd om te beoordelen in hoeverre een organisatie, bedrijf of instelling voldoet aan de geldende wettelijke voorschriften, normen, interne beleidslijnen en andere relevante vereisten die de organisatie onderschrijft. Een audit kan uitgevoerd worden op een compleet managementsysteem – zoals bijvoorbeeld een norm omschrijft -, proces of een compliance-audit.
Waarom is het belangrijk voor organisaties om interne audits uit te voeren?
Door interne audits uit te voeren toetst een organisatie in hoeverre zij voldoen aan verplichtingen. Dit kunnen wettelijke verplichtingen zijn, interne beleidslijnen, normen, etc.
Zo kan het niet naleven van deze verplichtingen leiden tot ernstige gevolgen zoals reputatieschade, financiële problemen, ontevredenheid onder medewerkers, onveilige situaties, milieuschade en bedrijfscontinuïteitsrisico’s. Om inzicht te krijgen in de actuele stand van zaken, wordt doorgaans een interne audit uitgevoerd, waarbij documentatie wordt gecontroleerd en een fysieke controle van de locatie plaatsvindt. Dit laatste om te toetsen of de organisatie in de praktijk doet, wat ze op papier zeggen dat ze doen. Hier zitten vaak grote verschillen! Zo kan het zijn dat processen niet aansluiten op de werkelijke uitvoering, of medewerkers zijn niet op de hoogte van de aanpak.
Borger & Burghouts hanteert een risico-gestuurde aanpak.
Wat is het verschil tussen een systeemaudit en een proces-audit?
Een organisatie heeft of zelf een managementsysteem opgezet of aan de hand van bijvoorbeeld een norm, zoals ISO 14001/ISO 45001 of NTA 8620. Deze normen hebben allemaal een volledige systeemopbouw, waarin ze de Plan-Do-Check-Act in hebben opgenomen. Deze PDCA-cyclus is om te waarborgen dat organisaties alle facetten meenemen in hun bedrijfsvoering. Het is belangrijk dat dit ook terugkomt wanneer een bedrijf een eigen managementsysteem heeft opgebouwd.
Bij een systeemaudit wordt een managementsysteem op de hoofdelementen gecontroleerd en kijkt de auditor of de organisatie de PDCA-cyclus toepast over de hele organisatie. Tijdens de interne audit worden alle verplichte documentatie erbij gepakt en getoetst aan de norm of aan de eisen van de organisatie. Verplichte documentatie kunnen documenten zijn die een norm verplicht, maar ook documentatie de organisatie zelf verplicht stelt. Daarnaast gaat de auditor ook gesprekken aan met de medewerkers van de organisatie om na te gaan of men ook doet wat er gezegd wordt conform de documentatie.
Bij een proces-audit wordt er ook gekeken naar de PDCA-cyclus, alleen gebeurt het nu op procesniveau. Dit houdt in dat er nu bijvoorbeeld gekeken wordt naar het procesverloop op een specifieke afdeling of er worden aansluitende processen gepakt over verschillende afdelingen heen om te kijken hoe verschillende afdelingen met elkaar in het proces omgaan. De insteek van een procesaudit kan verschillen, dit is afhankelijk van de scope die van te voren met de opdrachtverstrekker wordt afgesproken.
Het is goed om als organisatie na te denken over wat voor type audit er uitgevoerd moet worden en waar de organisatie baat bij heeft. Daarnaast verschilt het ook bij het type verplichting die een organisatie heeft: vaak is het zo dat wanneer een bedrijf gecertificeerd is, het zich moet houden aan een auditprogramma en alle onderdelen minimaal eenmaal per drie jaar ge-audit moet worden.
Wat is een compliance-audit?
Tijdens een compliance-audit wordt aan de hand van een documentencontrole en rondgang gecontroleerd of de organisatie zich houdt aan de geldende wet- en regelgeving. Denk hierbij aan documentatie over keuringen die moeten kloppen, metingen die inzichtelijk moeten zijn en medewerkers die goede voorlichting hebben ontvangen. Dit wordt getoetst aan de hand van documentatie, interviews en een rondgang.
Op basis van het wettelijk kader van de organisatie wordt met de opdrachtgever de scope en auditfrequentie van een compliance-audit bepaald.
Waarom is het belangrijk om een auditprogramma te hebben als organisatie?
Wanneer een organisatie gecertificeerd is voor een norm – of meerdere normen – is het vaak verplicht een auditprogramma op te stellen. Ook organisaties die geen certificeringsverplichting hebben is het verstandig om een auditprogramma op te stellen. Waarom? Voor organisaties die deze verplichting hebben moeten ze in een certificatiecyclus van drie jaar inzichtelijk hebben welke processen en onderdelen ze auditen. Dit moet risico-gebaseerd gebeuren, oftewel: een organisatie moet weten waar de risico’s liggen in de bedrijfsvoering en hier rekening mee houden tijdens het plannen (en uitvoeren) van de audits! Elk onderdeel en primair proces moet minimaal één keer per drie jaar aan bod zijn geweest. Risicovolle onderdelen logischerwijs vaker. Een auditprogramma ligt niet voor drie jaar vast, dit beweegt mee met de organisatie. Nogmaals, het is risico-gebaseerd en risico’s liggen ook niet voor drie jaar vast.
Hoe kan een risico-gestuurde aanpak helpen bij het uitvoeren van interne audits?
Een risico-gestuurde aanpak bij interne audits, zoals gehanteerd door Borger & Burghouts, begint met het inzichtelijk maken van de eisen of het wettelijk kader dat op de organisatie van toepassing is. Hierdoor wordt de audit gericht op relevante vereisten, processen en installaties. Samen met de opdrachtgever wordt de auditfrequentie bepaald, waarbij de focus ligt op risicovolle bedrijfsactiviteiten. Dit zorgt voor efficiënte inzet van middelen en een duidelijk beeld van de nalevingsstatus, waardoor de organisatie concreet kan werken aan het minimaliseren van risico’s en het verbeteren van compliance.
Een risico-gestuurde aanpak bij een interne audit, zoals gehanteerd door Borger & Burghouts, begint met het inzichtelijk maken van managementsysteem. Een uitgangspunt kan hiervan het interne auditprogramma zijn. Mocht deze er nog niet zijn dan moet deze nog worden opgesteld.
Bij het inzichtelijk maken van het managementsysteem wordt er gekeken naar welke relevante vereisten er zijn, processen, installaties, etc. Samen met de opdrachtgever wordt bepaald wat de risicovolle bedrijfsactiviteiten zijn. Denk hierbij aan onderdelen waar afgelopen periode non-conformities met de externe audit zijn gevallen, processen/onderdelen die zijn veranderd of nieuw zijn of onderdelen waar veel medewerkers zijn gewisseld. Hier kunnen om verschillende redenen risico’s liggen en heeft het de voorkeur om ge-audit te worden. Door zo te kijken naar bedrijfsactiviteiten worden de middelen efficiënt ingezet en ontstaat er een duidelijk beeld wat de actuele nalevingsstatus is. Hierdoor kan de organisatie concreet werken aan het minimaliseren van de risico’s en een verbeteringscyclus kan ingaan. Op deze manier wordt de PDCA-cyclus gewaarborgd.
Wat houdt het "wettelijk kader" in dat wordt genoemd in de aanpak van Borger & Burghouts?
Het “wettelijk kader” in de aanpak van Borger & Burghouts, ook wel register van eisen genoemd, omvat het overzicht van specifieke verplichtingen die op de organisatie van toepassing zijn op het gebied van milieu, arbo en veiligheid. Dit register van eisen geeft in detail aan welke wettelijke voorschriften van toepassing zijn op verschillende bedrijfsonderdelen, processen en installaties. Op basis van dit kader word vooraf samenspraak met de opdrachtgever de scope van de compliance-audit vastgesteld. Deze gerichte aanpak zorgt ervoor dat de audit zich concentreert op relevante complianceverplichtingen en risicovolle bedrijfsactiviteiten.
Uiteraard kunnen onze adviseurs ook een compliance-audit voor u uitvoeren wanneer u zelfstandig een overzicht van relevante wet- en regelgeving hebt opgesteld.
Hoe bepaalt Borger & Burghouts de scope en frequentie van de audits op basis van risico’s?
Dit verschilt per type audit. Voor een compliance-audit verkrijgt B&B inzicht in het wettelijk kader dat op de organisatie van toepassing is, waarin specifieke verplichtingen zijn vastgelegd. Vervolgens worden samen met de opdrachtgever de bedrijfsactiviteiten en bijbehorende risico’s geëvalueerd. Op basis van deze risico-evaluatie wordt de scope van de audit bepaald, gericht op relevante complianceverplichtingen en risicovolle processen en installaties. De auditfrequentie wordt eveneens gezamenlijk vastgesteld, waarbij de nadruk ligt op de frequentie van toetsing voor de meest risicovolle bedrijfsactiviteiten, terwijl andere minder risicovolle aspecten minder vaak worden ge-audit.
Voor een systeemaudit en/of procesaudit wordt er gekeken naar een auditprogramma dat een organisatie in een eerder stadium heeft moeten opstellen. In principe moet gecertificeerde ISO-organisatie een auditprogramma hebben en continu actualiseren. Nu blijkt in de praktijk dat dit niet altijd goed gebeurt. Samen met de opdrachtgever zal naar het auditprogramma gekeken worden of dit nog de huidige stand van zaken binnen de organisatie goed weergeeft. Samen kan bepaalt worden om deze eventueel te actualiseren op basis van risico-gebaseerd auditen. Aan de hand van het auditprogramma wordt de scope en auditfrequentie bepaald.
Wanneer een organisatie geen gecertificeerd managementsysteem heeft, gaan we gezamenlijk kijken waar de risico’s liggen binnen de organisatie en stellen we met de opdrachtgever een auditprogramma op om de scope van de audits scherp te krijgen en de auditfrequentie.
Op deze manier waarborgen we vanuit Borger & Burghouts risico-gestuurd auditen.
Welke voordelen biedt de inzet van gekwalificeerde adviseurs bij het uitvoeren van interne audits?
De inzet van gekwalificeerde adviseurs bij het uitvoeren van interne audits biedt verschillende voordelen, waaronder:
Deskundigheid: Onze adviseurs hebben de benodigde kennis en expertise op het gebied van normen, compliance en regelgeving. Ze begrijpen complexe wet- en regelgeving en kunnen deze effectief toepassen op de specifieke situatie van de organisatie. Daarnaast weten de adviseurs hoe ze de normen kunnen vertalen naar elk bedrijf.
Betrouwbaarheid: Door hun kwalificaties en ervaring geven onze adviseurs u een betrouwbaar beeld van de nalevingsstatus van de complianceverplichtingen en hoe de normen in de praktijk worden toegepast. Dit verhoogt het vertrouwen belanghebbenden, zoals de certificeringsinstelling of het bevoegd gezag, in de resultaten van de audit.
Efficiëntie: Onze adviseurs zijn bekend met de auditprocessen en kunnen deze efficiënt uitvoeren. Ze weten waar ze op moeten letten en kunnen snel relevante informatie identificeren en analyseren.
Focus op risico’s: Door de expertise van de adviseurs richten zij zich tijdens de audits op de belangrijkste risico’s en knelpunten binnen de organisatie. Dit zorgt voor een gerichte aanpak en maakt het mogelijk om prioriteiten te stellen bij het aanpakken van nalevingskwesties.
Kennisoverdracht: kennis over best practices en compliance worden gedeeld met de medewerkers van de organisatie. Hierdoor kan de organisatie zelf de nodige maatregelen nemen om de naleving te waarborgen op de lange termijn.
Al met al zorgt de inzet van adviseurs van B&B voor een professionele en effectieve uitvoering van interne audits, wat ervoor zorgt dat uw organisatie de volgende stap kan zetten in de continue verbetering.
Daniel van Grol
Senior adviseur – Teamleider