Het effectief managen van bedrijfsrisico’s, compliance en integriteit is essentieel voor blijvende groei. Wij helpen u graag bij het opzetten van een doordachte aanpak en bij het voorkomen, identificeren, onderzoeken en oplossen van issues.
Prevent
Voorkomen van risico’s, ongewenst gedrag en normovertredingen
Governance en leiderschap
Een risicomanagement en compliance programma is alleen effectief als de gehele organisatie het nut en de noodzaak ervan kent. Er moet voldoende draagvlak bestaan voor het programma. Dat begint in de top van de organisatie. Het bestuur moet uitdragen dat het programma een essentieel onderdeel is van het beleid van de onderneming.
Wij helpen u met:
- Corporate Governance: Opzetten van uw governance structuren en advies over de effectiviteit ervan.
- Three Lines of Defense (3LoD): Het afstemmen, samenwerken en integreren van de werkzaamheden van business management (1e lijn), risk & compliance management (2e lijn) en internal audit (3e lijn).
- Stakeholder management: Het managen van de relatie en de communicatie met belanghebbenden en toezichthouders.
Risicomanagement
Risicomanagement is van groot belang omdat er soms gevaren op de loer liggen die kunnen worden voorkomen of beperkt met een adequaat risicobeleid. Het implementeren van een goed risicobeleid is voor steeds meer organisaties wettelijk verplicht.
Wij helpen u inzicht te krijgen in welke risico’s uw organisatie écht raken, op welke wijze deze beheerst kunnen worden, of teruggebracht tot een aanvaardbaar niveau, én waar kansen liggen.
- Risk Appetite Framework: Bepalen van uw risicobereidheid, welke risico’s uw organisatie wel of niet wil nemen, en in welke mate, opstellen van Risk Appetite Statements, Key Risk Indicatoren (KRI’s) en verankering daarvan in een continu proces.
- Risico-inventarisatie: In kaart brengen van alle mogelijke bedreigingen die de doelstellingen en de kroonjuwelen van de onderneming in gevaar kunnen brengen.
- Risicoanalyse: Kwalitatieve en kwantitatieve analyse van de bedreigingen, de kans van het optreden ervan en de mogelijke impact.
- Risicobeheersing: Bepalen welke risico’s direct uw aandacht verdienen en welke minder urgent zijn en wat de beheersingsreacties zijn: vermijden, overdragen, verminderen of accepteren.
- Monitoring: Monitoren van bedreigingen om de mogelijke risico’s constant effectief te beheersen.
- Rapportage: Verankeren van het risicobeleid binnen uw organisatie door regelmatige updates te geven van de risico’s die u heeft onderzocht en de mogelijke strategieën die u heeft geïmplementeerd.
Beleid, procedures en beheersmaatregelen
Om ethisch, integer en transparant handelen in lijn met de strategie van de organisatie en de van toepassing zijnde wet- en regelgeving te bevorderen, zal allereerst moeten worden vastgelegd wat de normen en waarden van de organisatie zijn, wat ongewenst gedrag is en wat normovertredingen zijn, wat de te volgen procedures zijn en de mogelijke maatregelen en disciplinaire acties ingeval van niet-nakomen.
Ook zal er een gestructureerd beheersingskader moeten worden opgesteld met een beschrijving van de processtappen om controle en horizontaal toezicht te kunnen faciliteren.
Ethicly helpt u hier graag bij:
- Beleid en gedragscodes: Opstellen van beleid, interne gedragscodes, handboeken en aanpassen van contracten en overeenkomsten.
- Procedures en processen: Beschrijven en implementeren van procedures en processen, systeem van controles en signalen, PDCA-cyclus (Plan-Do-Check-Act).
- Control Framework: Opzetten en inrichten van een raamwerk of normenkader (bijvoorbeeld COSO) met de hoofd- en deelprocessen, de beheersingsdoelstellingen, de bijbehorende risico’s, de beheersingsmaatregelen en een proces voor het beoordelen van en verantwoorden over de opzet en bestaan van de beheersmaatregelen.
Training en awareness
De menselijke factor is nog steeds een van de zwakste schakels in het effectief managen van risico’s en compliance. Bewustmakingsprogramma’s en gespecialiseerde training helpen organisaties een risico- en normbewuste cultuur te ontwikkelen én te verankeren. Oefening is daarbij de beste voorbereiding op mogelijke incidenten.
Wij helpen u met:
- Awareness: Communiceren over het belang van uw normen en waarden, het te volgen beleid, nieuwe processen of wetswijzigingen en het inzetten van bijvoorbeeld nieuwsbrieven, online campagnes, video’s en animaties.
- Trainingen en workshops: Opzetten van een opleidingscurriculum, een training & ontwikkel portaal en het geven van inhoudelijke trainingen of workshop.
- Crisissimulatie en rollenspellen: Oefenen van scenario’s en goed voorbereiden op mogelijke incidenten.
Respond
Reageren op en onderzoeken van issues
Onderzoek en waarheidsvinding
Voorkomen is beter dan genezen. Maar ondanks steeds strengere regelgeving en een robuust risicomanagement en compliance programma kan het voorkomen dat uw bedrijf betrokken raakt bij een normovertreding, fraudegeval, integriteitskwestie of onderzoek door een binnen- of buitenlandse toezichthouder. Een onafhankelijke blik is dan cruciaal om de feitelijke gang van zaken te achterhalen met objectieve en zorgvuldige onderzoeken.
Wij helpen u graag met:
- Fraude- en integriteitsonderzoek: Onafhankelijk onderzoek naar alle feiten en omstandigheden, de aard en omvang en de rol van de betrokken personen en partijen. Met de uitkomsten van het onderzoek kunnen de juiste vervolgacties worden bepaald en of het nodig is met het voorval naar buiten te treden. We helpen ook dieperliggende oorzaken te achterhalen om herhaling van incidenten te voorkomen.
- Waarheidsvinding en documentatie: Uitvoeren van een feitenonderzoek (‘fact-finding’) of een toedrachtsonderzoek om de feitelijke gang van zaken vast te stellen en een (chronologisch) feitenrelaas op te stellen dat bijvoorbeeld kan worden ingezet voor disciplinaire acties of bij juridische procedures.
Oplossen en acties
Hoe goed de preventieve maatregelen ook zijn, de kans bestaat altijd dat een onvoorzien incident of calamiteit optreedt die de dienstverlening, belangen van stakeholders, de reputatie of zelfs de bedrijfscontinuïteit in gevaar kan brengen. Het is dan ook van wezenlijk belang dat organisaties een calamiteitenplan opstellen zodat in voorkomende gevallen de schade zo snel mogelijk kan worden ondervangen en op de juiste wijze kan worden gecommuniceerd. Het plan dient ook regelmatig te worden geoefend en geëvalueerd.
Wij helpen u met:
- Response plan: Opstellen van een draaiboek met situaties, procedures, rollen en verantwoordelijkheden en communicatie strategie. Wij ondersteunen ook bij crisistraining, testen en bijsturen.
- Crisis management: Omgaan met incidenten is onderdeel van het zakendoen. Omgaan met een grote crisis is echter anders. Wij kunnen u in zo’n geval 24/7 bijstaan voor het managen van de crisis.
Detect
Identificeren van operationele, compliance en integriteitsrisico’s
Klokkenluidersregeling
Elke organisatie bij wie minstens 50 personen werken is verplicht een interne meldregeling voor misstanden te hebben. Ook als er minder mensen binnen uw organisatie werkzaam zijn is het verstandig om een meldpunt in te richten. Zo kunt u ongewenst gedrag of normovertredingen vroegtijdig identificeren.
- Klokkenluidersprogramma: Wij stellen een interne meldregeling voor u op en helpen met het inrichten ervan zodat u aan alle wettelijke eisen voldoet.
- Meldpunt: Onafhankelijke melddesk waarbij wij het gehele proces van meldingen en opvolging uit handen nemen.
- Onderzoek en oplossen: Wij onderzoeken meldingen voor u en helpen met het oplossen en nemen van acties.
Screening
U wilt betrouwbaar personeel selecteren en in dienst hebben. Niet integer handelen door werknemers kan nare gevolgen hebben voor de onderneming. Uw organisatie kan negatief in de publiciteit komen en een integriteitsschending kan zelfs materiële en immateriële schade veroorzaken. Door screening kunt u de risico’s beperken. Voor bepaalde functies is dit zelfs wettelijk verplicht.
Wij helpen u met het screenen van sollicitanten, alsook van vast personeel, tijdelijke krachten en vrijwilligers.
- Screenen: Screenen van personen wiens functie risico’s met zich mee kan brengen of die een vertrouwensfunctie gaan bekleden.
- Screeningsbeleid: Voor het screenen van uw huidige personeel (in-employment screening) helpen wij u met het opstellen van een formeel screeningsbeleid.
Compliance en naleving door derden
Compliance is meer dan alleen het voldoen aan beleid, procedures, overeenkomsten, wet- en regelgeving en de verwachtingen van belanghebbenden en de maatschappij. Ondernemingen die bewust met compliance omgaan gebruiken het beheersen van naleving tegelijkertijd voor het inrichten van efficiëntere processen, het verbeteren van de interne organisatie en risicomanagement van derde partijen. Zij beheersen hiermee hun operationele, compliance en integriteitsrisico’s en verminderen de kans op reputatieschade van de onderneming.
Ethicly helpt u met:
- Compliance assessments: In kaart brengen van compliance risico’s, opstellen van een actieplan en implementeren van oplossingen. Daarnaast kunnen wij u helpen de effectiviteit en volwassenheid van uw compliance organisatie te evalueren en verbeteren.
- Contracten: Opstellen en of aanpassen van contracten en overeenkomsten met werknemers, vestigingen, dochtermaatschappijen en derde partijen zoals bijvoorbeeld arbeidscontracten, gebruik van bedrijfseigendommen, gedragscodes, inter-firm agreements, binding corporate rules, verwerkersovereenkomsten, opnemen van auditrechten, etc.
- Third Party Management: Beheersen van relaties met derde partijen waaronder een Third Party Governance & Risk Management Framework en Vendor Risk Management.
- Tooling: Automatiseren van Governance, Risk en Compliance (GRC) beleid, processen, contractenbeheer en van implementatie-, controle-, audit- en verbetertaken.
Audits en monitoring
Auditing en monitoring zijn essentiële beheersmaatregelen voor het voorkomen en opsporen van risico’s en onregelmatigheden in de eigen organisatie en bij derde partijen. Er gaat ook een afschrikkende werking vanuit. De bedoeling is om een continu proces van interne en externe controles in te bouwen om te helpen bij het identificeren van risico’s en gebieden die verbetering behoeven, terwijl tegelijkertijd moet worden gewaarborgd dat de bestaande processen geen fouten bevatten.
Wij helpen u graag bij het opzetten en uitvoeren van:
- First Party Audits: Interne audits gericht op het testen van het bestaan en de effectiviteit van processen en beheersmaatregelen binnen de eigen organisatie.
- Second Party Audits: Audits bij franchisers, leveranciers en derde partijen gericht op de naleving van gemaakte afspraken, overeenkomsten en normenkaders.
- Third Party Audits: Externe audits met als doel dat een onafhankelijke externe partij vaststelt dat uw organisatie voldoet aan de eisen. Dit kan gaan om juridische eisen, eisen in wet- en regelgeving of normeisen.
- Monitoring: Een minder geformaliseerde benadering dan auditing om continu te valideren dat de geïmplementeerde processen effectief zijn of voor het detecteren van gebieden die nader onderzoek vereisen.
Remediate
Herstel en procesverbeteringen
In geval van een incident of calamiteit is het van belang dat er voortgang blijft in de bedrijfsactiviteiten en de kritische functies beschikbaar zijn voor klanten, leveranciers en andere stakeholders. Na een incident is het van belang om deze zorgvuldig te evalueren en met de resultaten daarvan de processen en beheersmaatregelen aan te passen om een herhaling te voorkomen.
Ethicly ondersteunt u hierbij:
- Recovery & Business Continuity Plan: Opstellen van een herstelplan en een proces om de bedrijfscontinuïteit te kunnen waarborgen, waaronder een business impact analyse, hersteldoelstellingen, maatregelen en documentatie.
- Post-crisis review: Evaluatie van het incident en het response- en recoveryproces, actiepunten en voorstel voor maatregelen en procesverbeteringen.