Eindrapport Pilot Compliance Management. Frontoffice Chemie

Eindrapport Pilot Compliance Management Frontoffice Chemie

Eindrapport Pilot Compliance Management Frontoffice Chemie

Inhoudsopgave Samenvatting��5 1. Inleiding�� 9 Achtergrond�� 9 2. Doel, scope en deliverables�� 11 3. Werkwijze�� 13 Organisatie�� 13 Fase 1: Verkenning en instrumentontwikkeling�� 13 Fase 2: Afspraken overeenkomst�� 13 4. Resultaten�� 15 Toelichting compliance management en systeemtoezicht�� 15 Checklist compliance competence��18 Overzicht wettelijke eisen en risicomatrix�� 19 Afspraken��20 5. Vervolg van de pilot�� 25 Fasering�� 25 Na de pilot�� 26 6. Conclusies en aanbevelingen�� 29 Conclusies�� 29 Aanbevelingen��30 Bijlagen�� 33 Bijlage 1 - Samenstelling projectorganisatie��34 Bijlage 2 - Begrippenlijst�� 35 Bijlage 3 - Checklist compliance competence�� 36 Bijlage 4 - Gewichtsfactoren checklist compliance competence�� 42 Bijlage 5 - Toelichting op de Checklist Compliance Competence��44 Bijlage 6 - Brief ThermPhos�� 51 Bijlage 7 - Brief Gedeputeerde Staten van Zeeland��58 Bijlage 8 - Vergelijking checklist Compliance Competence en ISO 14001��60 Bijlage 9 - Risicomatrix��66

3

Samenvatting In het kader van het frontoffice chemie is in de periode eind 2006 tot april 2008 een pilot project uitgevoerd bij het bedrijf ThermPhos International in Vlissingen. De aanleiding van het project was drieërlei. Ten eerste wilde ThermPhos een volgende stap zetten in het structureel borgen en optimaliseren van de naleving van wettelijke eisen en vergunningsvoorschriften (compliance management). Ten tweede achtte de provincie Zeeland het wenselijk dat bedrijven zelf verantwoordelijkheid nemen op het gebied van compliance management. Ten derde wilde de VROM Inspectie als trekker van het frontoffice chemie nieuwe manieren van toezicht ont wikkelen die gebruik maken van de managementsystemen van bedrijven. Het doel van de pilot was om afspraken te maken over waar compliance management aan moet voldoen en over de bijbehorende wijze van toezicht en handhaving en ervaring opdoen met deze afspraken. Voor de uitvoering van het project is een projectgroep geformeerd bestaande uit vertegenwoordigers van ThermPhos, de provincie Zeeland, de VROM Inspectie en MWH B.V. Voor de aansturing van het project werd een stuurgroep geformeerd met vertegenwoordigers uit dezelfde organisatie. In een later stadium is ook een vertegenwoordiger van de Arbeidsinspectie aangeschoven in de stuurgroep. Tevens werd een klankbordgroep geformeerd met vertegenwoordigers van diverse stakeholders. Door de projectgroep zijn in de eerste fase instrumenten ontwikkeld. De checklist compliance competence werd aangepast en vastgesteld, een toelichting op de checklist werd opgesteld, een overzicht van wettelijke eisen op twee niveaus werd opgesteld en er werd een risicomatrix gemaakt. In tweede fase is door de projectgroep gewerkt aan de afspraken tussen ThermPhos en de provincie. De afspraken hebben betrekking op de eisen die aan het compliance management systeem worden gesteld en op de bijbehorende wijze van toezicht door de provincie. Ruwweg komen de afspraken er op neer dat naarmate het compliance management systeem van ThermPhos beter wordt, de provincie meer nadruk legt op systeemtoezicht en minder op toezicht op output. Tevens hebben de afspraken betrekking op het bestuursrechtelijk reageren op overtredingen. De pilot heeft geleid tot een toegenomen vertrouwen tussen bedrijf en provincie en tot wederzijds begrip. Partijen hebben voldoende vertrouwen in de systematiek en de gemaakte afspraken om de pilot te vervolgen om praktijkervaring op te doen en uit te breiden naar andere wettelijke domeinen en een groter deel van de inrichting. Naast dit gegroeide vertrouwen en wederzijdse begrip heeft het project de volgende concrete resultaten opgeleverd: • Een checklist compliance competence als meetinstrument voor de mate waarin het bedrijf de naleving van wettelijke eisen heeft geborgd; • Een toelichting op deze checklist voor gebruik als instrument voor een verificatie audit; • Een overzicht van de wettelijke eisen waaraan ThermPhos moet voldoen, inclusief een risico matrix; • Afspraken tussen ThermPhos en de Provincie met betrekking tot het niveau van compliance bij ThermPhos en differentiatie van toezicht van de Provincie.

5

De systematiek zoals deze in deze pilot is toegepast leent zich voor bredere toepassing in de chemie en wellicht ook in andere sectoren met vergelijkbare bedrijven. Een groot deel van de chemie bedrijven heeft een gecertificeerd management systeem en voldoet daarmee aan het ‘opstapniveau’ voor compliance management. Er liggen kansen om het gebruik van de checklist compliance competence te integreren met de ISO 14001 systematiek wat betreft normstelling en auditing. Over de differentiatie van strafrechtelijke sancties konden in dit project geen afspraken worden gemaakt. Wel is het van belang dat het strafrecht in wordt betrokken in het maken van afspraken over differentiatie van het repressieve toezicht bij bedrijven die haar compliance management verbeteren om te komen een consistente en effectieve aanpak.

6

Het is van belang dat de beleidsmatige en juridische basis van de systematiek en de gemaakte afspraken verder wordt onderzocht en uitgewerkt.

Fotogafie: © Thermphoscompliance

1. Inleiding Achtergrond De afgelopen jaren is de overheid hard bezig geweest om het toezicht op de naleving van wettelijke eisen te moderniseren. Het nieuwe programma Vernieuwing Toezicht (tot voor kort Eenduidig Toezicht geheten) gaat verder waar eerdere moderniseringen van het toezicht ophielden (zie www.inspectieloket.nl). Toezicht moet meer zijn gebaseerd op vertrouwen. Uitgangspunten van het nieuwe programma zijn onder andere dat inspecties vooral zijn gericht op risicovolle bedrijven, dat goede bedrijven minder worden gecontroleerd en dat eigen managementsystemen van bedrijven benut worden bij het toezicht. Het project ‘Frontoffice Chemie’ dat momenteel loopt, heeft als doel om te zorgen voor een goede en transparante organisatie van het toezicht bij chemische bedrijven op het gebied van onder andere milieu, veiligheid, water en chemicaliën. Waar nu nog diverse overheidsorganisaties veelal los van elkaar toezicht houden, zal dit straks gecoördineerd gebeuren. Het project valt onder het programma Vernieuwing Toezicht. Veel grote bedrijven in Nederland hebben de afgelopen jaren volop geïnvesteerd in het ontwikkelen en implementeren van managementsystemen. Er zijn zorgsystemen voor een groot aantal onderwerpen zoals kwaliteit, milieu, veiligheid en energie. Klanten, aandeelhouders, omwonenden, het moederconcern, de overheid: allemaal verwachten ze van het bedrijf dat het de risico’s kent en onder controle heeft. De overheid dekt risico’s af door voor bedrijven wetten en regels op te stellen en te controleren of deze worden nageleefd. Managementsystemen van bedrijven zijn niet primair gericht op het borgen en verbeteren van de naleving van wettelijke eisen, ook wel compliance management genoemd. Het systeem is er doorgaans in de eerste plaats om de bedrijfsvoering te optimaliseren. Er is bij grote bedrijven wel een groot potentieel om de naleving van wettelijke eisen te borgen in de eigen organisatie en de naleving continu te verbeteren op basis van kennis van en ervaring met managementsystemen. Er zijn vaak specifieke managers voor kwaliteit, gezondheid, veiligheid en milieu (QHSE). Echter, doordat de bestaande normen voor managementsystemen niet specifiek zijn gericht op het borgen van het naleven van wettelijke eisen, zijn er verschillen in het nalevingsgedrag bij bedrijven, ook al werken zij met gecertificeerde managementsystemen. Dit is ook het geval bij de milieuzorgnorm ISO 14001. Wat nog ontbreekt is een specifieke norm of specifieke normelementen voor het bepalen van de effectiviteit van compliance management. Wel zijn er criteria die kunnen worden gebruikt om tot een dergelijke norm te komen. Ook is er een concrete checklist waarmee, onafhankelijk van het wettelijk domein, kan worden gemeten hoe effectief het compliance management systeem is. Dit is mogelijk omdat met de checklist niet de naleving van regels wordt gemeten, maar de mate van borging van naleving. Deze borging staat in principe los van het soort regels dat wordt nageleefd.


9

2. Doel, scope en deliverables In een bespreking op 30 augustus 2006 tussen vertegenwoordigers van de provincie Zeeland, ThermPhos International B.V. en ons bureau is door de Gedeputeerde aangegeven dat de provincie Zeeland de eigen verantwoordelijkheid van groot belang acht en dat de provincie een pilot compliance management bestuurlijk wenselijk acht. Tijdens vervolggesprekken met vertegenwoordigers van ThermPhos, de Provincie Zeeland en de VROM Inspectie bleek bij de partijen draagvlak te bestaan voor een pilot compliance management bij ThermPhos. De VROM Inspectie heeft de pilot benoemd als één van de pilots in het kader van het frontoffice chemie. In elke pilot worden één of meerdere aspecten van het Frontoffice beproefd en ontwikkeld. Het algemene doel van de pilot is om afspraken te maken over waar compliance management aan moet voldoen en over de bijbehorende wijze van toezicht en handhaving en ervaring opdoen met deze afspraken. 10

Voor ThermPhos is het van belang dat:

11

• ThermPhos een grote stap zet in de structurele verbetering van de nalevingsprestatie; • er een relatie met de Provincie komt waarin een geborgde nalevingsprestatie voordelen biedt in de handhaving.

Voor de Provincie is het van belang dat: • de pilot tot resultaat heeft dat de naleving van ThermPhos goed geborgd is in de organisatie en inzichtelijk is voor de overheid en • de te maken afspraken binnen het beleid van de Provincie passen.

De pilot is gericht op de wettelijke eisen die op ThermPhos Vlissingen van toepassing zijn en waarvoor de provincie bevoegd gezag is, te weten de Wm en het BRZO. Voor de pilot is een afbakening gemaakt tot de Wet milieubeheer (exclusief BRZO) bij de Elementaire Phosphorus Plant (EPP) bij ThermPhos. De pilot compliance ThermPhos kent de volgende beoogde deliverables: • Een algemene eindrapportage van het project; • Een checklist compliance competence, inclusief toelichting voor gebruik; • Een overzicht van de wettelijke eisen waaraan ThermPhos moet voldoen, inclusief een risicoanalyse en de manier waarop de belangrijkste risico’s zijn geborgd in het interne managementsysteem; • Afspraken tussen ThermPhos en de Provincie met betrekking tot het niveau van compliance bij ThermPhos en differentiatie van toezicht van de Provincie. • Een evaluatie van de gemaakte afspraken na een periode van monitoring hiervan.

Het project is gefinancierd door ThermPhos, de Provincie Zeeland, de VROM Inspectie en MWH B.V. (allen 25%).

Fotogafie: © DSM

3. Werkwijze Organisatie Ten behoeve van het project zijn een stuurgroep, een projectgroep en een klankbordgroep geformeerd. De projectgroep heeft de werkzaamheden uitgevoerd en de deliverables gerealiseerd onder leiding van de stuurgroep. De klankbord groep heeft meegedacht in het proces en ervoor gezorgd dat er een basis is gelegd voor een verbreding van het project naar andere wettelijke domeinen. Een overzicht van de leden is opgenomen in Bijlage 1. Gedurende de looptijd van het project is de stuurgroep 3 keer bij elkaar gekomen, de projectgroep 8 keer en hebben 3 klankbordgroepoverleggen plaatsgevonden. Tevens hebben diverse bilaterale overleggen tussen de verschillende partijen plaatsgevonden. Fase 1: Verkenning en instrumentontwikkeling De eerste fase van het project was gericht op het ontwikkelen en vaststellen van de te gebruiken instrumenten. Door middel van interviews en overleg met betrokken partijen hebben we vastgesteld welke wensen en eisen er zijn. Een belangrijk element van de pilot betrof de vraag in hoeverre de checklist een geschikt instrument is om de effectiviteit van het compliance management systeem te bepalen. Daarom is aan de hand van interviews met betrokkenen in deze fase bepaald hoe we de checklist precies zullen gebruiken en is een toelichting op de checklist opgesteld. Fase 2: Afspraken overeenkomst In deze fase is verkend welke concrete afspraken tussen provincie en bedrijf zouden kunnen worden gemaakt. Van het bedrijf moest worden vastgesteld in welke mate zij het compliance management systeem zou invoeren en hoe zou worden vastgesteld dat dit niveau is bereikt. Aan de kant van de overheid moest worden bepaald op welke wijze zij het toezicht zou differentiëren, ervan uitgaande dat het bedrijf het compliance management systeem implementeert, met hierbij inbegrepen de risico analyse methodiek om de prioriteiten voor de borging te bepalen.

Fotogafie: © DSM

13

4. Resultaten Van de deliverables van het project zijn opgeleverd • Dit rapport als algemene eindrapportage van het project. • Een checklist compliance competence, inclusief toelichting voor gebruik. • Een overzicht van de wettelijke eisen waaraan ThermPhos moet voldoen, inclusief een risicoma trix. • Afspraken tussen ThermPhos en de Provincie met betrekking tot het niveau van compliance bij ThermPhos en differentiatie van toezicht van de Provincie.

Achteraf bezien is de projectgroep te optimistisch geweest over de tijd en inspanning om vanuit de verschillende invalshoeken (bedrijf en overheid) te komen tot gedragen, werkbare afspraken. Hier deed zich het spreekwoord gelden: vertrouwen komt te voet (en gaat te paard). De waarde van dit project is vooral gelegen in het gezamenlijke proces tussen bedrijf en provincie om tot deze afspraken te komen. Op basis hiervan is er bij de projectgroepleden vertrouwen om het project te continueren en te verbreden. In bijlage 2 is een begrippenlijst opgenomen met begrippen zoals deze in dit rapport worden gehanteerd. Toelichting compliance management en systeemtoezicht De wettelijke eisen waarmee een chemisch bedrijf te maken heeft kunnen omvangrijk en complex zijn. Het naleven van al deze eisen gaat niet vanzelf. Het bedrijf moet daarvoor een aantal maatregelen nemen. Zo moet het bedrijf ervoor zorgen dat het op de hoogte is van alle toepasselijke wettelijke eisen en de wijzigingen hierin. Ook moet het bedrijf deze eisen doorvertalen naar de organisatie in de vorm van instructies, procedures en andere maatregelen en vervolgens controleren of deze worden gevolgd. Een volgend belangrijk onderdeel is dat het bedrijf volledig open is over haar nalevingsprestatie naar de overheid, omwonenden en belanghebbenden. Wij definiëren compliance management als het structureel borgen en continu verbeteren van de naleving van wettelijke eisen. Op basis van onderzoek in verschillende sectoren (waaronder de chemische industrie) en eigen ervaringen heeft MWH een checklist opgesteld waarmee kan worden gemeten in hoeverre een bedrijf de naleving van wettelijke eisen heeft geborgd in de organisatie. Deze checklist bevat veertig vragen met verificatie items en is zó ontworpen dat hij kan worden gebruikt als basis voor een externe audit, vergelijkbaar met een ISO audit. De checklist en de bijbehorende toelichting zijn als bijlagen bij gevoegd. Bedrijven kunnen in vier niveaus van compliance competence worden ingedeeld. Daarbij horen vier niveaus van handhaving en toezicht vanuit de overheid. Deze niveaus vormen een groeimodel dat aangeeft hoe bedrijven en toezichthouders samen naar een hoger niveau kunnen groeien door zich respectievelijk te concentreren op een betere borging van naleving en een aangepaste wijze van toezicht dat uit gaat van groeiend vertrouwen. 1. Bedrijven die niet willen en/of niet kunnen naleven. Deze bedrijven zijn niet bereid tot regel naleving dan wel niet in staat tot regelnaleving vanwege het ontbreken van de benodigde competenties. 2. Bedrijven met een gecertificeerd management systeem zoals bijvoorbeeld een ISO 9000 of 14001 certificaat. Deze bedrijven hebben het kwaliteitsdenken in bepaalde mate aantoonbaar in de vingers maar dit is niet specifiek gericht op het borgen van de naleving van wettelijke eisen.

15

3. Bedrijven met een effectief compliance management systeem (CMS). Deze bedrijven hebben een managementsysteem dat specifiek gericht is op het borgen van regelnaleving. 4. Bedrijven met bewezen compliance management. Deze bedrijven zitten in de ‘eredivisie’ van compliance management. Hebben een managementsysteem dat specifiek gericht is op het bor gen van regelnaleving dat zich meerdere jaren heeft bewezen door goede resultaten en continue verbetering.

Onderstaande figuur geeft deze vier niveaus van CM aan.

Bedrijf

Handhaving/toezicht

Bewezen compliance

Niveau 4

of bepaalde voorzieningen zijn gerealiseerd, etc. Dit toezicht is dus gericht op de beoordeling van de output. Voor het bedrijf geeft dit een ‘single loop learning’: het lokt alleen acties van het bedrijf uit om de overtreding ongedaan te maken. Systeemtoezicht komt overeen met double loop learning en is gericht op de onderliggende processen, strategieën en procedures die compliance als doel hebben. Systeemtoezicht grijpt daarmee in op de structurele oorzaken van naleving en kan daarom een structurele verbetering van de naleving bewerkstelligen. De gecombineerde inzet van systeem toezicht en toezicht op output noemen we systeemgericht toezicht. Onderstaand figuur illustreert dit.

Compliance management systeem

Acties

Compliance

16

17

Bedrijf

Handhaving/toezicht

Compliance systeem

Niveau 3 Toezicht op output (=single loop learning)

Bedrijf Milieu- en kwaliteitszorg

Handhaving/toezicht Niveau 2 Systeemtoezicht (=double loop learning)

Bedrijf

Handhaving/toezicht

Niet willen/niet kunnen

Niveau 1

Als een bedrijf aantoonbaar compliance management voor elkaar heeft, kan de toezichthoudende overheid hierop inspelen door het toezicht anders te organiseren. Daarvoor staan verschillende mogelijkheden ter beschikking. We maken daarbij onderscheid tussen preventief en repressief toezicht: Bij preventief toezicht zijn er twee kanten. Enerzijds de kwantiteit en anderzijds de kwaliteit. De toezichthouder kan besluiten om minder te controleren, dus minder tijd te besteden aan de controle van het betreffende bedrijf. Dit kan zich bijvoorbeeld vertalen in minder inspectiebezoeken. Daarnaast kan de toezichthouder een ander accent gaan leggen in het toezicht: hij kan zich meer richten op controle van het CM systeem dan op de feitelijke naleving zelf. Het eerste noemen we systeemtoezicht, het tweede toezicht op output. Het onderscheid tussen systeemtoezicht (ook wel metatoezicht genoemd) en toezicht op output kan worden toegelicht aan de hand van een model voor leren in organisatie (Argyris en Schön, 1993). Bij toezicht op output controleert de toezichthouder of aan de vergunningsvoorschriften en wettelijke eisen wordt voldaan. Er wordt dus gekeken of de emissies de gestelde normen niet overschrijden,

Figuur: Model voor systeemgericht toezicht

Uit metingen van de toezichtslast (zie www.inspectieloket.nl bij onder andere Afval en bij Chemie) blijkt dat grote bedrijven niet zozeer last hebben van de hoeveelheid inspecties van de overheid, als wel de kwaliteit van de inspecties, waaronder de aansluiting op de interne bedrijfsvoering. Door middel van systeemtoezicht kan de overheid bij bedrijven die zich bevinden op CM niveaus 2 en 3, zich richten op de verdere verbetering van het compliance management systeem. Dit kan vermindering van toezichtslast geven omdat bedrijven leren naleving te borgen en zichzelf hierop te controleren. Bovendien zullen deze bedrijven systeemtoezicht ervaren als structureel meedenken. Overigens zullen er altijd, aanvullend op systeemtoezicht steekproefsgewijze outputcontroles moeten plaatsvinden als integraal onderdeel van het systeemgerichte toezicht. Hierbij is het van belang de gegevens van de outputcontroles te benutten om het compliance management systeem verder te verbeteren. Voor de repressieve kant van het toezicht betekent CM ook het een en ander. Bedrijven met een CM systeem controleren zelf of zij regels naleven, beëindigen overtredingen en nemen maatregelen om herhaling van deze overtredingen te voorkomen. Als dit mechanisme binnen het bedrijf aantoonbaar goed functioneert dient dit hetzelfde doel als bestuursrechtelijke sancties, die hiermee in wezen overbodig zijn geworden. Een praktische invulling kan zijn dat overtredingen gepleegd door bedrij-

ven met CM niveau 3 of 4 die door het bedrijf zelf worden geconstateerd en beëindigd en waarvoor maatregelen ter voorkoming van herhaling zijn genomen, niet bestuursrechtelijk worden bestraft. Voor hetzelfde bedrijf kan gelden dat overtredingen die niet op die manier worden afgehandeld, extra zwaar worden bestraft. Op deze manier ligt er een incentive bij het bedrijf om het CM systeem verder te verbeteren. Ook voor de strafrechtelijke afdoening van overtredingen kan het uitmaken of het overtredende bedrijf een CM systeem heeft. In de Verenigde Staten worden bedrijven die aan compliance management criteria voldoen, minder zwaar gestraft1. Checklist compliance competence

18

De basis voor de checklist was de door MWH aangeleverde checklist compliance competence. Het resultaat van de eerste fase was dat deze oorspronkelijke checklist is aangepast. De aanpassingen bestaan uit wijzigingen van de beschrijving van de onderdelen en een wijziging van de scorekolommen. De oorspronkelijke forced choice score (ja/nee) is verbijzonderd naar gedocumenteerd - geschikt – geïmplementeerd om meer mogelijkheden te hebben om het oordeel op het specifieke verificatie item te nuanceren. Hierbij geldt dat een verificatie item akkoord is (‘ja’) als deze gedocumenteerd, geschikt en geïmplementeerd is. Deze indeling is overgenomen uit de nieuwe inspectiemethodiek van het BRZO. De aangepaste checklist compliance competence is opgenomen in bijlage 3. Tijdens het project bleek dat er behoefte ontstond aan een toelichting op de checklist. De toelichting dient er toe om onafhankelijke auditors die een bedrijf auditeren op de checklist, te voorzien van de benodigde achtergrondinformatie om de audit goed te kunnen uitvoeren. Doelstelling was om het systeem geschikt te maken voor een externe verificatie audit. De toelichting is bijgevoegd in bijlage 5. Na aanpassing van de checklist heeft de projectgroep zich gebogen over het gewicht van de onderdelen van de checklist. De checklist is een meetinstrument en nog geen norm. De onderdelen van de checklist zijn door de projectgroep ingedeeld in drie niveaus:

In het project is besloten om de audit op de checklist in het kader van de afspraken tussen provincie en bedrijf zoveel mogelijk aan te laten sluiten op de ISO auditing systematiek. De projectgroep verwacht dat dit meest voor de hand liggende oplossing is met het oog op de efficiency en de competenties van de certificerende instelling. Met de certificerende instelling van ThermPhos zullen gesprekken worden gestart om dit te effectueren. De afspraak is dat de provincie in ieder geval de eerste keer dat de audit wordt uitgevoerd, hieraan deelneemt. Overzicht wettelijke eisen en risicomatrix Twee belangrijke eisen van de checklist zijn dat het bedrijf een systeem wettelijke kaders heeft en bijhoudt en dat het bedrijf op basis van een risicoanalyse de mate van borging bepaalt. In nauw overleg met ThermPhos is een register wettelijke eisen opgesteld op twee niveaus. Op een generiek niveau is vastgelegd welke wettelijke domeinen er op het bedrijf van toepassing zijn en wie binnen ThermPhos verantwoordelijk is om wijzigingen in dit domein te volgen en implementatie te coördineren in de organisatie. Op het tweede niveau is binnen het kader van de Wet milieubeheer een volledige opsomming van alle wettelijke eisen opgesteld, met onder andere de eisen uit de Wm-vergunning. De risico-inschatting en daaraan gekoppelde borging is tijdens het project intensief bediscussieerd. Vooral omdat er een schijnbare tegenstrijdigheid lijkt te liggen in een risicogebaseerde aanpak daar waar de wet vereist dat alle wettelijke verplichtingen worden nageleefd. Echter de risico-inschatting is gericht op het vinden van een adequaat niveau van borging. Door op elke wettelijke verplichting een even zwaar borgingsmechanisme te zetten ontstaat een onwerkbare situatie en dat is ook niet mogelijk met de beschikbare mankracht. Deze management uitdaging speelt overigens zowel bij het bedrijf als in het toezicht. De toezichthoudende instantie heeft immers ook geen onbeperkte capaciteit en zal dus keuzes moeten maken om zijn beschikbare capaciteit zo gericht mogelijk in te zetten. Deze inschatting wordt belangrijker naarmate de wettelijke eisen talrijker zijn en er geen formeel onderscheid is aangegeven in mate van belang van wettelijke eisen.

• Essentieel • Belangrijk • Minder belangrijk.

Het overzicht met gewichtsfactoren is opgenomen in bijlage 4. Omdat deze pilot is beperkt tot het naleven van milieueisen, is een nader onderzoek uitgevoerd naar de verhouding tussen de gebruikte checklist compliance competence en de ISO 14001 norm. Door het SCCM is een vergelijking gemaakt tussen de ISO 14001 norm en de checklist compliance competence zoals deze in dit project is gebruikt. Er blijkt een substantiële overlap in de eisen van de ISO 14001 norm en de checklist. Op een aantal punten stelt de checklist meer expliciete en gedetailleerde eisen aan de wijze waarop de wettelijke eisen worden geborgd. Belangrijke verschillen zijn onder andere de expliciete eisen die de checklist stelt aan hoe het bedrijf wijzigingen in wettelijke eisen monitort en deze doorvoert in het bedrijf en de eisen aan de compliance functie (met name functiescheiding en taken, bevoegdheden en verantwoordelijkheden). De vergelijking is als bijlage 8 in dit rapport opgenomen.

1. US Federal Sentencing Guidelines, November 1, 2004

In de praktijk vindt door bedrijven al een inschatting van het belang van een verplichting plaats, maar doorgaans zeer impliciet, waardoor een onafhankelijke toetsing op naleving moeilijk wordt. In de pilot zijn verschillende risicoanalyse methoden uitgeprobeerd waaronder het opstellen van scenario’s in analogie met BRZO. Dit bleek minder eenvoudig dan aanvankelijk gedacht. Uiteindelijk bleek de risicoanalysemethodiek voor voedselveiligheid met critical control points, waarmee ThermPhos bekend is, een zeer werkbare methode. Met die methode worden critical control points geïdentificeerd en wordt snel een schifting gemaakt tussen algemene beheersmaatregelen (die doorgaans onderdeel zijn van een management systeem) en specifieke maatregelen. Een critical control point is een punt in het proces (van voedingsmiddelenbereiding) waarna geen invloed meer kan worden uitgeoefend op de kwaliteit of samenstelling. Het is dus zaak om ervoor te zorgen dat dit punt dient als ‘Polizei Filter’ zodat geen stoffen of producten dit punt passeren die niet voldoen aan de criteria. Bij het opstellen van deze eindrapportage was ThermPhos bezig om analoog aan de methode van critical control points de risico analyse uit te werken.

19

ThermPhos gebruikte al een risicomatrix voor het inschatten van risico’s. In het project de risico matrix beoordeeld en aangevuld met enkele punten die voor de overheid van belang zijn. Het resultaat is een risicomatrix die kan worden gebruikt om de hoogte van risico’s in te schalen op een 6-punten schaal (Nihil, Licht, Beperkt, Ernstig, Zeer Ernstig en Ramp). De risicomatrix is opgenomen in bijlage 9. Afspraken Een van de belangrijke doelstellingen van het project was om afspraken te maken met betrekking tot het niveau van compliance management bij ThermPhos en de differentiatie van toezicht van de provincie.

20

In de laatste fase van het project zijn afspraken gemaakt over preventief toezicht op de naleving van de eisen van de milieuvergunning. Tevens konden afspraken worden gemaakt over de differentiatie van bestuursrechtelijke sancties. Deze afspraken zijn gemaakt voor de duur van de pilot en voor de Wm-vergunning van de EPP fabriek van ThermPhos. Over uitbreiding naar andere fabrieken en andere wettelijke domeinen worden aparte afspraken gemaakt. Vastlegging van de afspraken vindt plaats door middel van een brief van ThermPhos aan Gedeputeerde Staten van de Provincie Zeeland en een antwoord daarop (zie bijlagen 6 en 7).

Toetsing van het Compliance management systeem vindt plaats door onafhankelijke auditor. Criteria voor overgang van niveau 2 naar niveau 3 zijn eenduidig en afgeleid van de checklist compliance competence. De criteria om in niveau 3 te blijven moeten nog verder worden uitgewerkt, het gaat dan om wat een major bevinding is, wat afdoende snelle afhandeling is, aard en maximum aantal overtredingen waarbij het systeem niet heeft gefunctioneerd. Deze zijn nog niet eenduidig gedefinieerd tijdens de pilot, maar zullen in het vervolg nader worden vastgesteld en afgesproken. Voor niveau 4 geldt dat eerst een nog te bepalen periode aan de criteria moet worden voldaan, voordat daadwerkelijk de overgang naar dit niveau gemaakt wordt. Toezicht en handhaving bij de verschillende niveaus Binnen de pilot is een toezichten handhavingstrategie opgesteld passend bij het in werking zijn van een compliance management systeem. Binnen die strategie krijgt het bedrijf ruimte voor zelf corrigerend gedrag zonder bestuursrechtelijke sancties. Hieronder staat weergegeven op welke wijze de Provincie Zeeland toezicht zal houden en handhavend zal optreden in de verschillende niveaus.

Afspraken ten aanzien van de overgangen naar de verschillende compliance niveaus Uitgaande van het groeimodel uit paragraaf 2.2, zijn criteria vastgesteld voor de overgang naar de verschillende niveaus. Deze zijn weergegeven in onderstaande tabel. Compliance niveau

Criteria

Niveau 1

Bedrijf heeft geen ISO-14000 certificaat

Niveau 2

Bedrijf heeft een gecertificeerd ISO-14000 systeem

Niveau 3 Compliance management systeem opgezet

•100% score ‘voldoende’ op de volgende onderdelen van de checklist compliance competence (zie Bijlage 2): 1.1, 1.2, 1.3, 1.4, 1.5, 2.1, 2.2, 2.3, 2.4, 2.5, 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 3.8, 3.9. •score ‘voldoende’ op minimaal 50% van de volgende onderdelen van de checklist: 1.6, 3.10, 4.1, 4.2, 4.3, 4.4, 4.5, 4.6, 4.7, 5.1, 6.1, 6.2, 6.6, 6.7, 6.8. Om in niveau 3 te blijven moet wel worden voldaan aan: •Minimaal 1x per jaar toetsing van het systeem. •Geen major bevindingen tijdens jaarlijkse toetsing die niet voldoende snel zijn verholpen (wat een major bevinding is wordt in het vervolg traject uitgewerkt). •Maximaal een nader aantal te bepalen overtredingen per tijdseenheid waarbij het compliance management systeem niet heeft gefunctioneerd. Dit aantal en de aard zal tijdens het vervolgtraject worden bepaald.

Niveau 4 Compliance management systeem bewezen werkend

Voor periode van minimaal ..jaar: •100% score 'voldoende' op alle onderdelen die bij niveau 3 genoemd zijn. •Minimaal 1x per jaar toetsing van het systeem. •Geen major bevindingen tijdens jaarlijkse toetsing die niet voldoende snel zijn verholpen (wat een major bevinding is wordt in het vervolg traject uitgewerkt) •Maximaal een nader aantal te bepalen overtredingen per tijdseenheid waarbij het compliance management systeem niet heeft gefunctioneerd. Dit aantal en de aard zal tijdens het vervolgtraject worden bepaald.

Compliance Niveau

Handhaving Overtredingen die het bedrijf zelf heeft gecon stateerd en waarvoor afdoende actie is geno men voor herstel en voor komen van herhaling.

Overtredingen die de Provincie constateert en die het bedrijf niet heeft geconstateerd òf die het bedrijf heeft geconsta teerd, maar waarvoor geen of onvoldoende actie is genomen voor herstel en voorkomen van herha ling.

Toezicht Wijze van preventief toezicht.

Niveau 1

Bestaande systeem voor bestuursrechtelijk optreden.

Op output

Niveau 2

Bestaande systeem voor bestuursrechtelijk optreden.

Op output

Niveau 3 Compliance management systeem opgezet.

Bestuursrechtelijk optreden niet nodig.

Sneller bestuursrechtelijk optreden; met een stap minder dan in de toezichten sanctiestrategie. En eventueel terugval naar lager niveau.

Systeemtoezicht Geleidelijke verschuiving, afhankelijk van ervaring & vertrouwen in het systeem.

Niveau 4 Compliance management systeem bewezen werkend.

Bestuursrechtelijk optreden niet nodig.

Sneller bestuursrechtelijk optreden; met een stap minder dan in de toezichten sanctiestrategie.* En eventueel terugval naar lager niveau.

Systeemtoezicht Indicatief: 80% systeem, 20% steekproefcontroles op output.

21

De overweging voor het versneld bestuursrechtelijk optreden, bij overtredingen die de Provincie constateert en die het bedrijf niet heeft geconstateerd òf die het bedrijf heeft geconstateerd, maar waarvoor geen of onvoldoende actie is genomen voor herstel en voorkomen van herhaling, is dat bij zulke overtredingen het compliance management systeem niet goed heeft gefunctioneerd en het vertrouwen in het systeem daarmee wordt geschaad. Daarom wordt sneller opgetreden; waar bijvoorbeeld volgens de sanctiestrategie eerst een formele waarschuwing wordt gegeven, wordt nu meteen een dwangsom opgelegd. Niet vastgelegd is welke overtredingen qua ernst en omvang aanleiding geven tot een dergelijk versneld bestuursrechtelijk optreden. Dit vastleggen is ook één van de doelen voor het vervolg van de pilot. Op langere termijn geldt voor het toezicht het volgende streefbeeld: 22

Bij een bewezen goed functionerend compliance managementsysteem, dat periodiek wordt geaudit door een certificerende instelling, wordt het preventieve toezicht beperkt tot een periodieke toetsing van het systeem. Voor wat betreft de frequentie van de periodieke audit wordt toegewerkt naar een frequentie van éénmaal per jaar. Daarbij worden tevens op basis van steekproeven plantrondes uitgevoerd. Strafrecht Door de betrokken partijen is onderstreept dat het van belang is om ook over de differentiatie van strafrechtelijke sancties nadere afspraken te maken als het bedrijf haar compliance management niveau verbetert. Op milieugebied biedt hiertoe de LOM sanctiestrategie mogelijkheden. Deze stelt dat optreden (bestuurs- dan wel strafrechtelijk) achterwege kan blijven indien de overtreding: • niet doelbewust is begaan en • een kennelijk incident betreft en • gering van omvang is en • van een overigens goed nalevende overtreder • die onverwijld afdoende maatregelen heeft getroffen.

Wij gaan er van uit dat de afspraken die tussen ThermPhos en de provincie Zeeland zijn gemaakt over de voorwaarden waaronder een bestuursrechtelijk optreden achterwege kan blijven zoals beschreven in paragraaf 4.4.2, een concrete invulling zijn van de bovengenoemde criteria van de LOM sanctiestrategie. Inmiddels is over dit onderwerp contact met het Openbaar Ministerie. Het ligt voor de hand dat deze benaderingswijze vanuit het frontoffice chemie nader wordt afgestemd met het Openbaar Ministerie.

5. Vervolg van de pilot Bij partijen bestaat voldoende vertrouwen dat het systeem werkend gemaakt kan worden tot voordeel van beide partijen. Partijen hebben daarom besloten tot een vervolg van de pilot om een aantal onduidelijkheden die in de afgelopen fase niet konden worden opgehelderd, nu duidelijk vast te stellen. De implementatie en toetsing beperkt zich tot de Wm-vergunning van de EPP-fabriek. Doelstelling in algemene zin is: voor één van de fabrieken van ThermPhos (EPP) een werkend compliance management systeem hebben, met overeengekomen kwaliteitscriteria en toezichtswijze. De specifieke doelstellingen voor het vervolg van de pilot zijn: • Voor ThermPhos: Invullen van het compliance management systeem. Inzicht krijgen in de hoeveelheid werk om het systeem op te zetten en te onderhouden. • Voor de Provincie Zeeland: Ervaring opdoen met de verschuiving van het toezicht en de bijbehorende wijze van handhaving. Een beeld krijgen of deze werkwijze werkt, of de naleving beter wordt. • Voor beide partijen: Verkrijgen van een beeld van de waarde van het oordeel van een onafhanke lijke auditor en vertrouwen krijgen in het gebruik van de checklist voor het beoordelen van het compliance management systeem. • Voor beide partijen: Duidelijker vastleggen van toetsingscriteria: - wat is een major bevinding bij de toetsing van het systeem met de checklist; - wat is het maximum aantal (en aard van de) overtredingen waarbij het compliance management systeem niet heeft gefunctioneerd dat toegestaan is voor een bepaald stadium; - welke overtredingen (aantallen en/of aard) geven aanleiding tot direct, verkort bestuursrechtelijk ingrijpen (zie ook de tabel ‘Bestuursrechtelijk optreden per stadium’). • Voor beide partijen: Definiëren van criteria voor ‘Bewezen compliance’.

Fasering ThermPhos heeft momenteel een gecertificeerd ISO-14000 systeem. Uit een eerste toetsing tegen de checklist is een aantal verbeterpunten naar voren gekomen, die eerst moeten worden aangepakt, voordat het systeem van ThermPhos voldoet aan de minimum criteria voor een compliance niveau 3 (compliance management systeem in opzet gereed). Eerst stap in het vervolg van de pilot is daarom dat ThermPhos de opzet van het compliance management systeem afrondt, zodanig dat het voldoet aan de minimum criteria voor niveau 3. gedurende die periode wordt het handhavings- en toezichtsregime zoals momenteel toegepast, gecontinueerd. De tweede stap is het proefdraaien met het compliance management systeem en bijbehorende afspraken en het vastleggen van de toetsingscriteria voor niveau 3 en 4 (zoals majors, aantal overtredingen etc.). Een belangrijk onderdeel van het vervolgtraject is de evaluatie die na elke fase zal plaatsvinden. Beide partijen kunnen na elke fase besluiten om al dan niet verder te gaan. Ook kunnen na elke fase aanpassingen gedaan worden.

25

In meer detail zien de twee fasen van het vervolg er als volgt uit:

26

Fase 1: Implementatie • Vanuit de huidige situatie vult ThermPhos het compliance management systeem in. De huidige wijze van toezicht wordt gecontinueerd; • Bepalen van indicatoren voor succes van het vervolgproject; • Het uitvoeren van een nulmeting tegen de indicatoren voor succes; • Definiëren van een major bevinding; • Einde van deze fase als ThermPhos het systeem zover ingevuld heeft dat aan de checklistcriteria voor niveau 3 is voldaan; • Dit op basis van toetsing door een externe auditor aan de hand van de checklist. • Bij de toetsing loopt de Provincie mee; • Indien nodig aanpassing van het systeem na de toetsing totdat naar oordeel van alle partijen implementatie van de voor niveau 3 aangewezen elementen is bereikt; • Evaluatie en indien nodig aanpassing van de checklist; • Besluitvorming door beide partijen om al dan niet verder te gaan. Naar verwachting kan fase 1 eind 2008 worden afgerond. Fase 2: Proefdraaien • ThermPhos bevindt zich in niveau 3; • De Provincie hanteert de bijbehorende wijze van toezicht houden en bestuursrechtelijk optreden; • ThermPhos vult het Compliance management systeem aan met de elementen uit de criteria voor niveau 4 ; • Vaststellen van aard en maximum aantal van overtredingen, waarbij het compliance management systeem niet heeft gefunctioneerd, dat is toegestaan per stadium; • Vaststellen welke overtredingen (aard) aanleiding geven tot direct, verkort bestuursrechtelijk ingrijpen; • Einde van deze fase als ThermPhos het systeem zover ingevuld heeft dat aan de criteria voor niveau 4 is voldaan; • Dit op basis van toetsing door een externe auditor aan de hand van de checklist. • Bij de toetsing loopt de Provincie mee; • Indien nodig aanpassing van het systeem na de toetsing totdat naar oordeel van alle partijen implementatie van de voor niveau 4 aangewezen elementen is bereikt; • Evaluatie van deze manier van werken en indien nodig aanpassing van afspraken; • Besluitvorming door beide partijen om al dan niet verder te gaan. Naar verwachting kan fase 2 eind 2009 worden afgerond. Na de pilot Na het proefdraaien wordt de pilot beëindigd. Indien beide partijen ervoor kiezen om verder te gaan met compliance management, zullen de afspraken opnieuw worden vastgelegd. Daarin worden ook de criteria voor ‘Bewezen compliance’ meegenomen. Daarnaast kunnen de afspraken worden uitgebreid naar andere onderdelen van ThermPhos en naar andere vergunningen dan de Wm-vergunning.

6. Conclusies en aanbevelingen Conclusies Achteraf bezien is de projectgroep te optimistisch geweest over de tijd en inspanning om vanuit de verschillende invalshoeken (bedrijf en overheid) te komen tot gedragen, werkbare afspraken. Daardoor zijn we nog niet toegekomen aan het opdoen van ervaring met de afspraken. De waarde van dit project is vooral gelegen in het feit dat bedrijf en provincie door het gezamenlijk doorlopen van het proces en de gemaakte afspraken voldoende vertrouwen en wederzijds begrip hebben gekregen om het project te continueren en te verbreden. Naast dit gegroeide vertrouwen en wederzijdse begrip heeft het project de volgende concrete resultaten opgeleverd: • Een checklist compliance competence als meetinstrument voor de mate waarin het bedrijf de naleving van wettelijke eisen heeft geborgd. • Een toelichting op deze checklist voor gebruik als instrument voor een verificatie audit. • Een overzicht van de wettelijke eisen waaraan ThermPhos moet voldoen, inclusief een risico matrix. • Afspraken tussen ThermPhos en de Provincie met betrekking tot het niveau van compliance bij ThermPhos en differentiatie van toezicht van de Provincie.

Er liggen kansen om de audit op de checklist compliance competence uit te voeren in combinatie met de reguliere audits op het managementsysteem van het bedrijf door de certificerende instelling. Gezien de substantiële overlap tussen ISO 14001 en de checklist mag worden verwacht dat hiermee aanzienlijke efficiency voordelen te behalen zijn. De systematiek zoals deze in deze pilot is toegepast leent zich voor bredere toepassing in de chemie. Hierbij kunnen de per brief gemaakte afspraken dienen als voorbeeld. Als we ervan uitgaan dat het opstapniveau een certificeerbaar managementsysteem is dat gelijkwaardig aan een ISO norm zoals ISO 14001, dan impliceert dit dat de meeste chemische bedrijven in aanmerking komen voor een dergelijke aanpak. Of het zinvol is om in een specifieke situatie deze aanpak toe te passen hangt mede af van de ambitie van het bedrijf om structureel de compliance prestatie te verbeteren en de mate waarin de toezichthoudende instantie bereid en in staat is om haar benadering af te stemmen op het compliance management systeem van het bedrijf in termen van preventief en repressief toezicht. Over de differentiatie van strafrechtelijke sancties konden in dit project geen afspraken worden gemaakt en het Openbaar Ministerie heeft niet deelgenomen aan het project. Wel is door de betrokkenen aangegeven dat voor een effectieve benadering het noodzakelijk is dat het strafrecht wordt betrokken in het maken van afspraken over differentiatie van het repressieve toezicht bij bedrijven die haar compliance management verbeteren.

29

Aanbevelingen Voortzetten pilot ThermPhos en uitbreiding naar andere wettelijke kaders • Start een vervolgproject bij ThermPhos om de afspraken te monitoren en te evalueren en om enkele kaders en onderdelen van de afspraken verder te verduidelijken en te specificeren. Voor het vervolg van de pilot is in de projectgroep een stappenplan opgesteld (zie hoofdstuk 5). • Breidt de pilot uit naar andere wettelijke domeinen zoals oppervlaktewater (RWS) en arbeidsveiligheid (Arbeidsinspectie) om te toetsen of de aanpak ook hier kan worden toegepast en of ook voor deze domeinen soortgelijke afspraken tussen bedrijf en bevoegd gezag kunnen worden gemaakt.

30

Uitbreiding naar sector chemie • V eranker en bekrachtig de afspraken zoals die in deze pilot zijn gemaakt op het niveau van het frontoffice chemie en de sector (VNCI). Bij het ontwikkelen van een landelijk beleid zou mogelijk ook het SCCM als beheerder van het certificatiesysteem - ISO 14001 een rol kunnen spelen. • P as de systematiek allereerst toe bij andere bedrijven in de sector. Er is echter reden om aan te nemen dat de toepassingsmogelijkheden breder zijn dan de sector chemie alleen. Een eerdere pilot in het kader van het frontoffice afval bij een groot afvalbedrijf leverde de conclusie op dat de basiselementen compliance audit/systeemtoezicht en gezamenlijke risicoanalyse bij andere grote afvalverwerkers kunnen worden toegepast. Naar verwachting is er binnen de sector chemie een ruime mogelijkheid omdat de ervaring in de sector met managementsystemen en risicobeheersing groot is. Integratie met ISO 14001 • O nderzoek de mogelijkheden om de checklist compliance competence aan te doen sluiten bij de ISO 14001, bijvoorbeeld door het uitbreiden van de ISO 14001 norm met de specifieke eisen van de checklist. Een alternatief is het expliciteren van het certificatieschema (toelichting) van de ISO 14001 norm voor zover de eisen van de checklist impliciet in de ISO 14001 eisen zijn geformuleerd. • T est in vervolgprojecten of de gangbare audit op het managementsysteem kan worden gecombineerd met de audit op de checklist compliance competence. Bestuurs- en strafrecht • Z org ervoor dat er afspraken worden gemaakt met het Openbaar Ministerie over hoe vanuit het strafrecht moet worden omgegaan met bedrijven die een effectief compliance management systeem hebben. • E én van de mogelijkheden ligt in de Landelijke Strategie Milieuhandhaving van het Landelijk Overleg Milieuhandhaving (LOM). In het LOM nemen alle handhavingspartners inclusief het Openbaar Ministerie deel. Het LOM heeft in haar Landelijke Strategie Milieuhandhaving criteria geformuleerd voor het afzien van optreden. Wij bevelen aan om in de LOM criteria nader te specificeren in de lijn van de afspraken die in deze pilot zijn gemaakt. Een dergelijke keuze heeft enkele voordelen. Ten eerste zeggen criteria die betrekking hebben op wat het bedrijf heeft gedaan om regelnaleving te borgen meer over het gedrag van het bedrijf dan de feitelijke naleving. Ten tweede wordt het oordeel hiermee gebaseerd op die aspecten die het bedrijf zelf kan beïnvloeden. Hierdoor weet het bedrijf wat het te doen staat om de naleving structureel te borgen en te verbeteren. • W ij bevelen aan om de beleidsmatige en juridische basis te toetsen van de afspraken die tussen bedrijf en toezichthoudende instanties worden gemaakt. Het gaat er hier vooral om de vraag of de bestaande wettelijke en beleidsmatige kaders voldoende ruimte bieden om het toezicht in al haar facetten zo af te stemmen op compliance management systemen bij bedrijven als wenselijk wordt geacht.

Bijlagen Bijlage 1 Samenstelling projectorganisatie......................................................................................................34 Bijlage 2 Begrippenlijst...........................................................................................................................................35 Bijlage 3 Checklist compliance competence.....................................................................................................36 Bijlage 4 Gewichtsfactoren Checklist compliance competence...................................................................42 Bijlage 5 Toelichting op de Checklist compliance competence................................................................... 44 Bijlage 6 Brief ThermPhos......................................................................................................................................51 Bijlage 7 Brief Gedeputeerde Staten van Zeeland..........................................................................................58 Bijlage 8 Vergelijking Checklist Compliance Competence en ISO 14001.................................................. 60 Bijlage 9 Risicomatrix..............................................................................................................................................66

33

Bijlage 1

Bijlage 2

Samenstelling projectorganisatie

Bedrijf

Leden stuurgroep Chiel Bovenkerk Dirk den Ottelander Guus Gabriëlse Martin de Bree Paul van Lieshout (later toegetreden)

Begrippenlijst

VROM Inspectie ThermPhos Provincie Zeeland MWH Arbeidsinspectie

Organisatie eenheid die zowel in rechte als in persoon beschouwd wordt en waaraan dientengevolge volkomen rechtsbevoegdheid wordt verleend. Nalevingsprestatie

Leden projectgroep

34

Arend Boterenbrood Dirk den Ottelander Gordon de Jonge Henk van der Veen Jacquelien Wijkhuijs Karen van Schaik Aldwin Krom Martin de Bree

De mate van regelnaleving door het bedrijf. Provincie Zeeland ThermPhos ThermPhos VROM Inspectie ThermPhos Provincie Zeeland MWH MWH

Projectgroepleden, met aanvullend: Carlo de Deckere Dan de Bruin Diana Martens Eddy Erdtsieck Frans Stuyt Macco Korteweg Maris Robert Hendrikse Hanny Warringa

Arbeidsinspectie Veiligheidsregio Zeeland Arbeidsinspectie Rijkswaterstaat SCCM VNCI Gemeente Vlissingen Openbaar Ministerie (agendalid)

De integrale combinatie van systeemtoezicht en toezicht op output. Systeemtoezicht Toezicht op systemen, processen en methoden die gericht zijn op het borgen van de naleving van wettelijke eisen en niet op de feitelijke naleving zelf.

Compliance Het naleven van wettelijke eisen inclusief vergunningsvoorschriften. Compliance management systeem Een intern beheersingssysteem dat een organisatie onder eigen verantwoordelijkheid opzet ter voorkoming van onrechtmatig handelen binnen die organisatie.

Leden klankbordgroep

Systeemgericht toezicht

Gedragscode Een opschrift gestelde verklaring waarin is opgenomen welk gedrag concreet wordt verwacht van de medewerkers in het licht van de visie van de organisatie.

Systematisch Indien is vastgelegd wie verantwoordelijk is voor de uitvoering, wanneer de betreffende activiteit plaats vindt en op welke wijze deze wordt uitgevoerd. Toezicht Alle handelingen uitgevoerd door een krachtens de wet hiertoe bevoegde instantie die gericht zijn op het inwinnen van informatie over de naleving van wettelijke eisen door een derde, het vormen van een oordeel of het publiek belang voldoende is bereikt en het eventueel interveniëren. Toezicht op output

Kwaliteitsdenken het inrichten van de organisatie volgens vastgestelde procedures en werkwijzen waardoor de organisatie zich in staat stelt op een gedegen wijze continu te verbeteren en daardoor sterker te worden in het oplossen van de dagelijkse problematiek en het innoveren van de werkprocessen. Metatoezicht Synoniem voor Systeemtoezicht (zie onder Systeemtoezicht).

Toezicht op de naleving van wettelijke eisen Transparant Geeft een adequaat inzicht in het onderwerp.

35

Bijlage 3

Checklist compliance competence Eis

Verificatie item

Geschikt

Geïmplementeerd

Gedocumenteerd

1. Systeem wettelijke kaders

36

1.1 O nderhoudt het bedrijf een systeem waarin alle relevante wettelijke eisen zijn opgenomen?

Vastlegging regels in database of register.







1.2 Is de verantwoordelijkheid voor het onderhoud van het systeem vastgelegd?

Vastlegging verantwoordelijkheid







1.3 Heeft het bedrijf op basis van een risicoanalyse het detailniveau van de borging van de wettelijke eisen vastgesteld?

Beschrijving methodiek risicoanalyse.







1.4 Bevat het systeem een expliciete koppeling tussen de risicovolle wettelijke eisen en de onderdelen van het compliance management systeem waarin de naleving van deze eisen is geborgd?

Cross reference met wettelijke regels en interne afspraken, procedures en instructies.







1.5 Houdt het bedrijf het systeem actueel en volledig?

Actieve screening wijzigingen.







Aanpassing database of register bij nieuwe regels.













     

     

     







1.6 Onderzoekt het bedrijf structureel de duidelijkheid en de naleefbaarheid van de wettelijke eisen? 2. Visie en gedrag 2.1 Heeft het bedrijf een op schrift gestelde, gedragen visie op regelnaleving?

Verspreiding visie.

2.2 Steunt de directie het compliance management systeem?

Agenda directieoverleg.

2.3 Heeft het bedrijf een gedragscode waarin concreet is vastgelegd wat het bedrijf van de werknemers verwacht t.a.v. regelnaleving?

Inhoud gedragscode.

Inhoud visie.

Review gedragscode elke 3 jaar.

2.4 Zijn de visie en de gedragscode bekend bij de medewerkers?

Verspreiding gedragscode.

2.5 Is in de gedragscode expliciet aangeduid wat van de medewerkers wordt verwacht inzake openheid, opleiding, pro-activiteit en zelf kritische houding ten aanzien van regelnaleving?

Inhoud gedragscode.

3. Kwaliteitsdenken, opleiding, zelfkritische houding en continue verbetering 3.1 Heeft het bedrijf een gecertificeerd managementsysteem? (bv. ISO 9000/14001) ?

Werkend management systeem.







3.2 Wordt het onderhavige managementsysteem systematisch toegepast voor het borgen van regelnaleving?

Procedures gericht op regelnaleving.







3.3 Stelt het bedrijf objectieve gekwantificeerde doelstellingen vast ten aanzien van regelnaleving?

Maximum aantal afwijkingen.







Doelstellingen meetbaar en realistisch.







Is duidelijk wie de actie uitvoert.







Is duidelijk wanneer de actie gereed is.







3.4 Stelt het bedrijf jaarplannen op waarin voorgenomen acties zijn gedefinieerd ten aanzien van regelnaleving?

37

Eis

Verificatie item

Geschikt

Geïmplementeerd

Gedocumenteerd

  

  

  

3. Kwaliteitsdenken, opleiding, zelfkritische houding en continue verbetering 3.5 H eeft het bedrijf vastgesteld hoe de nalevingsprestatie wordt bepaald?

38

Procedure meting nalevingsprestatie. Meting objectief en reproduceerbaar.

3.6 Wordt de nalevingsprestatie planmatig gemeten?

Rapportage van de meting.

3.7 Registreert het bedrijf systematisch afwijkingen ten aanzien van regelnaleving?

Continue planmatige registratie.







3.8 O nderzoekt het bedrijf systematisch de oorzaak van deze afwijkingen?

Registratie onderzoek.







3.9 Onderneemt het bedrijf systematisch actie naar aanleiding van het onderzoek naar de oorzaak van afwijkingen ter verbetering van de nalevingsprestatie?

Vastlegging acties (wie, wanneer).







Monitoring uitvoering acties.

3.10 Is er een werkwijze hoe nieuwe werkinstructies t.a.v. regelnaleving aan medewerkers worden gecommuniceerd?

Opleidingsplan.

  

  

  







Inhoud.

39

4. Compliance officer en pro-activiteit 4.1 Heeft het bedrijf een functionaris (hierna te noemen compliance officer) of afdeling (hierna te noemen compliance afdeling) die toeziet op de regelnaleving door het bedrijf?

functie- of afdelingsomschrijving

4.2 Zijn de taken, bevoegdheden en verantwoordelijkheden van de compliance officer of compliance afdeling schriftelijk vastgelegd?

eenduidige vastlegging taken, bevoegdheden en verantwoordelijkheden







4.3 Is er een vervangingsregeling voor het geval dat de compliance officer afwezig is?

aangewezen persoon bij compliance afdeling: bezetting gegarandeerd







4.4 Onderhoudt de compliance officer of compliance afdeling contacten met de overheid met betrekking tot het definiëren van de betekenis van wettelijke eisen voor het bedrijf?

periodiek minstens twee maal per jaar







verslagen gesprekken met de overheid







inhoud besprekingen













4.5 Rapporteert de compliance officer of compliance afdeling rechtstreeks aan het hoogste management en onafhankelijk van degenen die binnen het bedrijf verantwoordelijk zijn voor de regelnaleving?

deelname compliance officer in hoogste management overleg

4.6 Is de compliance officer of compliance afdeling bevoegd te spreken namens het bedrijf?

bevoegdheid schriftelijk vastgelegd (wat, wie)







4.7 H eeft de compliance officer adequate ervaring, opleiding en training opgedaan?

training compliance officer personeelsdossier







Fotogafie: © DSM

Eis

Verificatie item

Geschikt

Geïmplementeerd

Gedocumenteerd

5.1 C ommuniceert het bedrijf op open wijze met overheid, omwonenden en andere belanghebbenden over de eigen regelnaleving?







5.2 Communiceert het bedrijf op open wijze met belanghebbenden over de werking en de resultaten van het compliancesysteem?







5.3 Stelt het bedrijf een jaarverslag op waarin wordt gerapporteerd over de eigen nalevingsprestatie?

 

 

 

5.5 Vermeldt dit jaarverslag de prestatie van het bedrijf ten aanzien van het naleven van alle relevante wettelijke eisen?







5.6 Is dit jaarverslag transparant en eenduidig?



















5. Openheid en jaarverslagen

5.4 Wordt dit jaarverslag beschikbaar gesteld aan belanghebbenden?

40

6. Pre-screening medewerkers en disciplinaire maatregelen 6.1 Heeft het bedrijf aan de werknemers en bestuurders duidelijk gemaakt welke maatregelen het bedrijf neemt met betrekking tot personen die willens en wetens overtredingen begaan?

Intern vastgelegde afspraken.

6.2 Heeft het bedrijf aan de werknemers en bestuurders duidelijk gemaakt dat het bedrijf geen maatregelen neemt tot degene die onopzettelijke overtredingen meldt?


6.3 H eeft het bedrijf een overzicht van fraudegevoelige functies?

Lijst met functies.







Criteria voor fraudegevoelige functies.







Screeningsprocedure.







Schriftelijk vastgelegde maatregelen bij niet integer handelen.







Minstens twee maal per jaar steekproef.







Resultaten steekproef vastgelegd in rapportage.







6.6 Neemt het bedrijf meteen maatregelen bij het constateren van overtredingen?

Vastgelegde maatregelen.







6.7 Heeft het bedrijf aan de werknemers duidelijk gemaakt dat het melden van overtredingen verplicht is?








6.8 Heeft het bedrijf een systeem om het melden van overtredingen te bemoedigen?

Snelle terugkoppeling melding vanuit management.







Eenvoudige meldingsprocedure.







Mogelijke gevolgen van de melding zijn de melder bekend.







6.4 H eeft het bedrijf maatregelen genomen om ervoor te zorgen dat fraudegevoelige functies worden bekleed door personen die integer handelen? 6.5 H eeft het bedrijf een systeem om steekproefsgewijs te controleren of de kritische fraudegevoelige taken integer worden uitgevoerd?

41

Bijlage 4

Gewichtsfactoren checklist compliance competence Inventarisatie relevantie checklist versie 8-4-2008 Provincie

VI

ThermPhos

Resultante*

VI

ThermPhos

Resultante*

Compliance officer en pro-activiteit

Systeem wettelijke kaders

42

Provincie

1.1

e

e

e

e

4.1

mb

mb

b

b

1.2

e

b

e

e

4.2

mb

mb

b

b

1.3

e

b

e

e

4.3

mb

mb

b

b

1.4

e

e

e

e

4.4

mb

mb

b

b

1.5

e

b

e

e

4.5

mb

mb

b

b

1.6

mb

mb

b

b

4.6

mb

mb

b

b

4.7

mb

mb

b

b

Visie en gedrag 2.1

b

e

e

Openheid en jaarverslagen

2.2

b

e

e

5.1

mb

mb

mb

2.3

b

e

e

5.2

mb

mb

mb

2.4

b

e

e

5.3

mb

mb

mb

mb

2.5

b

e

e

5.4

mb

mb

mb

mb

5.5

mb

mb

mb

mb

5.6

mb

mb

mb

mb

Kwaliteitsdenken, opleiding, zelfkritische houding en continue verbetering 3.1

e

e

e

3.2

e

e

e

Pre screening medewerkers en disciplinaire maatregelen

b

e

e

6.1

mb

mb

b

b

b

e

e

6.2

mb

mb

b

b

b

e

e

6.3

mb

mb

mb

mb

b

e

e

6.4

mb

mb

mb

mb

3.3

e

3.4 3.5

e

3.6 3.7

e

b

e

e

6.5

mb

mb

mb

mb

3.8

e

b

e

e

6.6

mb

mb

b

b

3.9

e

b

e

e

6.7

mb

mb

b

b

mb

b

6.8

mb

mb

b

b

3.10

43

e = essentieel b = belangrijk mb = minder belangrijk * basis voor het afsprakendocument


Bijlage 5

Toelichting op de Checklist Compliance Competence 1. Inleiding De afgelopen jaren heeft de overheid inspanningen verricht om het toezicht op de naleving van wettelijke eisen te moderniseren. Het nieuwe programma Vernieuwing Toezicht (tot voor kort Eenduidig Toezicht geheten) gaat verder waar eerdere moderniseringen van het toezicht op-hielden (zie www.inspectieloket.nl). Toezicht moet meer zijn gebaseerd op vertrouwen. Uitgangspunten van het nieuwe programma zijn onder andere dat inspecties vooral zijn gericht op risicovolle bedrijven, dat goede bedrijven minder worden gecontroleerd en dat eigen managementsystemen van bedrijven benut worden bij het toezicht.

44

Veel grote bedrijven in Nederland hebben de afgelopen jaren volop geïnvesteerd in het ontwikkelen en implementeren van managementsystemen. Er zijn zorgsystemen voor een groot aantal onderwerpen zoals kwaliteit, milieu, veiligheid en energie. Klanten, aandeelhouders, omwonenden, het moederconcern, de overheid: allemaal verwachten ze van het bedrijf dat het de risico’s kent en onder controle heeft.

Vertrouwen = geloofwaardigheid x kwaliteit van de relatie x betrouwbaarheid

zelfingenomenheid

Geloofwaardigheid: Kwaliteit van de relatie: Betrouwbaarheid: Zelfingenomenheid:

is het waar te maken? open, prettig, kwetsbaar afspraak is afspraak gebrek aan zelfreflectie en -kritiek

Een effectief compliance management systeem is opgebouwd uit 6 verschillende onderdelen, te weten • Systeem wettelijke kaders • Visie en gedrag • Kwaliteitsdenken, opleiding, zelfkritische houding en continue verbetering • Compliance officer en pro-activiteit

De overheid dekt risico’s af door voor bedrijven wetten en regels op te stellen en te controleren of deze worden nageleefd. Managementsystemen van bedrijven er in de eerste plaats voor het management: om de bedrijfsvoering te optimaliseren. Ze zijn niet primair gericht op het borgen van de naleving van wettelijke eisen. Dit laatste wordt ook wel compliance management genoemd. Er is bij grote bedrijven wel een groot potentieel om de naleving van wettelijke eisen te borgen in de eigen organisatie op basis van kennis van en ervaring met managementsystemen. Er zijn vaak specifieke managers voor kwaliteit, gezondheid, veiligheid en milieu (QHSE). Echter, doordat de bestaande normen voor managementsystemen niet specifiek zijn gericht op het borgen van de naleving, zijn er grote verschillen in nalevingsgedrag bij bedrijven die werken met gecertificeerde managementsystemen. Dit is zelfs het geval bij de vernieuwde milieuzorgnorm ISO 14001. Wat tot op heden ontbrak is een specifieke norm voor het bepalen van de effectiviteit van compliance management. De checklist compliance competence waarop deze toelichting betrekking heeft is gebaseerd op het onderzoek ‘Waste and Innovation3’ en die is aangepast aan de hand van de bevindingen van een pilot van ThermPhos International, de Provincie Zeeland, de VROM Inspectie (vanuit het frontoffice Chemie) en MWH. Het doel van de checklist is om te meten in hoeverre een bedrijf de naleving van wettelijke eisen in de eigen organisatie heeft geborgd. 2. Vertrouwen als basis Modern overheidstoezicht gaat uit van vertrouwen als basishouding. Vertrouwen kan worden omgezet in vier elementen die aangrijpingspunten voor actie geven4. De formule is op de pagina hiernaast weergegeven.

3. Waste and Innovation, M.A. de Bree, Berghauser Pont Publishing, 2006 4. Bron: Robert Benninga

• Openheid en jaarverslagen • Pre-screening medewerkers en disciplinaire maatregelen

Deze onderdelen vormen samen een compliance management systeem en zorgen ervoor dat de beoordelende overheid meer vertrouwen krijgt in het bedrijf. Door het compliance management systeem wordt het bedrijf competenter in termen van regelnaleving (geloofwaardigheid), het bedrijf communiceert open over de nalevingsprestatie en de afwijkingen (kwaliteit van de relatie), door het kwaliteitsdenken toe te passen op regelnaleving kan het bedrijf haar afspraken beter nakomen (betrouwbaarheid) en door de cyclus van continue verbetering toe te passen op compliance onderzoekt het bedrijf structureel de eigen prestatie (zelfreflectie en – kritiek). Elk van de onderdelen van de checklist bevat een aantal vragen waarop moet worden getoetst. Bij de meeste vragen zijn één of meer verificatie items opgenomen die dienen als hulpmiddel om de vraag goed te kunnen beantwoorden. Een verificatie item is een concrete aanwijzing die helpt bij het beantwoorden van een vraag van de checklist. Een verificatie item is alleen dan akkoord, als deze zowel geschikt, geïmplementeerd als gedocumenteerd is. De auditor kan voor elk van deze drie aspecten op de checklist aangeven of hieraan is voldaan, zodat de auditee duidelijk kan zien op welke aspecten eventueel niet goed wordt gescoord. Deze aspecten zijn ontleend aan de nieuwe inspectiemethodiek van het Brzo. De checklist dient te worden gebruikt als basis voor een externe verificatie audit. Deze audit bestaat uit 6-8 interviews met sleutelfiguren van de auditee en bestudering van relevante documenten, registers, bestanden en overzichten. Na het onderzoek worden de bevindingen opgenomen in een schriftelijke conceptrapportage met de ingevulde checklist en een toelichting per onderdeel van de checklist en de score op de checklist.

45

2.1 Eisen auditor en auditerende instelling Aan de kennis en vaardigheden van de auditor die de verificatie audit uitvoert van het compliance management systeem worden de volgende eisen gesteld:

van de verantwoordelijkheid om wijzigingen en ontwikkelingen in bepaalde wettelijke domeinen bij te houden kan bestaan uit een beknopt overzicht met daarin het wettelijke domein (bijvoorbeeld ‘milieuwetgeving’, of ‘Kernenergiewet’ met daarachter de naam van degene die verantwoordelijk is om dit domein inhoudelijke te volgen.

• werk en denkniveau dat minimaal gelijk is aan het hoger beroepsonderwijs • de leider van het auditteam is gekwalificeerd als lead-auditor en als auditor compliance competence

Uitgangspunt bij overheidstoezicht én compliance management is het streven naar volledige naleving van wettelijke eisen en voorschriften die op een bedrijf van toepassing zijn.

• Kennis van: - auditprincipes, -procedures en –technieken - weten regelgeving in relatie tot het domein waarop het compliance management systeem betrekking heeft - organisatie- en bedrijfsprocessen, inclusief culturele en maatschappelijke gebruiken - managementsystemen in het algemeen en normen, methoden en technieken met betrekking tot

Bij bedrijven kan het aantal normen groot en de aard en complexiteit uiteenlopend zijn. Sommige mogen nooit, tegen geen enkele prijs worden overtreden (bijvoorbeeld voorschriften die rechtstreeks gericht zijn op het voorkomen van persoonlijk letsel) en vergen maximale borging. Andere mogen ook niet overtreden worden, maar hebben minder ernstige risico’s. In die geval-len moet een optimum worden gezocht (verhouding tussen inspanning en risico).

managementsystemen 46

- technische aspecten die relevant zijn voor de betreffende sector - systeemtoezicht en alle relevante aspecten hiervan.

Voor de leider van het auditteam geldt als extra eis dat deze is gekwalificeerd als lead-auditor De verificatie audit kan worden uitgevoerd door het gezag dat bevoegd is voor de wettelijke eisen waarop het compliance management systeem betrekking heeft of door een certificerende instelling.

Daarom dient het bedrijf op basis van een risico analyse vast te stellen welke risico’s bestaan, hoe groot de mogelijke effecten hiervan zijn en welke wettelijke eisen bedoeld zijn om deze risico’s te beheersen. Het bedrijf dient ervoor te zorgen dat naleving de wettelijke eisen die zijn gerelateerd aan de risico met de meest ernstige effecten het meest gedetailleerd is geborgd. Bij de bepaling van de ernst van de gevolgen moet in elk geval (mede) worden gebaseerd op aspecten die voor de wetgever relevant mogen worden geacht. Op het gebied van industriële activiteiten zijn dat bijvoorbeeld: • veiligheid • milieubelasting

Indien de audit wordt uitgevoerd door een certificerende instelling wordt aangesloten bij de eisen die zijn opgenomen in paragraaf 3.1 van het certificatiesysteem Milieumanagement-systemen volgens ISO 14001 N071129, 20 december 2007, met de volgende aanvullingen:

• consistentie met overheidsbeleid • aantasting van reputatie van de sector • aantasting van de geloofwaardigheid van het openbaar bestuur.

• eis 3.1.3 geldt niet voor de ISO 14001, maar voor de checklist compliance competence versie 11 december 2007; • eis 3.1.4. geldt niet. Het openbaar maken van informatie is voorbehouden aan bedrijf en bevoegd gezag.

3. Toelichting per vraag en verificatie item 3.1 Systeem wettelijke eisen Het systeem wettelijke eisen is het geheel aan maatregelen en activiteiten die een bedrijf onderneemt om ervoor te zorgen dat het bedrijf te allen tijde weet aan welke wettelijke eisen het moet voldoen en deze vertaalt naar interne borgingsmaatregelen. Aangezien de wettelijke eisen aan verandering onderhevig zijn, dient deze borging geen statische toestand te zijn, maar dynamisch te worden ingevuld zodat ook de naleving van wijzigingen in wettelijke eisen worden geborgd. Hiertoe is het van belang dat het bedrijf expliciet heeft geregeld • welke relevante wettelijke domeinen er zijn,

Dit betekent bijvoorbeeld dat het naleven van een eis ten aanzien van de uitstoot van kwik expliciet en het meest uitgebreid met procedures en instructies wordt geborgd vanwege het feit dat over treding hiervan leidt tot ernstige en onomkeerbare milieuschade. Aanbevolen wordt dat het bedrijf de risico analyse methode en de toepassing hiervan afstemt met het betreffende bevoegde gezag om op voorhand overeenstemming te bereiken over prioriteitstelling en aanpak. Het systeem wettelijke eisen dient overigens een expliciete koppeling (cross reference) te bevatten tussen de wettelijke eisen en de delen van het managementsysteem waarin de borging is geregeld. Deze koppeling kan bijvoorbeeld bestaan uit het noemen van het ver-gunningsvoorschrift (bv. voorschrift 3.4) uit de Wet milieubeheervergunning (met eenduidige aanduiding (kenmerk) van de vergunning) waarin staat dat het bedrijf elk jaar een massabalans van afvalstoffen moet verstrekken aan het bevoegd gezag en de procedure (bv. Procedure P03.12) waarin is geregeld wie de massa balans opstelt, hoe hij dit doet en met welke hulpmid-delen, wie de massabalans formeel accordeert en wanneer de massabalans wordt ingediend.

• welke functionaris of functionarissen wijzigingen of ontwikkelingen in dit domein volgen en • wie de wettelijke eisen wijzigingen zonodig doorvertaalt naar maatregelen om te borgen dat ze worden nageleefd. • wat de verantwoordelijkheden van deze functionarissen zijn.

Een overzicht van wettelijke eisen kan bestaan uit een register met alle relevante wettelijke eisen dat regelmatig wordt geactualiseerd op basis van een hiertoe strekkende procedure. De toewijzing

Compliance management vereist een proactieve houding ten aanzien van wettelijke eisen en bevoegd gezag. Mocht het zo zijn dat wettelijke eisen onduidelijk of niet naleefbaar zijn, dan is het van belang dat dit wordt gesignaleerd en besproken met het bevoegd gezag voordat zich problemen voordoen met interpretatie of overtreding van die eisen. Bedrijven met een werkend compliance management systeem wachten dus niet af met onduidelijke of niet naleefbare wettelijke eisen, zetten de overheid voortijdig aan tot verbetering van deze eisen.

47

3.2 Visie en gedrag Een belangrijk onderdeel van compliance management is de vraag of het bedrijf een gedragen visie heeft op regelnaleving (compliance) en of deze effectief wordt omgezet in gedrag dat is gericht op compliance.

nalevingsprestatie kan eventueel worden uitgevoerd door een extern gespecialiseerd bureau, maar kan ook in eigen beheer worden uitgevoerd. Aannemelijk moet zijn dat de meting van de nalevings prestatie onafhankelijk gebeurt van de verantwoorde-lijke leidinggevende. Resultaten kunnen worden registreert en gevolgd door middel van een geautomatiseerd systeem. 3.4 Compliance officer en pro-activiteit

Een gedragscode kan een goed hulpmiddel zijn. In algemene zin geldt dat hoe concreter de gedrags code is uitgewerkt, des te beter deze ondersteunend werkt op het borgen van compliance. Een voorbeeld hiervan is de gedragscode die in financiële instellingen is ontwikkeld om geschenken aan te nemen. De gedragscode dient aan te geven dat van de medewerkers een open, proactieve en zelfkritische houding wordt verwacht t.a.v. compliance. Ook dient de gedragscode aan te geven dat van de medewerkers wordt verwacht dat zij zich actief op de hoogte houden van relevante wettelijke eisen. 48

Een ander belangrijk aspect is de betrokkenheid van het management. Indien het management zelf zichtbaar leeft naar de gedragscode en actief is in de bewaking van de naleving ervan, zal dit ook een positief effect hebben op de rest van de organisatie. Dit kan bijvoorbeeld blijken uit het feit dat het management actief deelneemt aan interne controles en audits of uit het feit dat in MT vergaderingen uitgebreid aandacht wordt besteed aan compliance. 3.3 Kwaliteitsdenken, opleiding, zelfkritische houding en continue verbetering Kenmerk van het compliance management systeem is dat het kwaliteitsdenken specifiek wordt ingezet voor de borging van naleving van wettelijke eisen. Een gecertificeerd managementsysteem conform gangbare ISO normen als ISO 9002 of ISO 14001 vormt een goede basis voor een compliance management systeem. De middelen die bij een dergelijk systeem worden ingezet voor het borgen van kwaliteits- of milieudoelen, kunnen in aangepaste vorm kunnen dienen voor het borgen van compliance. Naast de genoemde ISO normen zijn er nog meer normen die een goede indicatie geven voor de mate waarin de betreffende organisatie het kwaliteitsdenken heeft ingevoerd. Daarom kan in overleg met betrokken overheden en brancheorganisaties ook een ander managementsysteem basis zijn voor een goede score op vraag 3.1. Het bedrijf dient te hebben geborgd dat medewerkers die een rol spelen bij het naleven van wettelijke eisen door het bedrijf, worden geïnformeerd over wat er van hen op dit gebied wordt verwacht. Dit kan door middel van het toelichten van een procedure of instructie en het evenwel trainen van medewerkers. Eén van de kenmerken van een bedrijf met een effectief compliance management systeem is een kritische houding ten opzichte van de eigen nalevingsprestatie. Daartoe dient het bedrijf de Deming cirkel van continue verbetering (plan-do-check-act) specifiek toe te passen op het thema compliance. Dit houdt in dat het bedrijf meetbare doelstellingen formuleert ten aanzien van compliance, de nalevingsprestatie planmatig meet tegen deze doelstellingen, eventuele afwijkingen onderzoekt en corrigerende en preventieve maatregelen neemt. De toepassing van dit mechanisme van continue verbetering dient verifieerbaar te zijn in de vorm van rapportages en registraties. Het meten van de

Bij een bedrijf met een effectief compliance management ziet een functionaris of een afdeling toe op de naleving binnen de eigen organisatie. Deze functionaris toetst gedragingen en voorzieningen toetsen aan de wettelijke norm, overtreders aanspreken en afwijkingen rapporteren aan het verantwoordelijk management? Voor de effectiviteit van deze zogenoemde compliance officer of compliance afdeling zijn twee aspecten van belang. Op de eerste plaats dient de compliance officer of compliance afdeling een formele positie te hebben die ervoor zorgt dat hij onafhankelijk van de (lijn)organisatie kan rapporteren aan het (top)management over de nalevingsprestatie. In de praktijk kan deze functie op verschillende manieren worden ingevuld. Op zichzelf is het geen bezwaar als de compliance officer of afdeling ook een adviserende taak heeft voor de (lijn)organisatie, als dit maar niet ten koste gaat van zijn onafhankelijke positie ten opzichte van het toezien op en rapporteren over de naleving prestatie. Op de tweede plaats dient de compliance officer te beschikken over de benodigde kennis en ervaring en in de organisatie voldoende aanzien te hebben om zijn rol goed te kunnen spelen. Bedrijven met een effectief compliance management systeem hebben een proactieve houding ten opzichte van compliance. Dit uit zich onder meer in het actief onderhouden van contacten met het bevoegd gezag over bijvoorbeeld de interpretatie van wettelijke eisen, de naleving van regels, etc. 3.5 Openheid en jaarverslagen Een open, coöperatieve relatie tussen het bedrijf en het bevoegde gezag heeft een positieve invloed op de naleving. Een bedrijf dat open met de toezichthoudende instantie communiceert over zijn nalevingsprestatie maakt zich kwetsbaar ten opzichte van het bevoegde gezag en wekt — onder voorwaarden — vertrouwen. Enerzijds is dit bevorderlijk voor de relatie en de naleving. Anderzijds loopt het bedrijf het risico dat het bevoegd gezag naar aanleiding van de openheid sancties oplegt voor door het bedrijf zelf gemelde overtredingen. Van een bedrijf mag worden verwacht dat men open communiceert over de eigen nalevingsprestatie. Van een overheid mag worden verwacht dat proportioneel wordt gereageerd en dat bijvoorbeeld rekening houdt met het zelf melden van overtredingen, onderzoekt welke (repressieve, curatieve en preventieve) maatregelen het bedrijf heeft genomen en haar reactie daarop aanpast. Het ligt voor de hand dat een overheid gepast reageert op een overtreding. In het geval van een pilot in Zeeland zijn hierover afspraken gemaakt tussen bedrijf en bevoegd gezag. Als de openheid van beide kanten komt, mag van het bedrijf worden verwacht dat het bevoegd gezag volledig wordt geïnformeerd over de nalevingsprestatie.

49

Bijlage 6

Brief ThermPhos aan Provincie Zeeland

3.6 Pre-screening medewerkers en disciplinaire maatregelen Het bedrijf heeft op schrift gesteld welke disciplinaire maatregelen kunnen worden genomen tegen werknemers die willens en wetens wettelijke eisen overtreden. Tevens heeft het bedrijf duidelijk gemaakt aan werknemers dat het melden van overtredingen van wettelijke eisen verplicht is en dat de melder niet wordt bestraft. Het melden wordt gestimuleerd door bijvoorbeeld een eenvoudige en toegankelijke meldingprocedure, door een snelle en duidelijke terugkoppeling naar de melder en door duidelijk te maken dat de melder niet wordt bestraft voor zijn melding.

50

Sommige functies bij bedrijven zijn fraudegevoeliger dan andere. Zo zal bij een afvalbedrijf de functie van acceptant kritisch zijn omdat deze doorgaans controleert of de voor acceptatie aangeboden afvalstoffen voldoen aan de eisen. Het bedrijf heeft daarom aantoonbaar bepaald welke fraudegevoelige functies bestaan, hoe ervoor wordt gezorgd dat deze functies worden vervuld door werknemers die integer handelen en geregeld dat op dit integer handelen periodiek wordt gecontroleerd. Deze controle kan er bijvoorbeeld uit bestaan dat in interne audits extra aandacht wordt besteed aan de vervulling van deze functies.

51

52

53

54

55

56

57

Bijlage 7

58

Brief van Gedeputeerde Staten van Zeeland

59

Bijlage 8

Vergelijking Checklist Compliance Competence en ISO 14001 Vergelijking Checklist Compliance Competence van MWH B.V. en eisen uit ISO 14001: 2004 concept versie 12 februari 2008 Nr. eis

Eis uit Checklist Compliance Competence van MWH B.V. (versie 11 december 2007)

Art. ISO 14001:2004 norm

Toelichting t.a.v. ISO 14001:2004

1.1

Onderhoudt het bedrijf een systeem waarin alle relevante wettelijke eisen zijn opgenomen?

art. 4.3.2

Een volledig overzicht van zowel de wettelijke als de overige eisen die een organisatie onderschrijft moet aanwezig zijn.

1.2

Is de verantwoordelijkheid voor het onderhoud van het systeem vastgelegd?

art. 4.3.2

Er moet procedure zijn waarin ook verantwoordelijkheid vastligt. Formeel hoeft procedure niet schriftelijk te zijn vastgelegd. Dat is deze meestal wel.

Heeft het bedrijf op basis van een risicoanalyse het detailniveau van de borging van de wettelijke eisen vastgesteld?

art. 4.3.2/ 4.3.3/4.4.6

Bevat het systeem een expliciete koppeling tussen de risicovolle wettelijke eisen en de onderdelen van het compliancesysteem waarin de naleving van deze eisen is geborgd?

art. 4.5.2

1.5

Houdt het bedrijf het systeem actueel en volledig?

art. 4.3.2

1.6

Onderzoekt het bedrijf strucart. 4.5.2 tureel de duidelijkheid en de naleefbaarheid van de wettelijke eisen?

1.3

1.4




2. Visie en gedrag

1. Systeem wettelijke kaders

60

Nr. eis

Het begrip risicoanalyse wordt in de ISO 14001 niet gebruikt. Uitgangspunt is volledige naleving. De mate van borging (art. 4.4.6) wordt bepaald op basis van de belangrijkheid van een milieuaspect. Impliciet is hier ook het risico element in opgenomen. De organisatie moet periodiek de eigen naleving van wettelijke eisen controleren en daarvan registraties bijhouden. Om hier uitvoering aan te geven zullen de meeste organisaties een overzicht hebben met eisen en de wijze waarop (b.v. procedures, maatregelen etc.) deze zijn gerealiseerd of geborgd. In de procedure moet zijn vastgelegd op welke wijze het overzicht van wettelijke eisen actueel wordt gehouden. Een organisatie is verplicht periodiek de eigen naleving te beoordelen. Op dat moment wordt de duidelijkheid en naleefbaarheid onderzocht.

2.1

Heeft het bedrijf een op schrift gestelde, gedragen visie op regelnaleving?

art. 4.2

De directie moet het milieubeleid schriftelijk vastleggen die een verbintenis bevat tot de naleving van wettelijke eisen. Het beleid dient kenbaar te worden gemaakt aan alle personen die voor of namens de organisatie werken.

2.2

Steunt de directie het compliance managementsysteem?

art. 4.2/4.6

De directie moet het beleid definiëren; een vertegenwoordiger van de directie benoemen en minimaal jaarlijks een directiebeoordeling uitvoeren waarbij ook de naleving van weten regelgeving aan de orde is.

2.3

Heeft het bedrijf een gedragscode waarin concreet is vastgelegd wat het bedrijf van de werknemers verwacht t.a.v. regelnaleving?

n.v.t. (evt. art. 4.4.2)

ISO 14001-norm vraagt geen gedragscode. Wel dient een organisatie werknemers bewust te maken van het belang van naleving van het milieubeleid en -procedures; de belangrijke milieuaspecten en de relatie met eigen werk; taken en verantwoordelijkheden en mogelijke gevolgen van afwijkingen.

2.4

Zijn de visie en de gedragscode bekend bij de medewerkers?

Visie: art 4.2 Code: n.v.t.

Het milieubeleid/de visie moet bekend worden gemaakt bij alle personen die voor of namens de organisatie werken. ISO 14001-norm vraagt geen gedragscode.

2.5

Is in de gedragscode expliciet aangeduid wat van de medewerkers wordt verwacht inzake openheid, opleiding, pro-activiteit en zelf kritische houding ten aanzien van regelnaleving?

n.v.t.

61

Nr. eis




Nr. eis




3. Kwaliteitsdenken, opleiding, zelfkritische houding en continue verbetering

4. Compliance officer en pro-activiteit

3.1

Heeft het bedrijf een gecertificeerd managementsysteem?

Aan voldaan bij ISO 14001-certificaat.

4.1

art. 4.5.2

3.2

Wordt het onderhavige managementsysteem systematisch toegepast voor het borgen van regelnaleving?

Regelnaleving is naast continue verbetering een van de basisdoelstellingen van het milieumanagementsysteem. De samenhang van verschillende normelementen (inventarisatie; beheersing werkzaamheden; monitoring; beoordeling naleving; corrigerende maatregelen; interne audits) moet een geborgde wijze van regelnaleving opleveren.

Heeft het bedrijf een functio naris (hierna te noemen compliance officer) of afdeling (hierna te noemen compliance afdeling) die toeziet op de regelnaleving door het bedrijf?

ISO 14001 verplicht de organisatie niet om één verantwoordelijke persoon of afdeling vast te leggen die continue toeziet op de regelnaleving. Voor de uitvoering van art. 4.5.2 moet een procedure worden opgesteld waarin wordt vastgelegd wie verantwoordelijk is voor de periodieke beoordeling van de naleving. Dit is dan geen continue toezicht op naleving maar een periodieke uitvoering.

4.2

Zijn de taken, bevoegdheden en verantwoordelijkheden van de compliance officer of compliance afdeling schriftelijk vastgelegd?

n.v.t.

ISO 14001 vereist dat bepaalde taken worden uitgevoerd en niet de aanwezigheid van een functionaris of afdeling. Er hoeft derhalve geen compliance officer of -afdeling te zijn .

4.3

Is er een vervangingsregeling voor het geval dat de compliance officer afwezig is?

n.v.t.

Geborgd moet zijn dat werkzaamheden ook bij afwezigheid van bepaalde functionarissen worden uitgevoerd. Dit zou kunnen met een vervangingsregeling. De ISO 14001-norm vereist dit niet.

4.4

Onderhoudt de compliance officer of compliance afdeling contacten met de overheid met betrekking tot het definiëren van de betekenis van wettelijke eisen voor het bedrijf?

n.v.t.

Een organisatie zal indien nodig contact met de overheid onderhouden (b.v. voor aanvraag vergunning of melding van incidenten etc.). De ISO 14001 kent niet het begrip compliance officer. De contacten met de overheid kunnen ook door anderen binnen de organisatie worden onderhouden.

4.5

Rapporteert de compliance officer of compliance afdeling rechtstreeks aan het hoogste management en onafhankelijk van degenen die binnen het bedrijf verantwoordelijk zijn voor de regelnaleving?

n.v.t. (evt. 4.6)

Het resultaat van de interne beoordeling van de naleving dient bij de directiebeoordeling aan de orde te worden gesteld. Functiescheiding wordt in de ISO 14001-norm niet geëist.

3.3

62

Stelt het bedrijf objectieve gekwantificeerde doelstellingen vast ten aanzien van regelnaleving?

art. 4.3.2/ 4.4.6/4.5

art. 4.3.3

ISO 14001 vereist 100% naleving. Het gedeeltelijk naleven is geen optie. Een organisatie dient doel-, taakstellingen en programma’s te formuleren. Deze zijn enerzijds gericht op het behalen van de eisen uit de weten regelgeving en anderzijds op eventuele verbetering van onder delen waar afwijkingen zijn. Deze dienen door de overheid te zijn geaccordeerd.

63

3.4

Stelt het bedrijf jaarplannen op waarin voorgenomen acties zijn gedefinieerd ten aanzien van regelnaleving?

art. 4.3.3

ISO 14001 vereist dat programma’s worden opgesteld om de doelen taakstellingen te realiseren.

3.5

Heeft het bedrijf vastgesteld hoe de nalevingsprestatie wordt bepaald?

art. 4.5.2

De wijze van vaststelling van de naleving dient in een procedure te zijn vastgelegd.

3.6

Wordt de nalevingsprestatie planmatig gemeten?

art. 4.5.1 en 4.5.2

Op basis van art. 4.5.1 dient een organisatie de belangrijkste kenmerken van haar werkzaamheden te monitoren en meten. Dit bevat ook onderdelen van weten regelgeving. Op basis van 4.5.2 is de organisatie. verplicht systematisch beoordelen van eigen naleving.

3.7

Registreert het bedrijf systematisch afwijkingen ten aanzien van regelnaleving?

art. 4.5.2

Registraties moeten worden bijgehouden van beoordeling van de eigen naleving.

4.6

n.v.t.

ISO 14001-norm vereist niet de benoeming van een compliance officer of afdeling.

3.8

Onderzoekt het bedrijf systematisch de oorzaak van deze afwijkingen?

art. 4.5.3

ISO 14001 vereist dat zowel feitelijke als mogelijke afwijkingen worden onderzocht.

Is de compliance officer of compliance afdeling bevoegd te spreken namens het bedrijf?

4.7

n.v.t. (evt. 4.4.2)

3.9

Onderneemt het bedrijf systematisch actie naar aanleiding van het onderzoek naar de oorzaak van afwijkingen ter verbetering van de nalevingsprestatie?

art. 4.5.3

ISO 14001 vereist dat zowel feitelijke als mogelijke afwijkingen worden onderzocht en corrigerende en preventieve maatregelen worden genomen. Vervolgens dienen de resultaten en doelmatigheid van de genomen maatregelen te worden beoordeeld.

Heeft de compliance officer adequate ervaring, opleiding en training opgedaan?

ISO 14001-norm vereist niet de benoeming van een compliance officer of afdeling. Wel dienen op basis van 4.4.2 personen adequaat te zijn opgeleid.

3.10

Is er een werkwijze hoe nieuwe werkinstructies t.a.v. regel naleving aan medewerkers worden gecommuniceerd?

art. 4.4.2

De organisatie dient een procedure te hebben om personen bewust te maken van het belang van naleving van het milieubeleid en hun taken en verantwoordelijkheden. Er wordt geen werkinstructie vereist specifiek voor communicatie van regelnaleving.

Nr. eis




5. Openheid en jaarverslagen 5.1

5.2

Communiceert het bedrijf op open wijze met overheid, omwonenden en andere belanghebbenden over de eigen regelnaleving?

n.v.t. (evt. 4.4.3 en EA 7/04*)

ISO 14001 vereist dat een organisatie een besluit neemt over communicatie met externe partijen over de belangrijke milieuaspecten. Open communicatie is geen basis eis. Wel dient een organisatie op basis van EA 7/04* te communiceren met de overheid in het geval wet- regelgeving niet wordt nageleefd over de wijze waarop dit wordt opgelost. Voorwaarde voor certificatie is een akkoord van de overheid op het verbeteringsplan.

n.v.t.

5.3

Stelt het bedrijf een jaarverslag op waarin wordt gerapporteerd over de eigen nalevingsprestatie?

n.v.t.

Opstellen van jaarverslag is geen ISO 14001-eis. Wel van toepassing op EMAS-geregistreerde organisaties.

5.4

Wordt dit jaarverslag beschikbaar gesteld aan belanghebbenden?

n.v.t.


5.5

Vermeldt dit jaarverslag de prestatie van het bedrijf ten aanzien van het naleven van alle relevante wettelijke eisen?

n.v.t.


Is dit jaarverslag transparant en eenduidig?

n.v.t.

5.6




6. Pre-screening medewerkers en disciplinaire maatregelen

Communiceert het bedrijf op open wijze met belanghebbenden over de werking en de resultaten van het compliancesysteem?

64

Nr. eis

6.1

Heeft het bedrijf aan de werkn.v.t. nemers en bestuurders duidelijk gemaakt welke maatregelen het bedrijf neemt met betrekking tot personen die willens en wetens overtredingen begaan?

Geen eis in ISO 14001.

6.2

Heeft het bedrijf aan de werkn.v.t. nemers en bestuurders duidelijk gemaakt dat het bedrijf geen maatregelen neemt tot degene die onopzettelijke overtredingen meldt?


6.3

Heeft het bedrijf een overzicht van fraudegevoelige functies?

n.v.t.


6.4

Heeft het bedrijf maatregelen genomen om ervoor te zorgen dat fraudegevoelige functies worden bekleed door personen die integer handelen?

n.v.t.


6.5

Heeft het bedrijf een systeem om steekproefsgewijs te controleren of de kritische fraudegevoelige taken integer worden uitgevoerd?

n.v.t.


6.6

Neemt het bedrijf meteen maatregelen bij het constateren van overtredingen?

n.v.t.


6.7

Heeft het bedrijf aan de werknemers duidelijk gemaakt dat het melden van overtredingen verplicht is?

n.v.t.


6.8

Heeft het bedrijf een systeem om het melden van overtredingen te bemoedigen?

n.v.t.


ISO 14001 vereist geen communicatie.


*EA 7/04 Legal Compliance as a part of Accredited ISO 14001: 2004 certification. Dit is een richtlijn van de European Co-operation for Accreditation (Europees samenwerkingsverband van Nationale accreditatie-instellingen) die door alle certificatie-instellingen erkend in een EU-lidstaat dient te worden gehanteerd.

65

Bijlage 9

Risicomatrix

Thermphos international - Risicomatrix revisie januari 2008 Potentiële gevolgen Categorie

Nihil

Licht

66

Beperkt

Ernstig

Zeer ernstig

Ramp

Veiligheid

Geen verwonding.

EHBO-ongeval.

Vervangend werk of verzuimongeval met beperkt letsel.

Verzuimongeval. Ernstig letsel Meldingsplichtig aan de overheid.

Dodelijk of invaliditeit.

Meerdere doden .

Potentiële kans Schade

Geen schade.

< 5000 € schade of Productieonderbreking voor enkele uren.

Milieu

Geen schade of lozing.

Lokale lozing met < 1.000 € aan schoonmaak kosten.

Kwaliteit

Geen productschade.

Kleine product specificatie afwijking.

Reputatie

Onwaarschijnlijk

Zelden

niet vaak

regelmatig

vaak

1/1000 jaar

1/100 jaar

1/10 jaar

1/jaar

10/jaar

Geen media aandacht. 0

0

0

0

0

1

2

3

4

10

Geen media publicaties.

5.000 - 50.000 € schade. Productie-onderbreking voor enkele uren.

Lokale emmissie die aanleiding geeft tot klachten buiten de poort, 1.000 - 10.000 € herstelkosten.

Geringe klant klachten. Product terugname. Schikkingen 10.000 - 25.000 €

Korte lokale media aandacht. Klachten buiten de poort. Niet voldoen aan industriecodes of standaards.

50.000 - 250.000 € schade. Productie-onderbreking voor enkele dagen. In strijd met landelijk beleid.

overschrijding van vergunningvoorwaarde. 10.000 - 50.000 € schoonmaak- of herstelkosten.

Ernstige klant klachten. Schikkingen > 25.000 € Product terugname.

Langdurige lokale media andacht. Geringe nationale media aandacht. Duidelijke normoverschrijding.

250.000 - 1.000.000 € schade. Productie-onderbreking tot 2 weken. Haaks op nationaal beleid.

Blijvende milieuschade op het bedrijfsterrein. Langdurige overschrijding van een vergunningswaarde. (> 3 dagen) 50.000 – 500.000 € kosten.

Verlies van grote klant. 100.000 – 1.000.000 € omzetverlies. Verlies van certificering.

Langdurige nationale media aandacht.Gerechtelijke vervolging. Substantiele aantasting lokale integriteit openbaar bestuur. Schade reputatie branche.

Meer dan 1.000.000 € schade. Fabriek gesloten voor meerdere maanden. Politiek evident ongewenst.

Ernstige blijvende milieuschade buiten de terreingrenzen.

Ernstig verlies aan klanten door slecht product. Terugname van Product met > 1.000.000 € schade.

Substantiele aantasting landelijke integriteit openbaar bestuur of branche.

67 4

6

12

16

40

9

14

27

36

90

16

24

48

64

160

30

45

90

120

300

0

9

10

29

Maatregelen nemen om risico te reduceren noodzakelijk.

30

49

Werk stilleggen; risico reduceren voordat werk wordt hervat.

50

300

Risico aanvaardbaar.

ALARP toepassen.

Colofon Uitgave: Juni 2008 Redactie: VROM Fotografie: Thermphoscompliance DSM Grafisch ontwerp: Ontwerpstudio 2 MAAL EE

68

Voor meer informatie: VROM-Inspectie Regio Zuid Paul Roeden Kennedy Business Center Gebouw 1 Postbus 850 5600 AW Eindhoven T: 040 - 26 52 928 E: [email protected] I: www.inspectieloket.nl/chemie


Eindrapport Pilot Compliance Management. Frontoffice Chemie

Recommend Documents