Compliance
De wereld van compliance en risico management door Philip van Beek.
Contamination Q & A B.V.
Tijdens de uitvoering van de dagelijkse werkzaamheden in een onderneming gaat er iets fout. Wie is daar dan voor verantwoordelijk ? Moet iemand daarvoor boeten ? De medewerker die de fout heeft gemaakt of de directie die de medewerkers geen goede instructies heeft gegeven ? Mocht er een strafrechtelijk onderzoek volgen (en denk niet, dat gebeurt nooit ), dan kan men al snel in een slechte B-film terechtkomen. Degene die denkt dat het in aanraking komen met het justitiële apparaat alleen is voorbestemd voor mensen die willens en wetens de wet overtreden, zal van een koude kermis thuiskomen.
Mensen die leiding geven aan een organisatie doen er goed aan hier andere inzichten over te ontwikkelen. Een foute keuze in de organisatie of een misverstand van een medewerker kan tot gevolg hebben dat er situaties ontstaan waardoor de wet wordt overtreden. En die overtredingen hebben direct gevolgen voor de leiding van die organisatie. Om deze gevaren in te perken komt compliance om de hoek kijken. In dit artikel wordt het begrip compliance behandeld en in perspectief gezet met betrekking tot de cleanroom wereld. Allereerst de definitie van compliance: compliance is het voldoen aan wet- en regelgeving. Het woord compliance is bij het grote publiek erg bekend geworden tijdens de recente banken crisis. Het bleek dat de banken wereldwijd een groot gebrek aan compliance en met name integriteit lieten zien, uiteindelijk heeft dit geleid tot reddingsacties van een ongekende omvang door de overheden.
De beleidsmakers zijn hier zo van geschrokken dat zij zich afvroegen waarom de banken zich niet aan wet en regelgeving houden. Binnen korte tijd zijn er daarna acties op touw gezet en deze resulteerden in onder andere de zogenaamde stress testen. Maar dat we ook in de cleanroom wereld te maken hebben met compliance zal in dit artikel duidelijk worden. Immers compliance is een onderdeel van risico management. Namelijk het voldoen aan wet- en regelgeving naast de operationele risico's. Het risico management systeem wordt opgezet met in achtneming van alle risico's, waardoor het mogelijk is om met periodieke audits hierop controle uit te oefenen. Wat betekent compliance voor de cleanroom wereld ? Om dit verder uit te diepen moeten we de definitie van compliance in het oog houden. Uiteraard heeft de cleanroom te maken met de normaal geldende wetgeving. Of we nu een cleanroom bouwen, gebruiken of onderhouden, altijd zullen we dienen te voldoen aan de wet.
Zo kunnen we onder andere te maken krijgen met: het bouwbesluit, de bouwverordening, de Arbowet en de omgevingsvergunning, etc. Tot zover het eerste gedeelte van de definitie, daarna krijgen we te maken met het tweede gedeelte van de compliance definitie: regelgeving. De oplettende lezer heeft ook direct het verschil begrepen. Regelgeving is de uitwerking van het raamwerk door de wet gegeven. U dient ook aan regelgeving te voldoen. In de praktijk zult u ontdekken dat regelgeving breed is opgezet en als twee mensen hier naar kijken kunnen zij beiden een andere uitleg hieraan geven. Dit hoeft niet perse fout te zijn. Regelgeving wordt ook gebruikt om te kunnen toetsen, bijvoorbeeld door de overheid of een inspectie. Heeft u als cleanroombouwer een ruimte gemaakt welke te controleren is ? Kunt u als cleanroom gebruiker de producten die u wilt maken onder voldoende schone stofclassificaties produceren ? Weet u bij cleanroom onderhoud hoe u kunt waarborgen dat de cleanroom zijn classificaties blijft behouden ? Zijn uw medewerkers voldoen getraind ?Om dit te kunnen toetsen hebben we regelgeving nodig.
Regelgeving is reeds lange tijd ingevoerd in de cleanroom wereld en wij kunnen daarvoor putten uit de ISO normen en de GMP normen. We kunnen direct vaststellen dat hierin de regelgeving aangeeft waar men aan dient te voldoen. Hier worden kaders aangegeven waarbinnen men kan voldoen aan de norm. Indien er een cleanroom gebouwd wordt, dan kan de klant met de leverancier afspreken dat deze dient te voldoen aan deze normen. In de ISO 14.644 staat in diverse hoofdstukken duidelijk omschreven wat men moet doen om een cleanroom te bouwen welke voldoet aan de norm en daarmee dus compliant is. Ook laat deze norm (ISO 14.644 is een open norm) genoeg ruimte over om een eigen invulling te geven aan het project welke men wil realiseren. Bijna bij elke aanbeveling staat: tenzij anders tussen de klant en leverancier overeengekomen. Uiteraard kunt u analoog aan de ISO norm, hier lezen de GMP norm. Een logische vervolgstap is dan ook het uitvoeren van een risico analyse op het te realiseren project en nadat alle risico's in kaart zijn gebracht kan men de juiste keuzes maken bij het realiseren van de gewenste cleanroom. Dit betekent dat het verstandig is een Normenkader (1) op te stellen om te garanderen dat het uiteindelijke product wat gemaakt wordt volledig voldoet aan de geldende wet- en regelgeving (compliance). Maar daarnaast dient men ook te voldoen aan de interne regels die door het bedrijf aan de medewerkers worden opgelegd. Deze regels kunnen common sense zijn in de industrie waar men werkt, maar zij kunnen ook opgelegd zijn door het product welke men maakt of het gevolg zijn van de eigen bedrijfscultuur. Vergeet bijvoorbeeld ook de veiligheidsnormen niet.
Dus aan het eind van de rit heb je een project welke voldoet aan de wetgeving, de afgesproken normen met hun afwijkingen, de bedrijfsnormen en de specificatie van het product. Uiteraard hoort bij deze compliance een kosten en baten analyse. Het uiteindelijke resultaat van deze afweging zal altijd betekenen dat het voldoen aan wet- en regelgeving de meest goedkope route is naar een winstgevend project. Immers dit geeft ook een kader bij eventuele claims, juridisch kan de regelgeving gebruikt worden om vast te stellen waar een eventuele schuldvraag ligt. Een dringend advies is dan ook met een zogenaamd Normenkader (1) te werken. Risico management in de cleanroom wereld ? Bij bestudering van de normen in het kader van de compliance vraag stuiten we voor risico management ook op de regelgeving welke gebruikelijk is in de cleanroomtechniek. De norm ISO 14644-5 heeft in Annex A aandacht voor risico management. Hier wordt met name gesproken over het bepalen van contaminatie risico's.
Als mogelijkheid voor het bepalen van risico's noemt de ISO 14.644-5 de volgende methoden: # HACCP (Hazard Analysis Critical Control Point) # FMEA ( Failure Mode Effects Analysis) # FTA (Fault Tree Analysis) Op basis van het risico management in de cleanroom kan het volgende een goede leidraad zijn voor het opzetten van een dergelijk management systeem. Cleanrooms zijn kritische productie ruimten in zowel farmaceutische bedrijven als micro elektronica bedrijven. Alle gebruikers van dergelijke ruimten zijn verantwoordelijk voor de juiste toepassingen in deze ruimten en dienen op de hoogte te zijn van de relevante regelgeving. Lucht gedragen deeltjes dienen gecontroleerd te worden om de mogelijkheid van contaminatie te voorkomen. Met name in de farmacie zal het verminderen van lucht gedragen deeltjes in de cleanroom er voor zorgen dat de mogelijkheid van een besmetting met micro-organismen verminderd word. Alle relevante regelgeving kan daarvoor gevonden worden in de ISO normen. Met name de ISO 14.644 met zijn 9 hoofdstukken. In het vakgebied farmacie is in Europa de GMP van toepassing en wordt in de USA gerefereerd aan de FDA's Guideline for industries. Om te voorkomen dat er lucht gedragen deeltjes in de cleanroom komen, dient er een samenhangend proces te zijn om dit te voorkomen. Als eerste dient de buitenlucht gereinigd te worden. Buitenlucht is in een cleanroom nodig voor verse lucht voor de aanwezige mensen, als compensatie voor afzuiglucht en zorgt voor overdruk. Het systeem wat de lucht toevoert zal echter ook zorgen voor vervuiling. Dit betekent dat als eindfilters de zogenaamde HEPA of ULPA filters toegepast moeten worden. Daarnaast is een externe bron van vervuiling de omliggende ruimten met hun verbindingen.
In de ruimte betekent verminderen van contaminatie: afgedichte, vlakke verlichtingsornamenten, afdichten van wanden, plafond en doorvoeringen, het in overdruk brengen van ruimten om lucht infiltratie te voorkomen. De grootste bron van lucht gedragen deeltjes in een cleanroom is het personeel. Deze genereren zowel levende als niet-levende deeltjes. Dat de bewegingsintensiteit bijdraagt aan het verspreiden van deeltjes is vanzelfsprekend. Deze deeltjes zijn huiddeeltjes, haardeeltjes, cosmetica-deeltjes, kledingdeeltjes, transpiratiedeeltjes en ademhalingsemissies. Daarnaast zal er deeltjesemissie plaatsvinden van de bouwkundige materialen. Een aantal maatregelen kunnen helpen om de deeltjes generatie te verminderen: Zorg dat de medewerkers de kledingprocedures volgen. Training van de medewerkers door een onafhankelijke instelling welke geaccrediteerd is. Vloer, wand en plafondafwerkingen moeten deeltjesgeneraties voorkomen. Alle ramen en deuren dienen glad afgewerkt te zijn aan de cleanroom zijde. Deuren dienen goed af te dichten om luchtlekkage te voorkomen Apparatuur moet dusdanig gepositioneerd te zijn dat ze eenvoudig onderhouden en schoongemaakt kunnen worden. Al deze elementen dienen in het risico management systeem opgenomen te zijn en kunnen met duidelijke toets criteria gecontroleerd worden. Dit kan gebeuren aan de hand van een Checklist (1). Vervolgens kan een initiële toetsing plaatsvinden en zal daarna het geheel ingebed dienen te worden in de bedrijfsvoering. Ook kan dit gebruikt worden voor externe auditors. Aan de hand van de bedrijfseigen checklist kan de externe auditor zijn eigen controle uitvoeren. Het is altijd zeer belangrijk om voor elk punt welke gecontroleerd word een motivatie bij de hand te hebben. Deze motivatie kan bij een externe audit gebruikt worden om te verduidelijken waarom sommige punten wel of juist niet gecontroleerd worden.
Conclusies Veel managers vinden risico management een last, omdat zij denken dat hen dit afhoud van het runnen van de business, maar risico management moet eigenlijk leuk zijn. Het is een belangrijk hulpmiddel bij het operationeel houden van het bedrijf. Het voldoen aan wet- en regelgeving kan strafrechtelijke procedures voorkomen. Het risico management dient op een aantal niveaus bekeken te worden: Strategisch Waarom doe je het ? Performance Hoe doe je het ? Risico Hoe weet ik dat het goed is ? Om het risico op de juiste manier te onderzoeken kan een simpel model gebruikt worden. Het uitgangspunt is dan de benadering dat alle medewerkers getraind zijn voor hun taak en dat deze consistent uitgevoerd wordt. De volgende processtappen kunnen dan gevolgd worden:
1. Vertrouw me --------
2. Vertel me-------
3. Laat me zien------
4. Bewijs het
Belangrijk dat iedereen doet wat hij moet doen Deze stappen dienen ingebed te worden in de bedrijfscultuur. het leuke van invoering van deze benadering dat men zal zien dat zodra iedereen deze simpele processtappen begrijpt en zich eigen gemaakt heeft, risico management echt leuk begint te worden. De medewerkers begrijpen dat ze vertrouwen krijgen en zullen ook meer geneigd zijn om verbeteringen onder de aandacht te brengen. Er zal een adoptie plaatsvinden van het proces en motivatie zal van binnenuit komen, in plaats van bovenaf opgelegd. Het is uiteraard vanzelfsprekend dat indien er een incident plaatsvind deze regels aangescherpt dienen te worden. Compliance en risico management is een continue proces Literatuur verwijzing:
1. Opzetten Normenkader - Contamination Q & A juli 2009
2. The Science of Compliance - Henriette Gelinck 2007
3. ISO 14.644 - operations
Contamination Q & A B.V.
Tijdens de uitvoering van de dagelijkse werkzaamheden in een onderneming gaat er iets fout. Wie is daar dan voor verantwoordelijk ? Moet iemand daarvoor boeten ? De medewerker die de fout heeft gemaakt of de directie die de medewerkers geen goede instructies heeft gegeven ? Mocht er een strafrechtelijk onderzoek volgen (en denk niet, dat gebeurt nooit ), dan kan men al snel in een slechte B-film terechtkomen. Degene die denkt dat het in aanraking komen met het justitiële apparaat alleen is voorbestemd voor mensen die willens en wetens de wet overtreden, zal van een koude kermis thuiskomen.
Mensen die leiding geven aan een organisatie doen er goed aan hier andere inzichten over te ontwikkelen. Een foute keuze in de organisatie of een misverstand van een medewerker kan tot gevolg hebben dat er situaties ontstaan waardoor de wet wordt overtreden. En die overtredingen hebben direct gevolgen voor de leiding van die organisatie. Om deze gevaren in te perken komt compliance om de hoek kijken. In dit artikel wordt het begrip compliance behandeld en in perspectief gezet met betrekking tot de cleanroom wereld. Allereerst de definitie van compliance: compliance is het voldoen aan wet- en regelgeving. Het woord compliance is bij het grote publiek erg bekend geworden tijdens de recente banken crisis. Het bleek dat de banken wereldwijd een groot gebrek aan compliance en met name integriteit lieten zien, uiteindelijk heeft dit geleid tot reddingsacties van een ongekende omvang door de overheden.
De beleidsmakers zijn hier zo van geschrokken dat zij zich afvroegen waarom de banken zich niet aan wet en regelgeving houden. Binnen korte tijd zijn er daarna acties op touw gezet en deze resulteerden in onder andere de zogenaamde stress testen. Maar dat we ook in de cleanroom wereld te maken hebben met compliance zal in dit artikel duidelijk worden. Immers compliance is een onderdeel van risico management. Namelijk het voldoen aan wet- en regelgeving naast de operationele risico's. Het risico management systeem wordt opgezet met in achtneming van alle risico's, waardoor het mogelijk is om met periodieke audits hierop controle uit te oefenen. Wat betekent compliance voor de cleanroom wereld ? Om dit verder uit te diepen moeten we de definitie van compliance in het oog houden. Uiteraard heeft de cleanroom te maken met de normaal geldende wetgeving. Of we nu een cleanroom bouwen, gebruiken of onderhouden, altijd zullen we dienen te voldoen aan de wet.
Zo kunnen we onder andere te maken krijgen met: het bouwbesluit, de bouwverordening, de Arbowet en de omgevingsvergunning, etc. Tot zover het eerste gedeelte van de definitie, daarna krijgen we te maken met het tweede gedeelte van de compliance definitie: regelgeving. De oplettende lezer heeft ook direct het verschil begrepen. Regelgeving is de uitwerking van het raamwerk door de wet gegeven. U dient ook aan regelgeving te voldoen. In de praktijk zult u ontdekken dat regelgeving breed is opgezet en als twee mensen hier naar kijken kunnen zij beiden een andere uitleg hieraan geven. Dit hoeft niet perse fout te zijn. Regelgeving wordt ook gebruikt om te kunnen toetsen, bijvoorbeeld door de overheid of een inspectie. Heeft u als cleanroombouwer een ruimte gemaakt welke te controleren is ? Kunt u als cleanroom gebruiker de producten die u wilt maken onder voldoende schone stofclassificaties produceren ? Weet u bij cleanroom onderhoud hoe u kunt waarborgen dat de cleanroom zijn classificaties blijft behouden ? Zijn uw medewerkers voldoen getraind ?Om dit te kunnen toetsen hebben we regelgeving nodig.
Regelgeving is reeds lange tijd ingevoerd in de cleanroom wereld en wij kunnen daarvoor putten uit de ISO normen en de GMP normen. We kunnen direct vaststellen dat hierin de regelgeving aangeeft waar men aan dient te voldoen. Hier worden kaders aangegeven waarbinnen men kan voldoen aan de norm. Indien er een cleanroom gebouwd wordt, dan kan de klant met de leverancier afspreken dat deze dient te voldoen aan deze normen. In de ISO 14.644 staat in diverse hoofdstukken duidelijk omschreven wat men moet doen om een cleanroom te bouwen welke voldoet aan de norm en daarmee dus compliant is. Ook laat deze norm (ISO 14.644 is een open norm) genoeg ruimte over om een eigen invulling te geven aan het project welke men wil realiseren. Bijna bij elke aanbeveling staat: tenzij anders tussen de klant en leverancier overeengekomen. Uiteraard kunt u analoog aan de ISO norm, hier lezen de GMP norm. Een logische vervolgstap is dan ook het uitvoeren van een risico analyse op het te realiseren project en nadat alle risico's in kaart zijn gebracht kan men de juiste keuzes maken bij het realiseren van de gewenste cleanroom. Dit betekent dat het verstandig is een Normenkader (1) op te stellen om te garanderen dat het uiteindelijke product wat gemaakt wordt volledig voldoet aan de geldende wet- en regelgeving (compliance). Maar daarnaast dient men ook te voldoen aan de interne regels die door het bedrijf aan de medewerkers worden opgelegd. Deze regels kunnen common sense zijn in de industrie waar men werkt, maar zij kunnen ook opgelegd zijn door het product welke men maakt of het gevolg zijn van de eigen bedrijfscultuur. Vergeet bijvoorbeeld ook de veiligheidsnormen niet.
Dus aan het eind van de rit heb je een project welke voldoet aan de wetgeving, de afgesproken normen met hun afwijkingen, de bedrijfsnormen en de specificatie van het product. Uiteraard hoort bij deze compliance een kosten en baten analyse. Het uiteindelijke resultaat van deze afweging zal altijd betekenen dat het voldoen aan wet- en regelgeving de meest goedkope route is naar een winstgevend project. Immers dit geeft ook een kader bij eventuele claims, juridisch kan de regelgeving gebruikt worden om vast te stellen waar een eventuele schuldvraag ligt. Een dringend advies is dan ook met een zogenaamd Normenkader (1) te werken. Risico management in de cleanroom wereld ? Bij bestudering van de normen in het kader van de compliance vraag stuiten we voor risico management ook op de regelgeving welke gebruikelijk is in de cleanroomtechniek. De norm ISO 14644-5 heeft in Annex A aandacht voor risico management. Hier wordt met name gesproken over het bepalen van contaminatie risico's.
Als mogelijkheid voor het bepalen van risico's noemt de ISO 14.644-5 de volgende methoden: # HACCP (Hazard Analysis Critical Control Point) # FMEA ( Failure Mode Effects Analysis) # FTA (Fault Tree Analysis) Op basis van het risico management in de cleanroom kan het volgende een goede leidraad zijn voor het opzetten van een dergelijk management systeem. Cleanrooms zijn kritische productie ruimten in zowel farmaceutische bedrijven als micro elektronica bedrijven. Alle gebruikers van dergelijke ruimten zijn verantwoordelijk voor de juiste toepassingen in deze ruimten en dienen op de hoogte te zijn van de relevante regelgeving. Lucht gedragen deeltjes dienen gecontroleerd te worden om de mogelijkheid van contaminatie te voorkomen. Met name in de farmacie zal het verminderen van lucht gedragen deeltjes in de cleanroom er voor zorgen dat de mogelijkheid van een besmetting met micro-organismen verminderd word. Alle relevante regelgeving kan daarvoor gevonden worden in de ISO normen. Met name de ISO 14.644 met zijn 9 hoofdstukken. In het vakgebied farmacie is in Europa de GMP van toepassing en wordt in de USA gerefereerd aan de FDA's Guideline for industries. Om te voorkomen dat er lucht gedragen deeltjes in de cleanroom komen, dient er een samenhangend proces te zijn om dit te voorkomen. Als eerste dient de buitenlucht gereinigd te worden. Buitenlucht is in een cleanroom nodig voor verse lucht voor de aanwezige mensen, als compensatie voor afzuiglucht en zorgt voor overdruk. Het systeem wat de lucht toevoert zal echter ook zorgen voor vervuiling. Dit betekent dat als eindfilters de zogenaamde HEPA of ULPA filters toegepast moeten worden. Daarnaast is een externe bron van vervuiling de omliggende ruimten met hun verbindingen.
In de ruimte betekent verminderen van contaminatie: afgedichte, vlakke verlichtingsornamenten, afdichten van wanden, plafond en doorvoeringen, het in overdruk brengen van ruimten om lucht infiltratie te voorkomen. De grootste bron van lucht gedragen deeltjes in een cleanroom is het personeel. Deze genereren zowel levende als niet-levende deeltjes. Dat de bewegingsintensiteit bijdraagt aan het verspreiden van deeltjes is vanzelfsprekend. Deze deeltjes zijn huiddeeltjes, haardeeltjes, cosmetica-deeltjes, kledingdeeltjes, transpiratiedeeltjes en ademhalingsemissies. Daarnaast zal er deeltjesemissie plaatsvinden van de bouwkundige materialen. Een aantal maatregelen kunnen helpen om de deeltjes generatie te verminderen: Zorg dat de medewerkers de kledingprocedures volgen. Training van de medewerkers door een onafhankelijke instelling welke geaccrediteerd is. Vloer, wand en plafondafwerkingen moeten deeltjesgeneraties voorkomen. Alle ramen en deuren dienen glad afgewerkt te zijn aan de cleanroom zijde. Deuren dienen goed af te dichten om luchtlekkage te voorkomen Apparatuur moet dusdanig gepositioneerd te zijn dat ze eenvoudig onderhouden en schoongemaakt kunnen worden. Al deze elementen dienen in het risico management systeem opgenomen te zijn en kunnen met duidelijke toets criteria gecontroleerd worden. Dit kan gebeuren aan de hand van een Checklist (1). Vervolgens kan een initiële toetsing plaatsvinden en zal daarna het geheel ingebed dienen te worden in de bedrijfsvoering. Ook kan dit gebruikt worden voor externe auditors. Aan de hand van de bedrijfseigen checklist kan de externe auditor zijn eigen controle uitvoeren. Het is altijd zeer belangrijk om voor elk punt welke gecontroleerd word een motivatie bij de hand te hebben. Deze motivatie kan bij een externe audit gebruikt worden om te verduidelijken waarom sommige punten wel of juist niet gecontroleerd worden.
Conclusies Veel managers vinden risico management een last, omdat zij denken dat hen dit afhoud van het runnen van de business, maar risico management moet eigenlijk leuk zijn. Het is een belangrijk hulpmiddel bij het operationeel houden van het bedrijf. Het voldoen aan wet- en regelgeving kan strafrechtelijke procedures voorkomen. Het risico management dient op een aantal niveaus bekeken te worden: Strategisch Waarom doe je het ? Performance Hoe doe je het ? Risico Hoe weet ik dat het goed is ? Om het risico op de juiste manier te onderzoeken kan een simpel model gebruikt worden. Het uitgangspunt is dan de benadering dat alle medewerkers getraind zijn voor hun taak en dat deze consistent uitgevoerd wordt. De volgende processtappen kunnen dan gevolgd worden:
1. Vertrouw me --------
2. Vertel me-------
3. Laat me zien------
4. Bewijs het
Belangrijk dat iedereen doet wat hij moet doen Deze stappen dienen ingebed te worden in de bedrijfscultuur. het leuke van invoering van deze benadering dat men zal zien dat zodra iedereen deze simpele processtappen begrijpt en zich eigen gemaakt heeft, risico management echt leuk begint te worden. De medewerkers begrijpen dat ze vertrouwen krijgen en zullen ook meer geneigd zijn om verbeteringen onder de aandacht te brengen. Er zal een adoptie plaatsvinden van het proces en motivatie zal van binnenuit komen, in plaats van bovenaf opgelegd. Het is uiteraard vanzelfsprekend dat indien er een incident plaatsvind deze regels aangescherpt dienen te worden. Compliance en risico management is een continue proces Literatuur verwijzing:
1. Opzetten Normenkader - Contamination Q & A juli 2009
2. The Science of Compliance - Henriette Gelinck 2007
3. ISO 14.644 - operations
