Eindrapport Pilot Compliance Management - Inspectieloket

EindrapportPilot Compliance ManagementFrontoffice Chemie

EindrapportPilot Compliance ManagementFrontoffice Chemie

InhoudsopgaveSamenvatting51. Inleiding 9Achtergrond 92. Doel, scope en deliverables 113. Werkwijze 13Organisatie 13Fase 1: Verkenning en instrumentontwikkeling 13Fase 2: Afspraken overeenkomst 134. Resultaten 15Toelichting compliance management en systeemtoezicht 15Checklist compliance competence18Overzicht wettelijke eisen en risicomatrix 19Afspraken2035. Vervolg van de pilot 25Fasering 25Na de pilot 266. Conclusies en aanbevelingen29Conclusies29Aanbevelingen30Bijlagen 33Bijlage 1 - Samenstelling projectorganisatie34Bijlage 2 - Begrippenlijst 35Bijlage 3 - Checklist compliance competence36Bijlage 4 - Gewichtsfactoren checklist compliance competence42Bijlage 5 - Toelichting op de Checklist Compliance Competence44Bijlage 6 - Brief ThermPhos51Bijlage 7 - Brief Gedeputeerde Staten van Zeeland58Bijlage 8 - Vergelijking checklist Compliance Competence en ISO 1400160Bijlage 9 - Risicomatrix66

De systematiek zoals deze in deze pilot is toegepast leent zich voor bredere toepassing in de chemieen wellicht ook in andere sectoren met vergelijkbare bedrijven. Een groot deel van de chemie bedrijvenheeft een gecertificeerd management systeem en voldoet daarmee aan het ‘opstapniveau’ voorcompliance management.Er liggen kansen om het gebruik van de checklist compliance competence te integreren met deISO 14001 systematiek wat betreft normstelling en auditing.Over de differentiatie van strafrechtelijke sancties konden in dit project geen afspraken wordengemaakt. Wel is het van belang dat het strafrecht in wordt betrokken in het maken van afsprakenover differentiatie van het repressieve toezicht bij bedrijven die haar compliance managementverbeteren om te komen een consistente en effectieve aanpak.6Het is van belang dat de beleidsmatige en juridische basis van de systematiek en de gemaakteafspraken verder wordt onderzocht en uitgewerkt.Fotogafie: © Thermphoscompliance

1. InleidingAchtergrondDe afgelopen jaren is de overheid hard bezig geweest om het toezicht op de naleving van wettelijkeeisen te moderniseren. Het nieuwe programma Vernieuwing Toezicht (tot voor kort EenduidigToezicht geheten) gaat verder waar eerdere moderniseringen van het toezicht ophielden(zie www.inspectieloket.nl).Toezicht moet meer zijn gebaseerd op vertrouwen. Uitgangspunten van het nieuwe programmazijn onder andere dat inspecties vooral zijn gericht op risicovolle bedrijven, dat goede bedrijvenminder worden gecontroleerd en dat eigen managementsystemen van bedrijven benut wordenbij het toezicht.Het project ‘Frontoffice Chemie’ dat momenteel loopt, heeft als doel om te zorgen voor een goedeen transparante organisatie van het toezicht bij chemische bedrijven op het gebied van onderandere milieu, veiligheid, water en chemicaliën. Waar nu nog diverse overheidsorganisaties veelallos van elkaar toezicht houden, zal dit straks gecoördineerd gebeuren. Het project valt onder hetprogramma Vernieuwing Toezicht.9Veel grote bedrijven in Nederland hebben de afgelopen jaren volop geïnvesteerd in het ontwikkelenen implementeren van managementsystemen. Er zijn zorgsystemen voor een groot aantalonderwerpen zoals kwaliteit, milieu, veiligheid en energie. Klanten, aandeelhouders, omwonenden,het moederconcern, de overheid: allemaal verwachten ze van het bedrijf dat het de risico’s kent enonder controle heeft.De overheid dekt risico’s af door voor bedrijven wetten en regels op te stellen en te controlerenof deze worden nageleefd. Managementsystemen van bedrijven zijn niet primair gericht op hetborgen en verbeteren van de naleving van wettelijke eisen, ook wel compliance managementgenoemd. Het systeem is er doorgaans in de eerste plaats om de bedrijfsvoering te optimaliseren.Er is bij grote bedrijven wel een groot potentieel om de naleving van wettelijke eisen te borgen inde eigen organisatie en de naleving continu te verbeteren op basis van kennis van en ervaring metmanagement systemen. Er zijn vaak specifieke managers voor kwaliteit, gezondheid, veiligheid enmilieu (QHSE). Echter, doordat de bestaande normen voor managementsystemen niet specifiek zijngericht op het borgen van het naleven van wettelijke eisen, zijn er verschillen in het nalevingsgedragbij bedrijven, ook al werken zij met gecertificeerde managementsystemen. Dit is ook het geval bij demilieuzorgnorm ISO 14001.Wat nog ontbreekt is een specifieke norm of specifieke normelementen voor het bepalen van deeffectiviteit van compliance management.Wel zijn er criteria die kunnen worden gebruikt om tot een dergelijke norm te komen. Ook is er eenconcrete checklist waarmee, onafhankelijk van het wettelijk domein, kan worden gemeten hoe effectiefhet compliance management systeem is. Dit is mogelijk omdat met de checklist niet de nalevingvan regels wordt gemeten, maar de mate van borging van naleving. Deze borging staat in principelos van het soort regels dat wordt nageleefd.Fotogafie: © Thermphoscompliance

2. Doel, scope en deliverablesIn een bespreking op 30 augustus 2006 tussen vertegenwoordigers van de provincie Zeeland,ThermPhos International B.V. en ons bureau is door de Gedeputeerde aangegeven dat de provincieZeeland de eigen verantwoordelijkheid van groot belang acht en dat de provincie een pilot compliancemanagement bestuurlijk wenselijk acht.Tijdens vervolggesprekken met vertegenwoordigers van ThermPhos, de Provincie Zeeland en deVROM Inspectie bleek bij de partijen draagvlak te bestaan voor een pilot compliance managementbij ThermPhos. De VROM Inspectie heeft de pilot benoemd als één van de pilots in het kader van hetfrontoffice chemie. In elke pilot worden één of meerdere aspecten van het Frontoffice beproefd enontwikkeld.10Het algemene doel van de pilot is om afspraken te maken over waar compliance management aanmoet voldoen en over de bijbehorende wijze van toezicht en handhaving en ervaring opdoen metdeze afspraken.Voor ThermPhos is het van belang dat:• ThermPhos een grote stap zet in de structurele verbetering van de nalevingsprestatie;• er een relatie met de Provincie komt waarin een geborgde nalevingsprestatie voordelen biedt inde handhaving.11Voor de Provincie is het van belang dat:• de pilot tot resultaat heeft dat de naleving van ThermPhos goed geborgd is in de organisatieen inzichtelijk is voor de overheid en• de te maken afspraken binnen het beleid van de Provincie passen.De pilot is gericht op de wettelijke eisen die op ThermPhos Vlissingen van toepassing zijn enwaarvoor de provincie bevoegd gezag is, te weten de Wm en het BRZO.Voor de pilot is een afbakening gemaakt tot de Wet milieubeheer (exclusief BRZO) bij de ElementairePhosphorus Plant (EPP) bij ThermPhos.De pilot compliance ThermPhos kent de volgende beoogde deliverables:• Een algemene eindrapportage van het project;• Een checklist compliance competence, inclusief toelichting voor gebruik;• Een overzicht van de wettelijke eisen waaraan ThermPhos moet voldoen, inclusief eenrisicoanalyse en de manier waarop de belangrijkste risico’s zijn geborgd in het internemanagement systeem;• Afspraken tussen ThermPhos en de Provincie met betrekking tot het niveau van compliancebij ThermPhos en differentiatie van toezicht van de Provincie.• Een evaluatie van de gemaakte afspraken na een periode van monitoring hiervan.Het project is gefinancierd door ThermPhos, de Provincie Zeeland, de VROM Inspectie en MWH B.V.(allen 25%).Fotogafie: © DSM

4. ResultatenVan de deliverables van het project zijn opgeleverd• Dit rapport als algemene eindrapportage van het project.• Een checklist compliance competence, inclusief toelichting voor gebruik.• Een overzicht van de wettelijke eisen waaraan ThermPhos moet voldoen, inclusief een risicomatrix.• Afspraken tussen ThermPhos en de Provincie met betrekking tot het niveau van compliance bijThermPhos en differentiatie van toezicht van de Provincie.Achteraf bezien is de projectgroep te optimistisch geweest over de tijd en inspanning om vanuit deverschillende invalshoeken (bedrijf en overheid) te komen tot gedragen, werkbare afspraken. Hierdeed zich het spreekwoord gelden: vertrouwen komt te voet (en gaat te paard).De waarde van dit project is vooral gelegen in het gezamenlijke proces tussen bedrijf en provincieom tot deze afspraken te komen. Op basis hiervan is er bij de projectgroepleden vertrouwen om hetproject te continueren en te verbreden.15In bijlage 2 is een begrippenlijst opgenomen met begrippen zoals deze in dit rapport wordengehanteerd.Toelichting compliance management en systeemtoezichtDe wettelijke eisen waarmee een chemisch bedrijf te maken heeft kunnen omvangrijk en complex zijn.Het naleven van al deze eisen gaat niet vanzelf. Het bedrijf moet daarvoor een aantal maatregelennemen. Zo moet het bedrijf ervoor zorgen dat het op de hoogte is van alle toepasselijke wettelijkeeisen en de wijzigingen hierin. Ook moet het bedrijf deze eisen doorvertalen naar de organisatiein de vorm van instructies, procedures en andere maatregelen en vervolgens controleren of dezeworden gevolgd. Een volgend belangrijk onderdeel is dat het bedrijf volledig open is over haarnalevings prestatie naar de overheid, omwonenden en belanghebbenden. Wij definiëren compliancemanagement als het structureel borgen en continu verbeteren van de naleving van wettelijke eisen.Op basis van onderzoek in verschillende sectoren (waaronder de chemische industrie) en eigenervaringen heeft MWH een checklist opgesteld waarmee kan worden gemeten in hoeverre een bedrijfde naleving van wettelijke eisen heeft geborgd in de organisatie. Deze checklist bevat veertig vragenmet verificatie items en is zó ontworpen dat hij kan worden gebruikt als basis voor een externe audit,vergelijkbaar met een ISO audit. De checklist en de bijbehorende toelichting zijn als bijlagen bijgevoegd.Bedrijven kunnen in vier niveaus van compliance competence worden ingedeeld. Daarbij horen vierniveaus van handhaving en toezicht vanuit de overheid. Deze niveaus vormen een groeimodel dataangeeft hoe bedrijven en toezichthouders samen naar een hoger niveau kunnen groeien door zichrespectievelijk te concentreren op een betere borging van naleving en een aangepaste wijze vantoezicht dat uit gaat van groeiend vertrouwen.1. Bedrijven die niet willen en/of niet kunnen naleven. Deze bedrijven zijn niet bereid tot regelnalevingdan wel niet in staat tot regelnaleving vanwege het ontbreken van de benodigdecompetenties.2. Bedrijven met een gecertificeerd management systeem zoals bijvoorbeeld een ISO 9000 of14001 certificaat. Deze bedrijven hebben het kwaliteitsdenken in bepaalde mate aantoonbaar inde vingers maar dit is niet specifiek gericht op het borgen van de naleving van wettelijke eisen.

3. Bedrijven met een effectief compliance management systeem (CMS). Deze bedrijven hebben eenmanagementsysteem dat specifiek gericht is op het borgen van regelnaleving.4. Bedrijven met bewezen compliance management. Deze bedrijven zitten in de ‘eredivisie’ vancompliance management. Hebben een managementsysteem dat specifiek gericht is op het borgenvan regelnaleving dat zich meerdere jaren heeft bewezen door goede resultaten en continueverbetering.Onderstaande figuur geeft deze vier niveaus van CM aan.of bepaalde voorzieningen zijn gerealiseerd, etc. Dit toezicht is dus gericht op de beoordeling vande output. Voor het bedrijf geeft dit een ‘single loop learning’: het lokt alleen acties van het bedrijfuit om de overtreding ongedaan te maken. Systeemtoezicht komt overeen met double loop learningen is gericht op de onderliggende processen, strategieën en procedures die compliance als doelhebben. Systeemtoezicht grijpt daarmee in op de structurele oorzaken van naleving en kan daaromeen structurele verbetering van de naleving bewerkstelligen. De gecombineerde inzet van systeemtoezichten toezicht op output noemen we systeemgericht toezicht. Onderstaand figuur illustreertdit.BedrijfBewezen complianceHandhaving/toezichtNiveau 4Compliancemanagementsysteem16 17ActiesComplianceBedrijfCompliance systeemBedrijfMilieu- en kwaliteitszorgHandhaving/toezichtNiveau 3Handhaving/toezichtNiveau 2Toezicht op output(=single loop learning)Systeemtoezicht (=double loop learning)BedrijfNiet willen/niet kunnenHandhaving/toezichtNiveau 1Figuur: Model voor systeemgericht toezichtAls een bedrijf aantoonbaar compliance management voor elkaar heeft, kan de toezichthoudendeoverheid hierop inspelen door het toezicht anders te organiseren. Daarvoor staan verschillendemogelijkheden ter beschikking. We maken daarbij onderscheid tussen preventief en repressieftoezicht:Bij preventief toezicht zijn er twee kanten. Enerzijds de kwantiteit en anderzijds de kwaliteit. Detoezichthouder kan besluiten om minder te controleren, dus minder tijd te besteden aan de controlevan het betreffende bedrijf. Dit kan zich bijvoorbeeld vertalen in minder inspectiebezoeken.Daarnaast kan de toezichthouder een ander accent gaan leggen in het toezicht: hij kan zich meerrichten op controle van het CM systeem dan op de feitelijke naleving zelf. Het eerste noemen wesysteemtoezicht, het tweede toezicht op output.Het onderscheid tussen systeemtoezicht (ook wel metatoezicht genoemd) en toezicht op output kanworden toegelicht aan de hand van een model voor leren in organisatie (Argyris en Schön, 1993). Bijtoezicht op output controleert de toezichthouder of aan de vergunningsvoorschriften en wettelijkeeisen wordt voldaan. Er wordt dus gekeken of de emissies de gestelde normen niet overschrijden,Uit metingen van de toezichtslast (zie www.inspectieloket.nl bij onder andere Afval en bij Chemie)blijkt dat grote bedrijven niet zozeer last hebben van de hoeveelheid inspecties van de overheid, alswel de kwaliteit van de inspecties, waaronder de aansluiting op de interne bedrijfsvoering.Door middel van systeemtoezicht kan de overheid bij bedrijven die zich bevinden op CM niveaus2 en 3, zich richten op de verdere verbetering van het compliance management systeem. Dit kanvermindering van toezichtslast geven omdat bedrijven leren naleving te borgen en zichzelf hierop tecontroleren. Bovendien zullen deze bedrijven systeemtoezicht ervaren als structureel meedenken.Overigens zullen er altijd, aanvullend op systeemtoezicht steekproefsgewijze outputcontroles moetenplaatsvinden als integraal onderdeel van het systeemgerichte toezicht. Hierbij is het van belangde gegevens van de outputcontroles te benutten om het compliance management systeem verderte verbeteren.Voor de repressieve kant van het toezicht betekent CM ook het een en ander. Bedrijven met een CMsysteem controleren zelf of zij regels naleven, beëindigen overtredingen en nemen maatregelen omherhaling van deze overtredingen te voorkomen. Als dit mechanisme binnen het bedrijf aantoonbaargoed functioneert dient dit hetzelfde doel als bestuursrechtelijke sancties, die hiermee in wezenoverbodig zijn geworden. Een praktische invulling kan zijn dat overtredingen gepleegd door bedrij-

ven met CM niveau 3 of 4 die door het bedrijf zelf worden geconstateerd en beëindigd en waarvoormaatregelen ter voorkoming van herhaling zijn genomen, niet bestuursrechtelijk worden bestraft.Voor hetzelfde bedrijf kan gelden dat overtredingen die niet op die manier worden afgehandeld,extra zwaar worden bestraft. Op deze manier ligt er een incentive bij het bedrijf om het CM systeemverder te verbeteren.Ook voor de strafrechtelijke afdoening van overtredingen kan het uitmaken of het overtredendebedrijf een CM systeem heeft. In de Verenigde Staten worden bedrijven die aan compliance managementcriteria voldoen, minder zwaar gestraft 1 .Checklist compliance competenceIn het project is besloten om de audit op de checklist in het kader van de afspraken tussen provincieen bedrijf zoveel mogelijk aan te laten sluiten op de ISO auditing systematiek. De projectgroepverwacht dat dit meest voor de hand liggende oplossing is met het oog op de efficiency en decompetenties van de certificerende instelling. Met de certificerende instelling van ThermPhoszullen gesprekken worden gestart om dit te effectueren. De afspraak is dat de provincie in iedergeval de eerste keer dat de audit wordt uitgevoerd, hieraan deelneemt.Overzicht wettelijke eisen en risicomatrixTwee belangrijke eisen van de checklist zijn dat het bedrijf een systeem wettelijke kaders heeften bijhoudt en dat het bedrijf op basis van een risicoanalyse de mate van borging bepaalt.De basis voor de checklist was de door MWH aangeleverde checklist compliance competence.In nauw overleg met ThermPhos is een register wettelijke eisen opgesteld op twee niveaus. Op eenHet resultaat van de eerste fase was dat deze oorspronkelijke checklist is aangepast. De aanpassingengeneriek niveau is vastgelegd welke wettelijke domeinen er op het bedrijf van toepassing zijn en wie18 bestaan uit wijzigingen van de beschrijving van de onderdelen en een wijziging van debinnen ThermPhos verantwoordelijk is om wijzigingen in dit domein te volgen en implementatie te19scorekolommen. De oorspronkelijke forced choice score (ja/nee) is verbijzonderd naar gedocumenteerd- geschikt – geïmplementeerd om meer mogelijkheden te hebben om het oordeel op hetspecifieke verificatie item te nuanceren. Hierbij geldt dat een verificatie item akkoord is (‘ja’) alsdeze gedocumenteerd, geschikt en geïmplementeerd is. Deze indeling is overgenomen uit de nieuweinspectiemethodiek van het BRZO. De aangepaste checklist compliance competence is opgenomenin bijlage 3.Tijdens het project bleek dat er behoefte ontstond aan een toelichting op de checklist. De toelichtingdient er toe om onafhankelijke auditors die een bedrijf auditeren op de checklist, te voorzien vande benodigde achtergrondinformatie om de audit goed te kunnen uitvoeren. Doelstelling was omhet systeem geschikt te maken voor een externe verificatie audit. De toelichting is bijgevoegd inbijlage 5.Na aanpassing van de checklist heeft de projectgroep zich gebogen over het gewicht van de onderdelenvan de checklist. De checklist is een meetinstrument en nog geen norm.De onderdelen van de checklist zijn door de projectgroep ingedeeld in drie niveaus:• Essentieel• Belangrijk• Minder belangrijk.coördineren in de organisatie. Op het tweede niveau is binnen het kader van de Wet milieubeheereen volledige opsomming van alle wettelijke eisen opgesteld, met onder andere de eisen uit deWm-vergunning.De risico-inschatting en daaraan gekoppelde borging is tijdens het project intensief bediscussieerd.Vooral omdat er een schijnbare tegenstrijdigheid lijkt te liggen in een risicogebaseerde aanpak daarwaar de wet vereist dat alle wettelijke verplichtingen worden nageleefd.Echter de risico-inschatting is gericht op het vinden van een adequaat niveau van borging. Door opelke wettelijke verplichting een even zwaar borgingsmechanisme te zetten ontstaat een onwerk baresituatie en dat is ook niet mogelijk met de beschikbare mankracht. Deze management uitdagingspeelt overigens zowel bij het bedrijf als in het toezicht. De toezichthoudende instantie heeftimmers ook geen onbeperkte capaciteit en zal dus keuzes moeten maken om zijn beschikbarecapaciteit zo gericht mogelijk in te zetten.Deze inschatting wordt belangrijker naarmate de wettelijke eisen talrijker zijn en er geen formeelonderscheid is aangegeven in mate van belang van wettelijke eisen.In de praktijk vindt door bedrijven al een inschatting van het belang van een verplichting plaats,maar doorgaans zeer impliciet, waardoor een onafhankelijke toetsing op naleving moeilijk wordt.Het overzicht met gewichtsfactoren is opgenomen in bijlage 4.Omdat deze pilot is beperkt tot het naleven van milieueisen, is een nader onderzoek uitgevoerdnaar de verhouding tussen de gebruikte checklist compliance competence en de ISO 14001 norm.Door het SCCM is een vergelijking gemaakt tussen de ISO 14001 norm en de checklist compliancecompetence zoals deze in dit project is gebruikt. Er blijkt een substantiële overlap in de eisen van deISO 14001 norm en de checklist. Op een aantal punten stelt de checklist meer expliciete en gedetailleerdeeisen aan de wijze waarop de wettelijke eisen worden geborgd.Belangrijke verschillen zijn onder andere de expliciete eisen die de checklist stelt aan hoe het bedrijfwijzigingen in wettelijke eisen monitort en deze doorvoert in het bedrijf en de eisen aan de compliancefunctie (met name functiescheiding en taken, bevoegdheden en verantwoordelijkheden). Devergelijking is als bijlage 8 in dit rapport opgenomen.In de pilot zijn verschillende risicoanalyse methoden uitgeprobeerd waaronder het opstellen vanscenario’s in analogie met BRZO. Dit bleek minder eenvoudig dan aanvankelijk gedacht.Uiteindelijk bleek de risicoanalysemethodiek voor voedselveiligheid met critical control points,waarmee ThermPhos bekend is, een zeer werkbare methode. Met die methode worden criticalcontrol points geïdentificeerd en wordt snel een schifting gemaakt tussen algemene beheersmaatregelen(die doorgaans onderdeel zijn van een management systeem) en specifieke maatregelen.Een critical control point is een punt in het proces (van voedingsmiddelenbereiding) waarna geeninvloed meer kan worden uitgeoefend op de kwaliteit of samenstelling. Het is dus zaak om ervoorte zorgen dat dit punt dient als ‘Polizei Filter’ zodat geen stoffen of producten dit punt passeren dieniet voldoen aan de criteria. Bij het opstellen van deze eindrapportage was ThermPhos bezig omanaloog aan de methode van critical control points de risico analyse uit te werken.1. US Federal Sentencing Guidelines, November 1, 2004

ThermPhos gebruikte al een risicomatrix voor het inschatten van risico’s. In het project de risicomatrix beoordeeld en aangevuld met enkele punten die voor de overheid van belang zijn. Het resultaatis een risicomatrix die kan worden gebruikt om de hoogte van risico’s in te schalen op een6-punten schaal (Nihil, Licht, Beperkt, Ernstig, Zeer Ernstig en Ramp). De risicomatrix is opgenomenin bijlage 9.AfsprakenEen van de belangrijke doelstellingen van het project was om afspraken te maken met betrekkingtot het niveau van compliance management bij ThermPhos en de differentiatie van toezicht van deprovincie.Toetsing van het Compliance management systeem vindt plaats door onafhankelijke auditor.Criteria voor overgang van niveau 2 naar niveau 3 zijn eenduidig en afgeleid van de checklistcompliance competence. De criteria om in niveau 3 te blijven moeten nog verder wordenuitgewerkt, het gaat dan om wat een major bevinding is, wat afdoende snelle afhandeling is,aard en maximum aantal overtredingen waarbij het systeem niet heeft gefunctioneerd. Dezezijn nog niet eenduidig gedefinieerd tijdens de pilot, maar zullen in het vervolg nader wordenvastgesteld en afgesproken.Voor niveau 4 geldt dat eerst een nog te bepalen periode aan de criteria moet worden voldaan,voordat daadwerkelijk de overgang naar dit niveau gemaakt wordt.Toezicht en handhaving bij de verschillende niveausIn de laatste fase van het project zijn afspraken gemaakt over preventief toezicht op de nalevingvan de eisen van de milieuvergunning. Tevens konden afspraken worden gemaakt over de differen-20 tiatie van bestuursrechtelijke sancties. Deze afspraken zijn gemaakt voor de duur van de pilot enBinnen de pilot is een toezicht- en handhavingstrategie opgesteld passend bij het in werking zijn21van een compliance management systeem. Binnen die strategie krijgt het bedrijf ruimte voor zelfcorrigerendgedrag zonder bestuursrechtelijke sancties.voor de Wm-vergunning van de EPP fabriek van ThermPhos. Over uitbreiding naar andere fabriekenen andere wettelijke domeinen worden aparte afspraken gemaakt. Vastlegging van de afsprakenvindt plaats door middel van een brief van ThermPhos aan Gedeputeerde Staten van de ProvincieZeeland en een antwoord daarop (zie bijlagen 6 en 7).Afspraken ten aanzien van de overgangen naar de verschillende compliance niveausHieronder staat weergegeven op welke wijze de Provincie Zeeland toezicht zal houden enhand havend zal optreden in de verschillende niveaus.Uitgaande van het groeimodel uit paragraaf 2.2, zijn criteria vastgesteld voor de overgang naar deverschillende niveaus. Deze zijn weergegeven in onderstaande tabel.Compliance niveauNiveau 1Niveau 2Niveau 3Compliancemanagementsysteem opgezetNiveau 4Compliancemanagementsysteem bewezenwerkendCriteriaBedrijf heeft geen ISO-14000 certificaatBedrijf heeft een gecertificeerd ISO-14000 systeem•100% score ‘voldoende’ op de volgende onderdelen van de checklistcompliance competence (zie Bijlage 2): 1.1, 1.2, 1.3, 1.4, 1.5, 2.1, 2.2, 2.3, 2.4,2.5, 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 3.8, 3.9.•score ‘voldoende’ op minimaal 50% van de volgende onderdelen van dechecklist: 1.6, 3.10, 4.1, 4.2, 4.3, 4.4, 4.5, 4.6, 4.7, 5.1, 6.1, 6.2, 6.6, 6.7, 6.8.Om in niveau 3 te blijven moet wel worden voldaan aan:•Minimaal 1x per jaar toetsing van het systeem.•Geen major bevindingen tijdens jaarlijkse toetsing die niet voldoendesnel zijn verholpen (wat een major bevinding is wordt in het vervolgtrajectuitgewerkt).•Maximaal een nader aantal te bepalen overtredingen per tijdseenheidwaarbij het compliance management systeem niet heeft gefunctioneerd.Dit aantal en de aard zal tijdens het vervolgtraject worden bepaald.Voor periode van minimaal ..jaar:•100% score 'voldoende' op alle onderdelen die bij niveau 3 genoemd zijn.•Minimaal 1x per jaar toetsing van het systeem.•Geen major bevindingen tijdens jaarlijkse toetsing die niet voldoendesnel zijn verholpen (wat een major bevinding is wordt in het vervolgtrajectuitgewerkt)•Maximaal een nader aantal te bepalen overtredingen per tijdseenheidwaarbij het compliance management systeem niet heeft gefunctioneerd.Dit aantal en de aard zal tijdens het vervolgtraject worden bepaald.ComplianceNiveauOvertredingen die hetbedrijf zelf heeft geconstateerden waarvoorafdoende actie is genomenvoor herstel en voorkomenvan herhaling.HandhavingOvertredingen die deProvincie constateert endie het bedrijf niet heeftgeconstateerd òf die hetbedrijf heeft geconstateerd,maar waarvoorgeen of onvoldoende actieis genomen voor herstelen voorkomen van herhaling.ToezichtWijze van preventieftoezicht.Niveau 1 Bestaande systeem voor bestuursrechtelijk optreden. Op outputNiveau 2 Bestaande systeem voor bestuursrechtelijk optreden. Op outputNiveau 3Compliancemanagementsysteemopgezet.Niveau 4Compliancemanagementsysteembewezenwerkend.Bestuursrechtelijkoptreden niet nodig.Bestuursrechtelijk optredenniet nodig.Sneller bestuurs rechtelijkoptreden; met een stapminder dan in de toezichtensanctie strategie.En eventueel terugval naarlager niveau.Sneller bestuurs rechtelijkoptreden; met een stapminder dan in de toezichtensanctiestrategie.*En eventueel terugval naarlager niveau.SysteemtoezichtGeleidelijke verschuiving,afhankelijk vanervaring & vertrouwenin het systeem.SysteemtoezichtIndicatief: 80%systeem, 20% steekproefcontrolesopoutput.

De overweging voor het versneld bestuursrechtelijk optreden, bij overtredingen die de Provincieconstateert en die het bedrijf niet heeft geconstateerd òf die het bedrijf heeft geconstateerd, maarwaarvoor geen of onvoldoende actie is genomen voor herstel en voorkomen van herhaling, is datbij zulke overtredingen het compliance management systeem niet goed heeft gefunctioneerd enhet vertrouwen in het systeem daarmee wordt geschaad. Daarom wordt sneller opgetreden; waarbijvoorbeeld volgens de sanctiestrategie eerst een formele waarschuwing wordt gegeven, wordtnu meteen een dwangsom opgelegd.Niet vastgelegd is welke overtredingen qua ernst en omvang aanleiding geven tot een dergelijkversneld bestuursrechtelijk optreden. Dit vastleggen is ook één van de doelen voor het vervolgvan de pilot.Op langere termijn geldt voor het toezicht het volgende streefbeeld:22Bij een bewezen goed functionerend compliance managementsysteem, dat periodiek wordt geauditdoor een certificerende instelling, wordt het preventieve toezicht beperkt tot een periodieke toetsingvan het systeem. Voor wat betreft de frequentie van de periodieke audit wordt toegewerkt naareen frequentie van éénmaal per jaar. Daarbij worden tevens op basis van steekproeven plantrondesuitgevoerd.StrafrechtDoor de betrokken partijen is onderstreept dat het van belang is om ook over de differentiatie vanstrafrechtelijke sancties nadere afspraken te maken als het bedrijf haar compliance managementniveau verbetert. Op milieugebied biedt hiertoe de LOM sanctiestrategie mogelijkheden. Deze steltdat optreden (bestuurs- dan wel strafrechtelijk) achterwege kan blijven indien de overtreding:• niet doelbewust is begaan en• een kennelijk incident betreft en• gering van omvang is en• van een overigens goed nalevende overtreder• die onverwijld afdoende maatregelen heeft getroffen.Wij gaan er van uit dat de afspraken die tussen ThermPhos en de provincie Zeeland zijn gemaaktover de voorwaarden waaronder een bestuursrechtelijk optreden achterwege kan blijven zoals beschrevenin paragraaf 4.4.2, een concrete invulling zijn van de bovengenoemde criteria van de LOMsanctiestrategie.Inmiddels is over dit onderwerp contact met het Openbaar Ministerie. Het ligt voor de hand datdeze benaderingswijze vanuit het frontoffice chemie nader wordt afgestemd met het OpenbaarMinisterie.

5. Vervolg van de pilotBij partijen bestaat voldoende vertrouwen dat het systeem werkend gemaakt kan worden tot voordeelvan beide partijen. Partijen hebben daarom besloten tot een vervolg van de pilot om een aantalonduidelijkheden die in de afgelopen fase niet konden worden opgehelderd, nu duidelijk vast te stellen.De implementatie en toetsing beperkt zich tot de Wm-vergunning van de EPP-fabriek.Doelstelling in algemene zin is: voor één van de fabrieken van ThermPhos (EPP) een werkend compliancemanagement systeem hebben, met overeengekomen kwaliteitscriteria en toezichtswijze.De specifieke doelstellingen voor het vervolg van de pilot zijn:• Voor ThermPhos: Invullen van het compliance management systeem. Inzicht krijgen in dehoeveelheid werk om het systeem op te zetten en te onderhouden.• Voor de Provincie Zeeland: Ervaring opdoen met de verschuiving van het toezicht en debijbehorende wijze van handhaving. Een beeld krijgen of deze werkwijze werkt, of denaleving beter wordt.• Voor beide partijen: Verkrijgen van een beeld van de waarde van het oordeel van een onafhankelijkeauditor en vertrouwen krijgen in het gebruik van de checklist voor het beoordelen van hetcompliance management systeem.• Voor beide partijen: Duidelijker vastleggen van toetsingscriteria:- wat is een major bevinding bij de toetsing van het systeem met de checklist;- wat is het maximum aantal (en aard van de) overtredingen waarbij het compliance managementsysteem niet heeft gefunctioneerd dat toegestaan is voor een bepaald stadium;- welke overtredingen (aantallen en/of aard) geven aanleiding tot direct, verkort bestuursrechtelijkingrijpen (zie ook de tabel ‘Bestuursrechtelijk optreden per stadium’).• Voor beide partijen: Definiëren van criteria voor ‘Bewezen compliance’.25FaseringThermPhos heeft momenteel een gecertificeerd ISO-14000 systeem. Uit een eerste toetsing tegende checklist is een aantal verbeterpunten naar voren gekomen, die eerst moeten worden aangepakt,voordat het systeem van ThermPhos voldoet aan de minimum criteria voor een compliance niveau 3(compliance management systeem in opzet gereed).Eerst stap in het vervolg van de pilot is daarom dat ThermPhos de opzet van het compliancemanagement systeem afrondt, zodanig dat het voldoet aan de minimum criteria voor niveau 3.gedurende die periode wordt het handhavings- en toezichtsregime zoals momenteel toegepast,gecontinueerd.De tweede stap is het proefdraaien met het compliance management systeem en bijbehorendeafspraken en het vastleggen van de toetsingscriteria voor niveau 3 en 4 (zoals majors, aantal overtredingenetc.).Een belangrijk onderdeel van het vervolgtraject is de evaluatie die na elke fase zal plaatsvinden.Beide partijen kunnen na elke fase besluiten om al dan niet verder te gaan. Ook kunnen na elke faseaanpassingen gedaan worden.

In meer detail zien de twee fasen van het vervolg er als volgt uit:26Fase 1: Implementatie• Vanuit de huidige situatie vult ThermPhos het compliance management systeem in. De huidigewijze van toezicht wordt gecontinueerd;• Bepalen van indicatoren voor succes van het vervolgproject;• Het uitvoeren van een nulmeting tegen de indicatoren voor succes;• Definiëren van een major bevinding;• Einde van deze fase als ThermPhos het systeem zover ingevuld heeft dat aan de checklistcriteriavoor niveau 3 is voldaan;• Dit op basis van toetsing door een externe auditor aan de hand van de checklist.• Bij de toetsing loopt de Provincie mee;• Indien nodig aanpassing van het systeem na de toetsing totdat naar oordeel van alle partijenimplementatie van de voor niveau 3 aangewezen elementen is bereikt;• Evaluatie en indien nodig aanpassing van de checklist;• Besluitvorming door beide partijen om al dan niet verder te gaan.Naar verwachting kan fase 1 eind 2008 worden afgerond.Fase 2: Proefdraaien• ThermPhos bevindt zich in niveau 3;• De Provincie hanteert de bijbehorende wijze van toezicht houden en bestuursrechtelijk optreden;• ThermPhos vult het Compliance management systeem aan met de elementen uit de criteria voorniveau 4 ;• Vaststellen van aard en maximum aantal van overtredingen, waarbij het compliance managementsysteem niet heeft gefunctioneerd, dat is toegestaan per stadium;• Vaststellen welke overtredingen (aard) aanleiding geven tot direct, verkort bestuursrechtelijkingrijpen;• Einde van deze fase als ThermPhos het systeem zover ingevuld heeft dat aan de criteria voorniveau 4 is voldaan;• Dit op basis van toetsing door een externe auditor aan de hand van de checklist.• Bij de toetsing loopt de Provincie mee;• Indien nodig aanpassing van het systeem na de toetsing totdat naar oordeel van alle partijenimplementatie van de voor niveau 4 aangewezen elementen is bereikt;• Evaluatie van deze manier van werken en indien nodig aanpassing van afspraken;• Besluitvorming door beide partijen om al dan niet verder te gaan.Naar verwachting kan fase 2 eind 2009 worden afgerond.Na de pilotNa het proefdraaien wordt de pilot beëindigd. Indien beide partijen ervoor kiezen om verder te gaanmet compliance management, zullen de afspraken opnieuw worden vastgelegd. Daarin worden ookde criteria voor ‘Bewezen compliance’ meegenomen. Daarnaast kunnen de afspraken worden uitgebreidnaar andere onderdelen van ThermPhos en naar andere vergunningen dan de Wm-vergunning.

6. Conclusies en aanbevelingenConclusiesAchteraf bezien is de projectgroep te optimistisch geweest over de tijd en inspanning om vanuit deverschillende invalshoeken (bedrijf en overheid) te komen tot gedragen, werkbare afspraken. Daardoorzijn we nog niet toegekomen aan het opdoen van ervaring met de afspraken. De waarde van ditproject is vooral gelegen in het feit dat bedrijf en provincie door het gezamenlijk doorlopen van hetproces en de gemaakte afspraken voldoende vertrouwen en wederzijds begrip hebben gekregen omhet project te continueren en te verbreden.Naast dit gegroeide vertrouwen en wederzijdse begrip heeft het project de volgende concreteresultaten opgeleverd:• Een checklist compliance competence als meetinstrument voor de mate waarin het bedrijf denaleving van wettelijke eisen heeft geborgd.• Een toelichting op deze checklist voor gebruik als instrument voor een verificatie audit.• Een overzicht van de wettelijke eisen waaraan ThermPhos moet voldoen, inclusief een risicomatrix.• Afspraken tussen ThermPhos en de Provincie met betrekking tot het niveau van compliancebij ThermPhos en differentiatie van toezicht van de Provincie.29Er liggen kansen om de audit op de checklist compliance competence uit te voeren in combinatiemet de reguliere audits op het managementsysteem van het bedrijf door de certificerende instelling.Gezien de substantiële overlap tussen ISO 14001 en de checklist mag worden verwacht dat hiermeeaanzienlijke efficiency voordelen te behalen zijn.De systematiek zoals deze in deze pilot is toegepast leent zich voor bredere toepassing in de chemie.Hierbij kunnen de per brief gemaakte afspraken dienen als voorbeeld. Als we ervan uitgaan dat hetopstapniveau een certificeerbaar managementsysteem is dat gelijkwaardig aan een ISO norm zoalsISO 14001, dan impliceert dit dat de meeste chemische bedrijven in aanmerking komen voor eendergelijke aanpak. Of het zinvol is om in een specifieke situatie deze aanpak toe te passen hangtmede af van de ambitie van het bedrijf om structureel de compliance prestatie te verbeteren en demate waarin de toezichthoudende instantie bereid en in staat is om haar benadering af te stemmenop het compliance management systeem van het bedrijf in termen van preventief en repressieftoezicht.Over de differentiatie van strafrechtelijke sancties konden in dit project geen afspraken wordengemaakt en het Openbaar Ministerie heeft niet deelgenomen aan het project. Wel is door de betrokkenenaangegeven dat voor een effectieve benadering het noodzakelijk is dat het strafrecht wordtbetrokken in het maken van afspraken over differentiatie van het repressieve toezicht bij bedrijvendie haar compliance management verbeteren.

AanbevelingenVoortzetten pilot ThermPhos en uitbreiding naar andere wettelijke kaders• Start een vervolgproject bij ThermPhos om de afspraken te monitoren en te evalueren en om enkelekaders en onderdelen van de afspraken verder te verduidelijken en te specificeren. Voor hetvervolg van de pilot is in de projectgroep een stappenplan opgesteld (zie hoofdstuk 5).• Breidt de pilot uit naar andere wettelijke domeinen zoals oppervlaktewater (RWS) en arbeidsveiligheid(Arbeidsinspectie) om te toetsen of de aanpak ook hier kan worden toegepast en of ook voordeze domeinen soortgelijke afspraken tussen bedrijf en bevoegd gezag kunnen worden gemaakt.30Uitbreiding naar sector chemie• Veranker en bekrachtig de afspraken zoals die in deze pilot zijn gemaakt op het niveau van hetfrontoffice chemie en de sector (VNCI). Bij het ontwikkelen van een landelijk beleid zou mogelijkook het SCCM als beheerder van het certificatiesysteem - ISO 14001 een rol kunnen spelen.• Pas de systematiek allereerst toe bij andere bedrijven in de sector. Er is echter reden om aan tenemen dat de toepassingsmogelijkheden breder zijn dan de sector chemie alleen. Een eerderepilot in het kader van het frontoffice afval bij een groot afvalbedrijf leverde de conclusie op dat debasiselementen compliance audit/systeemtoezicht en gezamenlijke risicoanalyse bij andere groteafvalverwerkers kunnen worden toegepast. Naar verwachting is er binnen de sector chemie eenruime mogelijkheid omdat de ervaring in de sector met managementsystemen en risicobeheersinggroot is.Integratie met ISO 14001• Onderzoek de mogelijkheden om de checklist compliance competence aan te doen sluiten bij deISO 14001, bijvoorbeeld door het uitbreiden van de ISO 14001 norm met de specifieke eisen vande checklist. Een alternatief is het expliciteren van het certificatieschema (toelichting) van de ISO14001 norm voor zover de eisen van de checklist impliciet in de ISO 14001 eisen zijn geformuleerd.• Test in vervolgprojecten of de gangbare audit op het managementsysteem kan worden gecombineerdmet de audit op de checklist compliance competence.Bestuurs- en strafrecht• Zorg ervoor dat er afspraken worden gemaakt met het Openbaar Ministerie over hoe vanuit hetstrafrecht moet worden omgegaan met bedrijven die een effectief compliance management systeemhebben.• Eén van de mogelijkheden ligt in de Landelijke Strategie Milieuhandhaving van het Landelijk OverlegMilieuhandhaving (LOM). In het LOM nemen alle handhavingspartners inclusief het OpenbaarMinisterie deel. Het LOM heeft in haar Landelijke Strategie Milieuhandhaving criteria geformuleerdvoor het afzien van optreden. Wij bevelen aan om in de LOM criteria nader te specificeren inde lijn van de afspraken die in deze pilot zijn gemaakt. Een dergelijke keuze heeft enkele voordelen.Ten eerste zeggen criteria die betrekking hebben op wat het bedrijf heeft gedaan om regelnalevingte borgen meer over het gedrag van het bedrijf dan de feitelijke naleving. Ten tweede wordthet oordeel hiermee gebaseerd op die aspecten die het bedrijf zelf kan beïnvloeden. Hierdoorweet het bedrijf wat het te doen staat om de naleving structureel te borgen en te verbeteren.• Wij bevelen aan om de beleidsmatige en juridische basis te toetsen van de afspraken die tussenbedrijf en toezichthoudende instanties worden gemaakt. Het gaat er hier vooral om de vraag of debestaande wettelijke en beleidsmatige kaders voldoende ruimte bieden om het toezicht in al haarfacetten zo af te stemmen op compliance management systemen bij bedrijven als wenselijk wordtgeacht.

BijlagenBijlage 1 Samenstelling projectorganisatie......................................................................................................34Bijlage 2 Begrippenlijst..........................................................................................................................................35Bijlage 3 Checklist compliance competence.....................................................................................................36Bijlage 4 Gewichtsfactoren Checklist compliance competence..................................................................42Bijlage 5 Toelichting op de Checklist compliance competence.................................................................. 44Bijlage 6 Brief ThermPhos......................................................................................................................................51Bijlage 7 Brief Gedeputeerde Staten van Zeeland..........................................................................................58Bijlage 8 Vergelijking Checklist Compliance Competence en ISO 14001................................................. 6033Bijlage 9 Risicomatrix.............................................................................................................................................66

Bijlage 1Samenstelling projectorganisatieBijlage 2BegrippenlijstLeden stuurgroepBedrijfSysteemgericht toezichtChiel BovenkerkVROM InspectieOrganisatie eenheid die zowel in rechte alsDe integrale combinatie van systeemtoezichtDirk den OttelanderThermPhosin persoon beschouwd wordt en waaraanen toezicht op output.Guus GabriëlseProvincie Zeelanddientengevolge volkomen rechtsbevoegdheidMartin de BreeMWHwordt verleend.Paul van Lieshout (later toegetreden) ArbeidsinspectieSysteemtoezichtToezicht op systemen, processen en methodendie gericht zijn op het borgen van deNalevingsprestatieLeden projectgroepDe mate van regelnaleving door het bedrijf.naleving van wettelijke eisen en niet op deArend BoterenbroodProvincie Zeelandfeitelijke naleving zelf.Dirk den OttelanderThermPhosComplianceGordon de JongeThermPhosSystematischHenk van der VeenVROM InspectieHet naleven van wettelijke eisen inclusief34 Jacquelien WijkhuijsThermPhosvergunningsvoorschriften.Indien is vastgelegd wie verantwoordelijk is35Karen van SchaikProvincie Zeelandvoor de uitvoering, wanneer de betreffendeAldwin KromMWHactiviteit plaats vindt en op welke wijze dezeCompliance management systeemMartin de BreeMWHwordt uitgevoerd.Een intern beheersingssysteem dat eenLeden klankbordgroeporganisatie onder eigen verantwoordelijkheidopzet ter voorkoming van onrechtmatigToezichtProjectgroepleden, met aanvullend:handelen binnen die organisatie.Carlo de DeckereDan de BruinDiana MartensEddy ErdtsieckFrans StuytMacco Korteweg MarisRobert HendrikseHanny WarringaArbeidsinspectieVeiligheidsregio ZeelandArbeidsinspectieRijkswaterstaatSCCMVNCIGemeente VlissingenOpenbaar Ministerie (agendalid)GedragscodeEen opschrift gestelde verklaring waarinis opgenomen welk gedrag concreet wordtverwacht van de medewerkers in het lichtvan de visie van de organisatie.Kwaliteitsdenkenhet inrichten van de organisatie volgens vastgesteldeprocedures en werkwijzen waardoorde organisatie zich in staat stelt op een gedegenwijze continu te verbeteren en daardoorsterker te worden in het oplossen van dedagelijkse problematiek en het innoveren vande werkprocessen.Alle handelingen uitgevoerd door een krachtensde wet hiertoe bevoegde instantie diegericht zijn op het inwinnen van informatieover de naleving van wettelijke eisen dooreen derde, het vormen van een oordeel of hetpubliek belang voldoende is bereikt en heteventueel interveniëren.Toezicht op outputToezicht op de naleving van wettelijke eisenTransparantGeeft een adequaat inzicht in het onderwerp.MetatoezichtSynoniem voor Systeemtoezicht(zie onder Systeemtoezicht).

Bijlage 3Checklist compliance competenceEis Verificatie item Geschikt Geïmplementeerd Gedocumenteerd1. Systeem wettelijke kaders1.1 Onderhoudt het bedrijf een systeem waarin alle relevante wettelijkeeisen zijn opgenomen?1.2 Is de verantwoordelijkheid voor het onderhoud van het systeemvastgelegd?1.3 Heeft het bedrijf op basis van een risicoanalyse het detailniveauvan de borging van de wettelijke eisen vastgesteld?1.4 Bevat het systeem een expliciete koppeling tussen de risicovollewettelijke eisen en de onderdelen van het compliance managementsysteem waarin de naleving van deze eisen is geborgd?Vastlegging regels in databaseof register. Vastlegging verantwoordelijkheidBeschrijving methodiek risicoanalyse.Cross reference met wettelijke regelsen interne afspraken, procedures eninstructies. 1.5 Houdt het bedrijf het systeem actueel en volledig? Actieve screening wijzigingen. 36 37Aanpassing database of register bijnieuwe regels. 1.6 Onderzoekt het bedrijf structureel de duidelijkheid en de naleefbaarheid van de wettelijke eisen? 2. Visie en gedrag2.1 Heeft het bedrijf een op schrift gestelde, gedragen visie opVerspreiding visie. regel naleving?Inhoud visie. 2.2 Steunt de directie het compliance management systeem? Agenda directieoverleg. 2.3 Heeft het bedrijf een gedragscode waarin concreet is vastgelegd Inhoud gedragscode. wat het bedrijf van de werknemers verwacht t.a.v. regelnaleving?Review gedragscode elke 3 jaar. 2.4 Zijn de visie en de gedragscode bekend bij de medewerkers? Verspreiding gedragscode. 2.5 Is in de gedragscode expliciet aangeduid wat van de medewerkerswordt verwacht inzake openheid, opleiding, pro-activiteit en zelfkritische houding ten aanzien van regelnaleving?Inhoud gedragscode. 3. Kwaliteitsdenken, opleiding, zelfkritische houding en continue verbetering3.1 Heeft het bedrijf een gecertificeerd managementsysteem?(bv. ISO 9000/14001) ?3.2 Wordt het onderhavige managementsysteem systematischtoegepast voor het borgen van regelnaleving?3.3 Stelt het bedrijf objectieve gekwantificeerde doelstellingenvast ten aanzien van regelnaleving?3.4 Stelt het bedrijf jaarplannen op waarin voorgenomen actieszijn gedefinieerd ten aanzien van regelnaleving?Werkend management systeem.Procedures gericht op regelnaleving. Maximum aantal afwijkingen. Doelstellingen meetbaar enrealistisch. Is duidelijk wie de actie uitvoert. Is duidelijk wanneer de actiegereed is.

Eis Verificatie item Geschikt Geïmplementeerd Gedocumenteerd3. Kwaliteitsdenken, opleiding, zelfkritische houding en continue verbetering3.5 Heeft het bedrijf vastgesteld hoe de nalevingsprestatie wordt Procedure meting nalevingsprestatie. bepaald?Meting objectief en reproduceerbaar. 3.6 Wordt de nalevingsprestatie planmatig gemeten? Rapportage van de meting. 3.7 Registreert het bedrijf systematisch afwijkingen ten aanzienvan regelnaleving?3.8 Onderzoekt het bedrijf systematisch de oorzaak van dezeafwijkingen?Continue planmatige registratie.Registratie onderzoek. 3.9 Onderneemt het bedrijf systematisch actie naar aanleiding van hetonderzoek naar de oorzaak van afwijkingen ter verbetering van de38nalevingsprestatie?393.10 Is er een werkwijze hoe nieuwe werkinstructies t.a.v. regelnalevingaan medewerkers worden gecommuniceerd?Vastlegging acties (wie, wanneer). Monitoring uitvoering acties. Opleidingsplan. Inhoud. 4. Compliance officer en pro-activiteit4.1 Heeft het bedrijf een functionaris (hierna te noemen complianceofficer) of afdeling (hierna te noemen compliance afdeling) dietoeziet op de regelnaleving door het bedrijf?4.2 Zijn de taken, bevoegdheden en verantwoordelijkheden van decompliance officer of compliance afdeling schriftelijk vastgelegd?4.3 Is er een vervangingsregeling voor het geval dat de complianceofficer afwezig is?4.4 Onderhoudt de compliance officer of compliance afdeling contactenmet de overheid met betrekking tot het definiëren van de betekenisvan wettelijke eisen voor het bedrijf?4.5 Rapporteert de compliance officer of compliance afdeling rechtstreeksaan het hoogste management en onafhankelijk van degenendie binnen het bedrijf verantwoordelijk zijn voor de regelnaleving?4.6 Is de compliance officer of compliance afdeling bevoegd te sprekennamens het bedrijf?4.7 Heeft de compliance officer adequate ervaring, opleiding en trainingopgedaan?functie- of afdelingsomschrijvingeenduidige vastlegging taken,bevoegdheden en verantwoordelijkheden aangewezen persoon bij complianceafdeling: bezetting gegarandeerd periodiek minstens twee maal perjaar verslagen gesprekken met deoverheid inhoud besprekingen deelname compliance officer inhoogste management overleg bevoegdheid schriftelijk vastgelegd(wat, wie) training compliance officerpersoneelsdossier Fotogafie: © DSM

Eis Verificatie item Geschikt Geïmplementeerd Gedocumenteerd5. Openheid en jaarverslagen5.1 Communiceert het bedrijf op open wijze met overheid, omwonenden en andere belanghebbenden overde eigen regelnaleving? 5.2 Communiceert het bedrijf op open wijze met belanghebbenden over de werking en de resultaten vanhet compliancesysteem? 5.3 Stelt het bedrijf een jaarverslag op waarin wordt gerapporteerd over de eigen nalevingsprestatie? 5.4 Wordt dit jaarverslag beschikbaar gesteld aan belanghebbenden? 5.5 Vermeldt dit jaarverslag de prestatie van het bedrijf ten aanzien van het naleven van alle relevantewettelijke eisen? 5.6 Is dit jaarverslag transparant en eenduidig? 40 416. Pre-screening medewerkers en disciplinaire maatregelen6.1 Heeft het bedrijf aan de werknemers en bestuurders duidelijkgemaakt welke maatregelen het bedrijf neemt met betrekkingtot personen die willens en wetens overtredingen begaan?6.2 Heeft het bedrijf aan de werknemers en bestuurders duidelijkgemaakt dat het bedrijf geen maatregelen neemt tot degenedie onopzettelijke overtredingen meldt?Intern vastgelegde afspraken.Intern vastgelegde afspraken. 6.3 Heeft het bedrijf een overzicht van fraudegevoelige functies? Lijst met functies. 6.4 Heeft het bedrijf maatregelen genomen om ervoor te zorgen datfraudegevoelige functies worden bekleed door personen die integerhandelen?6.5 Heeft het bedrijf een systeem om steekproefsgewijs te controlerenof de kritische fraudegevoelige taken integer worden uitgevoerd?6.6 Neemt het bedrijf meteen maatregelen bij het constateren vanovertredingen?6.7 Heeft het bedrijf aan de werknemers duidelijk gemaakt dat hetmelden van overtredingen verplicht is?6.8 Heeft het bedrijf een systeem om het melden van overtredingente bemoedigen?Criteria voor fraudegevoeligefuncties. Screeningsprocedure. Schriftelijk vastgelegde maatregelenbij niet integer handelen. Minstens twee maal per jaarsteekproef. Resultaten steekproef vastgelegdin rapportage. Vastgelegde maatregelen.Intern vastgelegde afspraken. Snelle terugkoppeling meldingvanuit management. Eenvoudige meldingsprocedure. Mogelijke gevolgen van de meldingzijn de melder bekend.

Bijlage 4Gewichtsfactoren checklist compliance competenceInventarisatie relevantie checklist versie 8-4-2008Provincie VI ThermPhos Resultante*Provincie VI ThermPhos Resultante*Systeem wettelijke kadersCompliance officer en pro-activiteit1.1 e e e e4.1 mb mb b b1.2 e b e e4.2 mb mb b b1.3 e b e e4.3 mb mb b b1.4 e e e e4.4 mb mb b b1.5 e b e e4.5 mb mb b b1.6 mb mb b b4.6 mb mb b b424.7 mb mb b bVisie en gedrag432.1 b e eOpenheid en jaarverslagen2.2 b e e5.1 mb mb mb2.3 b e e5.2 mb mb mb2.4 b e e5.3 mb mb mb mb2.5 b e e5.4 mb mb mb mb5.5 mb mb mb mbKwaliteitsdenken, opleiding, zelfkritische houding en continue verbetering5.6 mb mb mb mb3.1 e e e3.2 e e ePre screening medewerkers en disciplinaire maatregelen3.3 e b e e6.1 mb mb b b3.4 b e e6.2 mb mb b b3.5 e b e e6.3 mb mb mb mb3.6 b e e6.4 mb mb mb mb3.7 e b e e6.5 mb mb mb mb3.8 e b e e6.6 mb mb b b3.9 e b e e6.7 mb mb b b3.10 mb b6.8 mb mb b be = essentieelb = belangrijkmb = minder belangrijk* basis voor het afsprakendocumentFotogafie: © Thermphoscompliance

Bijlage 5Toelichting op de Checklist Compliance Competence1. InleidingDe afgelopen jaren heeft de overheid inspanningen verricht om het toezicht op de naleving vanwettelijke eisen te moderniseren. Het nieuwe programma Vernieuwing Toezicht (tot voor kortEenduidig Toezicht geheten) gaat verder waar eerdere moderniseringen van het toezicht op-hielden(zie www.inspectieloket.nl).Toezicht moet meer zijn gebaseerd op vertrouwen. Uitgangspunten van het nieuwe programmazijn onder andere dat inspecties vooral zijn gericht op risicovolle bedrijven, dat goede bedrijvenminder worden gecontroleerd en dat eigen managementsystemen van bedrijven benut wordenbij het toezicht.Vertrouwen = geloofwaardigheid x kwaliteit van de relatie x betrouwbaarheidzelfingenomenheidGeloofwaardigheid: is het waar te maken?Kwaliteit van de relatie: open, prettig, kwetsbaarBetrouwbaarheid: afspraak is afspraakZelfingenomenheid: gebrek aan zelfreflectie en -kritiek44Veel grote bedrijven in Nederland hebben de afgelopen jaren volop geïnvesteerd in het ontwikkelenen implementeren van managementsystemen. Er zijn zorgsystemen voor een groot aantalonderwerpen zoals kwaliteit, milieu, veiligheid en energie. Klanten, aandeelhouders, omwonenden,het moederconcern, de overheid: allemaal verwachten ze van het bedrijf dat het de risico’s kent enonder controle heeft.Een effectief compliance management systeem is opgebouwd uit 6 verschillende onderdelen,te weten• Systeem wettelijke kaders• Visie en gedrag• Kwaliteitsdenken, opleiding, zelfkritische houding en continue verbetering• Compliance officer en pro-activiteit• Openheid en jaarverslagen• Pre-screening medewerkers en disciplinaire maatregelen45De overheid dekt risico’s af door voor bedrijven wetten en regels op te stellen en te controleren ofdeze worden nageleefd. Managementsystemen van bedrijven er in de eerste plaats voor het management:om de bedrijfsvoering te optimaliseren. Ze zijn niet primair gericht op het borgen van denaleving van wettelijke eisen. Dit laatste wordt ook wel compliance management genoemd.Er is bij grote bedrijven wel een groot potentieel om de naleving van wettelijke eisen te borgen inde eigen organisatie op basis van kennis van en ervaring met managementsystemen. Er zijn vaakspecifieke managers voor kwaliteit, gezondheid, veiligheid en milieu (QHSE). Echter, doordat debestaande normen voor managementsystemen niet specifiek zijn gericht op het borgen van denaleving, zijn er grote verschillen in nalevingsgedrag bij bedrijven die werken met gecertificeerdemanagementsystemen. Dit is zelfs het geval bij de vernieuwde milieuzorgnorm ISO 14001.Wat tot op heden ontbrak is een specifieke norm voor het bepalen van de effectiviteit van compliancemanagement. De checklist compliance competence waarop deze toelichting betrekking heeftis gebaseerd op het onderzoek ‘Waste and Innovation 3 ’ en die is aangepast aan de hand van debevindingen van een pilot van ThermPhos International, de Provincie Zeeland, de VROM Inspectie(vanuit het frontoffice Chemie) en MWH.Het doel van de checklist is om te meten in hoeverre een bedrijf de naleving van wettelijke eisen inde eigen organisatie heeft geborgd.Deze onderdelen vormen samen een compliance management systeem en zorgen ervoor dat debeoordelende overheid meer vertrouwen krijgt in het bedrijf. Door het compliance managementsysteem wordt het bedrijf competenter in termen van regelnaleving (geloofwaardigheid), het bedrijfcommuniceert open over de nalevingsprestatie en de afwijkingen (kwaliteit van de relatie), door hetkwaliteitsdenken toe te passen op regelnaleving kan het bedrijf haar afspraken beter nakomen (betrouwbaarheid)en door de cyclus van continue verbetering toe te passen op compliance onderzoekthet bedrijf structureel de eigen prestatie (zelfreflectie en – kritiek).Elk van de onderdelen van de checklist bevat een aantal vragen waarop moet worden getoetst. Bijde meeste vragen zijn één of meer verificatie items opgenomen die dienen als hulpmiddel om devraag goed te kunnen beantwoorden. Een verificatie item is een concrete aanwijzing die helpt bij hetbeantwoorden van een vraag van de checklist.Een verificatie item is alleen dan akkoord, als deze zowel geschikt, geïmplementeerd als gedocumenteerdis. De auditor kan voor elk van deze drie aspecten op de checklist aangeven of hieraan isvoldaan, zodat de auditee duidelijk kan zien op welke aspecten eventueel niet goed wordt gescoord.Deze aspecten zijn ontleend aan de nieuwe inspectiemethodiek van het Brzo.2. Vertrouwen als basisModern overheidstoezicht gaat uit van vertrouwen als basishouding. Vertrouwen kan worden omgezetin vier elementen die aangrijpingspunten voor actie geven 4 . De formule is op de pagina hiernaastweergegeven.De checklist dient te worden gebruikt als basis voor een externe verificatie audit. Deze audit bestaatuit 6-8 interviews met sleutelfiguren van de auditee en bestudering van relevante documenten,registers, bestanden en overzichten. Na het onderzoek worden de bevindingen opgenomen in eenschriftelijke conceptrapportage met de ingevulde checklist en een toelichting per onderdeel van dechecklist en de score op de checklist.3. Waste and Innovation, M.A. de Bree, Berghauser Pont Publishing, 20064. Bron: Robert Benninga

2.1 Eisen auditor en auditerende instellingAan de kennis en vaardigheden van de auditor die de verificatie audit uitvoert van het compliancemanagement systeem worden de volgende eisen gesteld:• werk en denkniveau dat minimaal gelijk is aan het hoger beroepsonderwijs• de leider van het auditteam is gekwalificeerd als lead-auditor en als auditor compliancecompetence• Kennis van:- auditprincipes, -procedures en –technieken- wet- en regelgeving in relatie tot het domein waarop het compliance management systeem betrekkingheeft- organisatie- en bedrijfsprocessen, inclusief culturele en maatschappelijke gebruiken- managementsystemen in het algemeen en normen, methoden en technieken met betrekking totvan de verantwoordelijkheid om wijzigingen en ontwikkelingen in bepaalde wettelijke domeinen bijte houden kan bestaan uit een beknopt overzicht met daarin het wettelijke domein (bijvoorbeeld‘milieuwetgeving’, of ‘Kernenergiewet’ met daarachter de naam van degene die verantwoordelijk isom dit domein inhoudelijke te volgen.Uitgangspunt bij overheidstoezicht én compliance management is het streven naar volledigenaleving van wettelijke eisen en voorschriften die op een bedrijf van toepassing zijn.Bij bedrijven kan het aantal normen groot en de aard en complexiteit uiteenlopend zijn. Sommigemogen nooit, tegen geen enkele prijs worden overtreden (bijvoorbeeld voorschriften die rechtstreeksgericht zijn op het voorkomen van persoonlijk letsel) en vergen maximale borging. Anderemogen ook niet overtreden worden, maar hebben minder ernstige risico’s. In die geval-len moet eenoptimum worden gezocht (verhouding tussen inspanning en risico).management systemen46- technische aspecten die relevant zijn voor de betreffende sectorDaarom dient het bedrijf op basis van een risico analyse vast te stellen welke risico’s bestaan, hoe47- systeemtoezicht en alle relevante aspecten hiervan.groot de mogelijke effecten hiervan zijn en welke wettelijke eisen bedoeld zijn om deze risico’s te beheersen.Het bedrijf dient ervoor te zorgen dat naleving de wettelijke eisen die zijn gerelateerd aanVoor de leider van het auditteam geldt als extra eis dat deze is gekwalificeerd als lead-auditorde risico met de meest ernstige effecten het meest gedetailleerd is geborgd. Bij de bepaling van deernst van de gevolgen moet in elk geval (mede) worden gebaseerd op aspecten die voor de wetgeverDe verificatie audit kan worden uitgevoerd door het gezag dat bevoegd is voor de wettelijke eisenrelevant mogen worden geacht. Op het gebied van industriële activiteiten zijn dat bijvoorbeeld:waarop het compliance management systeem betrekking heeft of door een certificerende instelling.• veiligheidIndien de audit wordt uitgevoerd door een certificerende instelling wordt aangesloten bij de eisendie zijn opgenomen in paragraaf 3.1 van het certificatiesysteem Milieumanagement-systemen volgensISO 14001 N071129, 20 december 2007, met de volgende aanvullingen:• eis 3.1.3 geldt niet voor de ISO 14001, maar voor de checklist compliance competence versie 11december 2007;• eis 3.1.4. geldt niet. Het openbaar maken van informatie is voorbehouden aan bedrijf en bevoegdgezag.• milieubelasting• consistentie met overheidsbeleid• aantasting van reputatie van de sector• aantasting van de geloofwaardigheid van het openbaar bestuur.Dit betekent bijvoorbeeld dat het naleven van een eis ten aanzien van de uitstoot van kwik explicieten het meest uitgebreid met procedures en instructies wordt geborgd vanwege het feit dat overtredinghiervan leidt tot ernstige en onomkeerbare milieuschade.3. Toelichting per vraag en verificatie item3.1 Systeem wettelijke eisenHet systeem wettelijke eisen is het geheel aan maatregelen en activiteiten die een bedrijf onderneemtom ervoor te zorgen dat het bedrijf te allen tijde weet aan welke wettelijke eisen het moetvoldoen en deze vertaalt naar interne borgingsmaatregelen. Aangezien de wettelijke eisen aanverandering onderhevig zijn, dient deze borging geen statische toestand te zijn, maar dynamisch teworden ingevuld zodat ook de naleving van wijzigingen in wettelijke eisen worden geborgd.Hiertoe is het van belang dat het bedrijf expliciet heeft geregeld• welke relevante wettelijke domeinen er zijn,• welke functionaris of functionarissen wijzigingen of ontwikkelingen in dit domein volgen en• wie de wettelijke eisen wijzigingen zonodig doorvertaalt naar maatregelen om te borgen dat zeworden nageleefd.• wat de verantwoordelijkheden van deze functionarissen zijn.Een overzicht van wettelijke eisen kan bestaan uit een register met alle relevante wettelijke eisendat regelmatig wordt geactualiseerd op basis van een hiertoe strekkende procedure. De toewijzingAanbevolen wordt dat het bedrijf de risico analyse methode en de toepassing hiervan afstemt methet betreffende bevoegde gezag om op voorhand overeenstemming te bereiken over prioriteitstellingen aanpak.Het systeem wettelijke eisen dient overigens een expliciete koppeling (cross reference) te bevattentussen de wettelijke eisen en de delen van het managementsysteem waarin de borging is geregeld.Deze koppeling kan bijvoorbeeld bestaan uit het noemen van het ver-gunningsvoorschrift (bv.voorschrift 3.4) uit de Wet milieubeheervergunning (met eenduidige aanduiding (kenmerk) van devergunning) waarin staat dat het bedrijf elk jaar een massabalans van afvalstoffen moet verstrekkenaan het bevoegd gezag en de procedure (bv. Procedure P03.12) waarin is geregeld wie de massabalansopstelt, hoe hij dit doet en met welke hulpmid-delen, wie de massabalans formeel accordeerten wanneer de massabalans wordt ingediend.Compliance management vereist een proactieve houding ten aanzien van wettelijke eisen enbevoegd gezag. Mocht het zo zijn dat wettelijke eisen onduidelijk of niet naleefbaar zijn, dan ishet van belang dat dit wordt gesignaleerd en besproken met het bevoegd gezag voordat zichproblemen voordoen met interpretatie of overtreding van die eisen. Bedrijven met een werkendcompliance management systeem wachten dus niet af met onduidelijke of niet naleefbare wettelijkeeisen, zetten de overheid voortijdig aan tot verbetering van deze eisen.

3.2 Visie en gedragEen belangrijk onderdeel van compliance management is de vraag of het bedrijf een gedragen visieheeft op regelnaleving (compliance) en of deze effectief wordt omgezet in gedrag dat is gericht opcompliance.Een gedragscode kan een goed hulpmiddel zijn. In algemene zin geldt dat hoe concreter de gedragscodeis uitgewerkt, des te beter deze ondersteunend werkt op het borgen van compliance. Eenvoorbeeld hiervan is de gedragscode die in financiële instellingen is ontwikkeld om geschenken aante nemen.De gedragscode dient aan te geven dat van de medewerkers een open, proactieve en zelfkritischehouding wordt verwacht t.a.v. compliance. Ook dient de gedragscode aan te geven dat van de medewerkerswordt verwacht dat zij zich actief op de hoogte houden van relevante wettelijke eisen.nalevingsprestatie kan eventueel worden uitgevoerd door een extern gespecialiseerd bureau, maarkan ook in eigen beheer worden uitgevoerd. Aannemelijk moet zijn dat de meting van de nalevingsprestatieonafhankelijk gebeurt van de verantwoorde-lijke leidinggevende. Resultaten kunnenworden registreert en gevolgd door middel van een geautomatiseerd systeem.3.4 Compliance officer en pro-activiteitBij een bedrijf met een effectief compliance management ziet een functionaris of een afdeling toeop de naleving binnen de eigen organisatie. Deze functionaris toetst gedragingen en voorzieningentoetsen aan de wettelijke norm, overtreders aanspreken en afwijkingen rapporteren aan het verantwoordelijkmanagement?Een ander belangrijk aspect is de betrokkenheid van het management. Indien het management zelfzichtbaar leeft naar de gedragscode en actief is in de bewaking van de naleving ervan, zal dit ookeen positief effect hebben op de rest van de organisatie.Dit kan bijvoorbeeld blijken uit het feit dat het management actief deelneemt aan interne controlesen audits of uit het feit dat in MT vergaderingen uitgebreid aandacht wordt besteed aan compliance.3.3 Kwaliteitsdenken, opleiding, zelfkritische houding en continue verbeteringVoor de effectiviteit van deze zogenoemde compliance officer of compliance afdeling zijn tweeaspecten van belang. Op de eerste plaats dient de compliance officer of compliance afdeling een48 formele positie te hebben die ervoor zorgt dat hij onafhankelijk van de (lijn)organisatie kan rap-49porteren aan het (top)management over de nalevingsprestatie. In de praktijk kan deze functie opverschillende manieren worden ingevuld. Op zichzelf is het geen bezwaar als de compliance officerof afdeling ook een adviserende taak heeft voor de (lijn)organisatie, als dit maar niet ten koste gaatvan zijn onafhankelijke positie ten opzichte van het toezien op en rapporteren over de nalevingprestatie.Op de tweede plaats dient de compliance officer te beschikken over de benodigde kennis enervaring en in de organisatie voldoende aanzien te hebben om zijn rol goed te kunnen spelen.Kenmerk van het compliance management systeem is dat het kwaliteitsdenken specifiek wordt ingezetvoor de borging van naleving van wettelijke eisen.Een gecertificeerd managementsysteem conform gangbare ISO normen als ISO 9002 of ISO 14001vormt een goede basis voor een compliance management systeem. De middelen die bij een dergelijksysteem worden ingezet voor het borgen van kwaliteits- of milieudoelen, kunnen in aangepastevorm kunnen dienen voor het borgen van compliance.Naast de genoemde ISO normen zijn er nog meer normen die een goede indicatie geven voor demate waarin de betreffende organisatie het kwaliteitsdenken heeft ingevoerd. Daarom kan in overlegmet betrokken overheden en brancheorganisaties ook een ander managementsysteem basis zijnvoor een goede score op vraag 3.1.Het bedrijf dient te hebben geborgd dat medewerkers die een rol spelen bij het naleven van wettelijkeeisen door het bedrijf, worden geïnformeerd over wat er van hen op dit gebied wordt verwacht.Dit kan door middel van het toelichten van een procedure of instructie en het evenwel trainen vanmedewerkers.Eén van de kenmerken van een bedrijf met een effectief compliance management systeem is eenkritische houding ten opzichte van de eigen nalevingsprestatie. Daartoe dient het bedrijf de Demingcirkel van continue verbetering (plan-do-check-act) specifiek toe te passen op het thema compliance.Dit houdt in dat het bedrijf meetbare doelstellingen formuleert ten aanzien van compliance, denalevingsprestatie planmatig meet tegen deze doelstellingen, eventuele afwijkingen onderzoekt encorrigerende en preventieve maatregelen neemt. De toepassing van dit mechanisme van continueverbetering dient verifieerbaar te zijn in de vorm van rapportages en registraties. Het meten van deBedrijven met een effectief compliance management systeem hebben een proactieve houding tenopzichte van compliance. Dit uit zich onder meer in het actief onderhouden van contacten met hetbevoegd gezag over bijvoorbeeld de interpretatie van wettelijke eisen, de naleving van regels, etc.3.5 Openheid en jaarverslagenEen open, coöperatieve relatie tussen het bedrijf en het bevoegde gezag heeft een positieve invloedop de naleving. Een bedrijf dat open met de toezichthoudende instantie communiceert over zijnnalevingsprestatie maakt zich kwetsbaar ten opzichte van het bevoegde gezag en wekt — ondervoorwaarden — vertrouwen. Enerzijds is dit bevorderlijk voor de relatie en de naleving. Anderzijdsloopt het bedrijf het risico dat het bevoegd gezag naar aanleiding van de openheid sancties oplegtvoor door het bedrijf zelf gemelde overtredingen.Van een bedrijf mag worden verwacht dat men open communiceert over de eigen nalevingsprestatie.Van een overheid mag worden verwacht dat proportioneel wordt gereageerd en datbijvoorbeeld rekening houdt met het zelf melden van overtredingen, onderzoekt welke (repressieve,curatieve en preventieve) maatregelen het bedrijf heeft genomen en haar reactie daarop aanpast.Het ligt voor de hand dat een overheid gepast reageert op een overtreding. In het geval van eenpilot in Zeeland zijn hierover afspraken gemaakt tussen bedrijf en bevoegd gezag.Als de openheid van beide kanten komt, mag van het bedrijf worden verwacht dat het bevoegdgezag volledig wordt geïnformeerd over de nalevingsprestatie.

Bijlage 6Brief ThermPhos aan Provincie Zeeland3.6 Pre-screening medewerkers en disciplinaire maatregelenHet bedrijf heeft op schrift gesteld welke disciplinaire maatregelen kunnen worden genomen tegenwerknemers die willens en wetens wettelijke eisen overtreden.Tevens heeft het bedrijf duidelijk gemaakt aan werknemers dat het melden van overtredingen vanwettelijke eisen verplicht is en dat de melder niet wordt bestraft.Het melden wordt gestimuleerd door bijvoorbeeld een eenvoudige en toegankelijke meldingprocedure,door een snelle en duidelijke terugkoppeling naar de melder en door duidelijk te maken dat demelder niet wordt bestraft voor zijn melding.Sommige functies bij bedrijven zijn fraudegevoeliger dan andere. Zo zal bij een afvalbedrijf defunctie van acceptant kritisch zijn omdat deze doorgaans controleert of de voor acceptatie aangeboden50afvalstoffen voldoen aan de eisen. Het bedrijf heeft daarom aantoonbaar bepaald welke51fraudegevoelige functies bestaan, hoe ervoor wordt gezorgd dat deze functies worden vervuld doorwerknemers die integer handelen en geregeld dat op dit integer handelen periodiek wordt gecontroleerd.Deze controle kan er bijvoorbeeld uit bestaan dat in interne audits extra aandacht wordtbesteed aan de vervulling van deze functies.

52 53

54 55

56 57

Bijlage 7Brief van Gedeputeerde Staten van Zeeland58 59

Bijlage 8Vergelijking Checklist Compliance Competence en ISO 14001Vergelijking Checklist Compliance Competence van MWH B.V. en eisen uit ISO 14001: 2004concept versie 12 februari 2008Nr. eisEis uit Checklist ComplianceCompetence van MWH B.V.(versie 11 december 2007)Art. ISO14001:2004normToelichting t.a.v. ISO 14001:2004Nr. eisEis uit Checklist ComplianceCompetence van MWH B.V.(versie 11 december 2007)Art. ISO14001:2004normToelichting t.a.v. ISO 14001:20041. Systeem wettelijke kaders1.1 Onderhoudt het bedrijf eensysteem waarin alle relevantewettelijke eisen zijn opgenomen?art. 4.3.2Een volledig overzicht van zowel de wettelijkeals de overige eisen die een organisatieonderschrijft moet aanwezig zijn.1.2 Is de verantwoordelijkheid voor art. 4.3.2 Er moet procedure zijn waarin ook verantwoordelijkheidhet onderhoud van het systeemvastligt. Formeel hoeftorganisatie werken.60vastgelegd?procedure niet schriftelijk te zijn vastgelegd.2.2 Steunt de directie het complianceart. 4.2/4.661Dat is deze meestal wel.managementsysteem?1.3 Heeft het bedrijf op basis vaneen risicoanalyse het detailniveauvan de borging van dewettelijke eisen vastgesteld?1.4 Bevat het systeem een explicietekoppeling tussen derisicovolle wettelijke eisen en deonderdelen van het compliancesysteemwaarin de naleving vandeze eisen is geborgd?1.5 Houdt het bedrijf het systeemactueel en volledig?1.6 Onderzoekt het bedrijf structureelde duidelijkheid en denaleefbaarheid van de wettelijkeeisen?art. 4.3.2/4.3.3/4.4.6art. 4.5.2art. 4.3.2art. 4.5.2Het begrip risicoanalyse wordt in de ISO14001 niet gebruikt. Uitgangspunt is volledigenaleving. De mate van borging (art. 4.4.6)wordt bepaald op basis van de belangrijkheidvan een milieuaspect. Impliciet is hier ookhet risico element in opgenomen.De organisatie moet periodiek de eigennaleving van wettelijke eisen controlerenen daarvan registraties bijhouden. Om hieruitvoering aan te geven zullen de meesteorganisaties een overzicht hebben meteisen en de wijze waarop (b.v. procedures,maat regelen etc.) deze zijn gerealiseerd ofgeborgd.In de procedure moet zijn vastgelegd opwelke wijze het overzicht van wettelijkeeisen actueel wordt gehouden.Een organisatie is verplicht periodiekde eigen naleving te beoordelen. Op datmoment wordt de duidelijkheid en naleefbaarheidonderzocht.2. Visie en gedrag2.1 Heeft het bedrijf een op schriftgestelde, gedragen visie opregelnaleving?2.3 Heeft het bedrijf een gedragscodewaarin concreet is vastgelegdwat het bedrijf van dewerknemers verwacht t.a.v.regelnaleving?2.4 Zijn de visie en de gedragscodebekend bij de medewerkers?2.5 Is in de gedragscode explicietaangeduid wat van de medewerkerswordt verwacht inzakeopenheid, opleiding, pro-activiteiten zelf kritische houding tenaanzien van regelnaleving?art. 4.2n.v.t. (evt.art. 4.4.2)Visie: art 4.2Code: n.v.t.n.v.t.De directie moet het milieubeleid schriftelijkvastleggen die een verbintenis bevat tot denaleving van wettelijke eisen.Het beleid dient kenbaar te worden gemaaktaan alle personen die voor of namens deDe directie moet het beleid definiëren;een vertegenwoordiger van de directiebenoemen en minimaal jaarlijks een directiebeoordelinguitvoeren waarbij ook de nalevingvan wet- en regelgeving aan de orde is.ISO 14001-norm vraagt geen gedragscode.Wel dient een organisatie werknemersbewust te maken van het belang van nalevingvan het milieubeleid en -procedures; debelangrijke milieuaspecten en de relatie meteigen werk; taken en verantwoordelijkhedenen mogelijke gevolgen van afwijkingen.Het milieubeleid/de visie moet bekendworden gemaakt bij alle personen die voorof namens de organisatie werken.ISO 14001-norm vraagt geen gedragscode.

Nr. eisEis uit Checklist ComplianceCompetence van MWH B.V.(versie 11 december 2007)Art. ISO14001:2004normToelichting t.a.v. ISO 14001:2004Nr. eisEis uit Checklist ComplianceCompetence van MWH B.V.(versie 11 december 2007)Art. ISO14001:2004normToelichting t.a.v. ISO 14001:20043. Kwaliteitsdenken, opleiding, zelfkritische houding en continue verbetering3.1 Heeft het bedrijf een gecertificeerdmanagementsysteem?3.2 Wordt het onderhavige managementsysteemsystematischtoegepast voor het borgen vanregelnaleving?art. 4.3.2/4.4.6/4.5Aan voldaan bij ISO 14001-certificaat.Regelnaleving is naast continue verbeteringeen van de basisdoelstellingen van hetmilieumanagementsysteem. De samenhangvan verschillende normelementen (inventarisatie;beheersing werkzaamheden; monitoring;beoordeling naleving; corrigerendemaatregelen; interne audits) moet eengeborgde wijze van regelnaleving opleveren.ISO 14001 vereist 100% naleving. Hetgedeeltelijk naleven is geen optie. Een3.3 Stelt het bedrijf objectieve art. 4.3.3gekwantificeerde doelstellingenvast ten aanzien van regelnaleving?organisatie dient doel-, taakstellingen62vastgelegd?63n.v.t.3.4 Stelt het bedrijf jaarplannen opwaarin voorgenomen acties zijngedefinieerd ten aanzien vanregelnaleving?3.5 Heeft het bedrijf vastgesteldhoe de nalevingsprestatie wordtbepaald?3.6 Wordt de nalevingsprestatieplanmatig gemeten?3.7 Registreert het bedrijf systematischafwijkingen ten aanzienvan regelnaleving?3.8 Onderzoekt het bedrijf systematischde oorzaak van dezeafwijkingen?3.9 Onderneemt het bedrijf systematischactie naar aanleidingvan het onderzoek naar deoorzaak van afwijkingen terverbetering van de nalevingsprestatie?3.10 Is er een werkwijze hoe nieuwewerkinstructies t.a.v. regelnalevingaan medewerkersworden gecommuniceerd?art. 4.3.3art. 4.5.2art. 4.5.1en 4.5.2art. 4.5.2art. 4.5.3art. 4.5.3art. 4.4.2en programma’s te formuleren. Deze zijnenerzijds gericht op het behalen van deeisen uit de wet- en regelgeving en anderzijdsop eventuele verbetering van onderdelenwaar afwijkingen zijn. Deze dienendoor de overheid te zijn geaccordeerd.ISO 14001 vereist dat programma’s wordenopgesteld om de doel- en taakstellingen terealiseren.De wijze van vaststelling van de nalevingdient in een procedure te zijn vastgelegd.Op basis van art. 4.5.1 dient een organisatiede belangrijkste kenmerken van haar werkzaamhedente monitoren en meten. Dit bevatook onderdelen van wet- en regelgeving. Opbasis van 4.5.2 is de organisatie. verplichtsystematisch beoordelen van eigen naleving.Registraties moeten worden bijgehoudenvan beoordeling van de eigen naleving.ISO 14001 vereist dat zowel feitelijke alsmogelijke afwijkingen worden onderzocht.ISO 14001 vereist dat zowel feitelijke alsmogelijke afwijkingen worden onderzocht encorrigerende en preventieve maatregelenworden genomen. Vervolgens dienen deresultaten en doelmatigheid van de genomenmaatregelen te worden beoordeeld.De organisatie dient een procedure te hebbenom personen bewust te maken van hetbelang van naleving van het milieubeleiden hun taken en verantwoordelijkheden. Erwordt geen werkinstructie vereist specifiekvoor communicatie van regelnaleving.4. Compliance officer en pro-activiteit4.1 Heeft het bedrijf een functionaris(hierna te noemencompliance officer) of afdeling(hierna te noemen complianceafdeling) die toeziet op de regelnalevingdoor het bedrijf?4.2 Zijn de taken, bevoegdhedenen verantwoordelijkhedenvan de compliance officer ofcompliance afdeling schriftelijk4.3 Is er een vervangingsregelingvoor het geval dat de complianceofficer afwezig is?4.4 Onderhoudt de complianceofficer of compliance afdelingcontacten met de overheid metbetrekking tot het definiërenvan de betekenis van wettelijkeeisen voor het bedrijf?4.5 Rapporteert de complianceofficer of compliance afdelingrechtstreeks aan het hoogstemanagement en onafhankelijkvan degenen die binnen hetbedrijf verantwoordelijk zijnvoor de regelnaleving?4.6 Is de compliance officer ofcompliance afdeling bevoegd tespreken namens het bedrijf?4.7 Heeft de compliance officeradequate ervaring, opleidingen training opgedaan?art. 4.5.2n.v.t.n.v.t.n.v.t.(evt. 4.6)n.v.t.n.v.t.(evt. 4.4.2)ISO 14001 verplicht de organisatie niet oméén verantwoordelijke persoon of afdelingvast te leggen die continue toeziet op deregelnaleving. Voor de uitvoering van art.4.5.2 moet een procedure worden opgesteldwaarin wordt vastgelegd wie verantwoordelijkis voor de periodieke beoordeling van denaleving. Dit is dan geen continue toezichtop naleving maar een periodieke uitvoering.ISO 14001 vereist dat bepaalde taken wordenuitgevoerd en niet de aanwezigheid van eenfunctionaris of afdeling. Er hoeft derhalvegeen compliance officer of -afdeling te zijn .Geborgd moet zijn dat werkzaamheden ookbij afwezigheid van bepaalde functionarissenworden uitgevoerd. Dit zou kunnen meteen vervangingsregeling. De ISO 14001-normvereist dit niet.Een organisatie zal indien nodig contact metde overheid onderhouden (b.v. voor aanvraagvergunning of melding van incidentenetc.). De ISO 14001 kent niet het begripcompliance officer. De contacten met deoverheid kunnen ook door anderen binnende organisatie worden onderhouden.Het resultaat van de interne beoordeling vande naleving dient bij de directiebeoordelingaan de orde te worden gesteld. Functiescheidingwordt in de ISO 14001-norm niet geëist.ISO 14001-norm vereist niet de benoemingvan een compliance officer of afdeling.ISO 14001-norm vereist niet de benoemingvan een compliance officer of afdeling.Wel dienen op basis van 4.4.2 personenadequaat te zijn opgeleid.

Nr. eisEis uit Checklist ComplianceCompetence van MWH B.V.(versie 11 december 2007)Art. ISO14001:2004normToelichting t.a.v. ISO 14001:2004Nr. eisEis uit Checklist ComplianceCompetence van MWH B.V.(versie 11 december 2007)Art. ISO14001:2004normToelichting t.a.v. ISO 14001:20045. Openheid en jaarverslagen5.1 Communiceert het bedrijf opopen wijze met overheid, omwonendenen andere belanghebbendenover de eigen regelnaleving?n.v.t.(evt. 4.4.3en EA 7/04*)ISO 14001 vereist dat een organisatie eenbesluit neemt over communicatie met externepartijen over de belangrijke milieuaspecten.Open communicatie is geen basis eis.Wel dient een organisatie op basis van EA7/04* te communiceren met de overheidin het geval wet- regelgeving niet wordtnageleefd over de wijze waarop dit wordtopgelost. Voorwaarde voor certificatieis een akkoord van de overheid op hetverbeterings plan.ISO 14001 vereist geen communicatie.5.2 Communiceert het bedrijf op n.v.t.open wijze met belanghebbendenover de werking en devan fraudegevoelige functies?656.3 Heeft het bedrijf een overzicht n.v.t. Geen eis in ISO 14001.64resultaten van het compliancesysteem?n.v.t. Geen eis in ISO 14001.n.v.t.5.3 Stelt het bedrijf een jaarverslagop waarin wordt gerapporteerdover de eigen nalevingsprestatie?5.4 Wordt dit jaarverslag beschikbaargesteld aan belanghebbenden?5.5 Vermeldt dit jaarverslag deprestatie van het bedrijf tenaanzien van het naleven vanalle relevante wettelijke eisen?5.6 Is dit jaarverslag transparanten eenduidig?n.v.t.n.v.t.n.v.t.Opstellen van jaarverslag is geenISO 14001-eis. Wel van toepassing opEMAS-geregistreerde organisaties.Opstellen van jaarverslag is geenISO 14001-eis. Wel van toepassing opEMAS-geregistreerde organisaties.Opstellen van jaarverslag is geenISO 14001-eis. Wel van toepassing opEMAS-geregistreerde organisaties.Opstellen van jaarverslag is geenISO 14001-eis. Wel van toepassing opEMAS-geregistreerde organisaties.*EA 7/04 Legal Compliance as a part of Accredited ISO 14001: 2004 certification. Dit is een richtlijnvan de European Co-operation for Accreditation (Europees samenwerkingsverband van Nationaleaccreditatie-instellingen) die door alle certificatie-instellingen erkend in een EU-lidstaat dient teworden gehanteerd.6. Pre-screening medewerkers en disciplinaire maatregelen6.1 Heeft het bedrijf aan de werknemersn.v.t. Geen eis in ISO 14001.en bestuurders duidelijkgemaakt welke maatregelen hetbedrijf neemt met betrekking totpersonen die willens en wetensovertredingen begaan?6.2 Heeft het bedrijf aan de werknemersen bestuurders duidelijkgemaakt dat het bedrijf geenmaatregelen neemt tot degenedie onopzettelijke overtredingenmeldt?n.v.t. Geen eis in ISO 14001.6.4 Heeft het bedrijf maatregelengenomen om ervoor te zorgendat fraudegevoelige functiesworden bekleed door personendie integer handelen?6.5 Heeft het bedrijf een systeemom steekproefsgewijs te controlerenof de kritische fraudegevoeligetaken integer wordenuitgevoerd?6.6 Neemt het bedrijf meteen maatregelenbij het constateren vanovertredingen?6.7 Heeft het bedrijf aan de werknemersduidelijk gemaakt dathet melden van overtredingenverplicht is?6.8 Heeft het bedrijf een systeemom het melden van overtredingente bemoedigen?n.v.t. Geen eis in ISO 14001.n.v.t. Geen eis in ISO 14001.n.v.t. Geen eis in ISO 14001.n.v.t. Geen eis in ISO 14001.

Bijlage 9RisicomatrixThermphos international - Risicomatrix revisie januari 2008Potentiële gevolgenPotentiële kansCategorie Veiligheid Schade Milieu Kwaliteit Reputatie OnwaarschijnlijkZelden niet vaak regelmatig vaak1/1000 jaar 1/100 jaar 1/10 jaar 1/jaar 10/jaarNihil Geen verwonding. Geen schade. Geen schade of lozing. Geen productschade. Geen media aandacht.0 0 0 0 0Licht EHBO-ongeval. < 5000 € schade of Productieonderbrekingvoor enkele uren.Lokale lozing met < 1.000 € aanschoonmaak kosten.Kleine product specificatieafwijking.Geen media publicaties.1 2 3 4 1066 Beperkt Vervangend werk of verzuimongeval 5.000 - 50.000 € schade.Lokale emmissie die aanleidingGeringe klant klachten.Korte lokale media aandacht.met beperkt letsel.Productie-onderbreking voor enkele geeft tot klachten buiten de poort,Product terugname.Klachten buiten de poort.67uren.1.000 - 10.000 € herstelkosten.Schikkingen 10.000 - 25.000 € Niet voldoen aan industriecodes4 6 12 16 40ofstandaards.ErnstigVerzuimongeval. Ernstig letselMeldingsplichtig aan de overheid.50.000 - 250.000 € schade.Productie-onderbreking voor enkeledagen. In strijd met landelijk beleid.overschrijding van vergunningvoorwaarde.10.000 - 50.000 €schoonmaak- of herstelkosten.Ernstige klant klachten.Schikkingen > 25.000 €Product terugname.Langdurige lokale mediaandacht. Geringe nationalemedia aandacht.Duidelijke normoverschrijding.9 14 27 36 90Zeer ernstig Dodelijk of invaliditeit. 250.000 - 1.000.000 € schade.Productie-onderbreking tot 2 weken.Haaks op nationaal beleid.Blijvende milieuschade op hetbedrijfsterrein. Langdurigeoverschrijding van een vergunningswaarde.(> 3 dagen)50.000 – 500.000 € kosten.Verlies van grote klant.100.000 – 1.000.000 € omzetverlies.Verlies van certificering.Langdurige nationale mediaaandacht.Gerechtelijke vervolging.Substantiele aantastinglokale integriteit openbaar bestuur.Schade reputatie branche.16 24 48 64 160Ramp Meerdere doden . Meer dan 1.000.000 € schade.Fabriek gesloten voor meerderemaanden. Politiek evident ongewenst.Ernstige blijvende milieuschadebuiten de terreingrenzen.Ernstig verlies aan klanten doorslecht product.Terugname van Product met> 1.000.000 € schade.Substantiele aantastinglandelijke integriteit openbaarbestuur of branche. 30 45 90 120 300Risico aanvaardbaar.0 9ALARP toepassen.10 29Maatregelen nemen omrisico te reduceren noodzakelijk.Werk stilleggen; risicoreduceren voordat werkwordt hervat.30 4950 300

ColofonUitgave: Juni 2008Redactie: VROMFotografie: ThermphoscomplianceDSMGrafisch ontwerp: Ontwerpstudio 2 MAAL EE68Voor meer informatie:VROM-Inspectie Regio ZuidPaul RoedenKennedy Business CenterGebouw 1Postbus 8505600 AW EindhovenT: 040 - 26 52 928E: frontofficechemie@minvrom.nlI: www.inspectieloket.nl/chemie

Fotogafie: © Thermphoscompliance