Australia
In deze Q&A bespreken onze HR- en payroll-compliance-experts Ewa Tworzydlo en David Smiton enkele van de belangrijkste problemen die klanten ervaren met compliance. Ze bekijken wat er kan worden gedaan om deze problemen op te lossen.
Q: Wat betekent compliance in relatie tot HR en salarisadministratie?
David Smiton (DS):Naleving betekent allereerst dat HR-services en salarisadministratie nauwkeurig en op tijd worden geleverd.
Ervoor zorgen dat gegevens up-to-date zijn, is een belangrijk onderdeel van compliant zijn vanwege de privacywetgeving.
Dit kan echter een grote uitdaging zijn voor HR-afdelingen bij bedrijven waar dagelijks nieuwe mensen komen en vertrekken. Dit bovenop de frequente noodzaak om HR-gegevens te wijzigen vanwege veranderingen in het persoonlijke leven.
Om nog maar te zwijgen van het feit dat verschillende landen in een multinationaal bedrijf verschillende gegevensbeschermingswetten hebben, dus compliant zijn kan moeilijk zijn voor bedrijven zonder de juiste soort ondersteuning.
Q. Wat zijn enkele van de belangrijkste nalevingskwesties die jij bij onze klanten hebt meegemaakt?
Ewa Tworzydlo (ET): Om toe te voegen aan David zijn verhaal, is het belangrijkste probleem van onze klant, met betrekking tot naleving, ervoor te zorgen dat gegevens nauwkeurig en veilig worden verwerkt en voldoen aan de relevante lokale wetgeving.
We zien onszelf als een extra ondersteuningslijn voor onze klanten. Als bedrijven niet op de hoogte zijn van wijzigingen in persoonlijk identificeerbare informatie, is het niet alleen een risico dat de gegevens onjuist zijn, maar het kan ook een juridische kwestie worden.
Veel bedrijven zijn zich nu echter bewust van het belang van het nauwkeurig en veilig houden van hun gegevens. Dit is gedeeltelijk het gevolg van de vereisten van de Algemene Verordening Gegevensbescherming (AVG) in Europa, en we zien steeds meer bedrijven wereldwijd de AVG implementeren, die wordt gezien als de ‘Gouden standaard’ voor gegevenswetten.
Wanneer bedrijven een audit hebben, moeten ze de veiligheid en integriteit aantonen van de gegevens die ze verwerken.
Q. Hoe helpen Service Organization Control (SOC) -rapporten bij de naleving?
DS: We ondersteunen onze klanten om ervoor te zorgen dat hun gegevens veilig, nauwkeurig en beschikbaar blijven voor degenen die toegang hebben tot de gegevens. Voor hun eigen auditdoeleinden eisen veel bedrijven SOC-rapporten (Service Organization Controls), als bewijs van onafhankelijke testen van de controleomgeving. Dit geeft onze klanten extra zekerheid.
ET: De Sarbanes-Oxley Act, die in 2002 in de VS werd ingevoerd, verplichtte bedrijven om te bewijzen dat onafhankelijke auditors het systeem van interne controles controleerden.
Er zijn drie SOC-rapportage-opties, die het American Institute of Certified Public Accountants (AICPA) heeft ontworpen; SOC 1 kijkt naar interne beheersingsmaatregelen die relevant zijn voor financiële rapportering (in ons geval met betrekking tot loonadministratie en bijbehorende IT-beheersmaatregelen). SOC 2 kijkt naar de veiligheid en beschikbaarheid van systemen en SOC 3 is een verkorte versie van het SOC 2-rapport.
Steeds meer bedrijven eisen SOC 2-rapporten omdat ze meer diepgaande informatie nodig hebben over beveiligings- en bestuurscontroles, zodat ze vertrouwen kunnen hebben in de integriteit en beveiliging van hun salarisadministratie.
We bieden SOC 1- en SOC 2 type 2-auditrapporten voor een periode van 9 maanden en zullen in de nabije toekomst proberen de dekking uit te breiden tot 12 maanden.
Q: Welke invloed heeft COVID-19 op de compliance van bedrijven gehad?
DS: Sinds de COVID-19-pandemie hebben we gezien dat het nog ingewikkelder is om aan de regels te blijven voldoen. Met landen die verschillende verlofregelingen implementeren, zien we sinds maart 2020 een toename van 90% in de loonsveranderingen.
Die hoeveelheid veranderingen kan de salaristeams enorme kopzorgen bezorgen als ze de salarisadministratie intern moeten beheren.
Het heeft ertoe geleid dat bedrijven steeds vaker ondersteuning zoeken om hen te helpen omgaan met een steeds complexere omgeving.
Q. Hoe verkleinen bedrijven het risico dat ze niet compliant zijn?
ET: Veel bedrijven zijn zich zeer goed bewust van de compliancerisico’s. Dit is voornamelijk sinds de introductie van GDPR-regelgeving in Europa. Dit dwingt organisaties om ervoor te zorgen dat hun gegevens veilig en compliant zijn.
Steeds meer landen beginnen hun eigen versies van de AVG te implementeren of hebben deze al geïmplementeerd. Bijvoorbeeld; Brazilië, Thailand, Chili en natuurlijk de California Consumer Privacy Act (CCPA) in de VS. Elk heeft de leiding van de EU gevolgd met hun eigen wetgeving inzake gegevensprivacy, vergelijkbaar met de AVG.
Bedrijven moeten ervoor zorgen dat ze zich houden aan deze regionale en ook lokale voorschriften. Als je in een aantal landen actief bent, kan het moeilijk zijn om dit intern te doen. We raden bedrijven aan dit proces uit te besteden om ervoor te zorgen dat ze hun risico op non-compliance verminderen.
DS: EU-regelgeving heeft geholpen om de privacy van gegevens te standaardiseren, maar er zijn nog steeds verschillen in landen. Dus hoewel je zou denken dat wetgeving als AVG (GDPR) bedrijven helpt om compliant te blijven, zijn er nog steeds unieke landvariaties waaraan moet worden voldaan.
Een goed voorbeeld is de voortdurende saga die ‘Brexit’ heet. Nu het VK de EU heeft verlaten en zich in de overgangsperiode tot eind 2020 bevindt, blijft de AVG van toepassing in het VK.
Wat er aan het einde van de overgangsperiode gebeurt, hangt af van de onderhandelingen. De Britse regering heeft verklaard dat het de bedoeling is dat het VK de AVG in de wet introduceert als de ‘UK AVG’. Maar er kunnen zich verdere ontwikkelingen voordoen naarmate we verder komen met de huidige onderhandelingen.
Q. Wat zijn enkele van de gevolgen voor bedrijven die het belang van compliancy onderschatten?
ET: Enkele van de belangrijkste gevolgen zijn financieel. Als wordt vastgesteld dat een bedrijf de AVG overtreedt, kunnen ze een boete opgelegd krijgen van maximaal 4% van de wereldwijde omzet. Dit is dus een belangrijke motivatie voor bedrijven om hun databeleid en beveiliging te optimaliseren.
We kunnen de vlag hijsen als we zien dat het gevaar bestaat dat een bedrijf niet compliant is. Hierdoor kan actie worden ondernomen voordat het een groter probleem wordt.
DS: Een andere kant hiervan is het verlies van reputatie. Als een bedrijf niet-compliant is en / of inbreuk maakt op de AVG, kan dit een enorme impact hebben op hun reputatie.
Er zijn een aantal bedrijven die te maken hebben gehad met datalekken. Dit heeft hun reputatie voor het beveiligen van gegevens aangetast. Uiteindelijk zijn consumenten huiverig om gegevens te delen met bedrijven die een slechte reputatie hebben wat betreft het omgaan met hun gegevens.
Het is dus niet alleen een financiële impact vanuit puur kostenperspectief.
Q. Tot slot, hoe ondersteunen we onze klanten naast payroll-compliance met IT-risico’s die door hun IT-afdelingen worden opgeworpen?
ET: Het implementeren van een nieuw systeem brengt altijd een risico met zich mee. Contracten die we met klanten hebben, bevatten meestal een gedetailleerde beschrijving van de vereiste beveiligingsmaatregelen. Naar verwachting zullen ze in elk nieuw systeem worden geïntroduceerd.
Voor de meeste van onze klanten zijn we verplicht om SOC 1-rapporten te leveren. Ze bevatten het oordeel van de auditor en de resultaten van de doeltreffendheid van de beheersmaatregelen die ook voor een breed scala aan algemene IT-beheersmaatregelen worden verstrekt.
Een voorbeeld van een controlegebied is salarisverwerking of gegevensinvoer. Maar we hebben ook vier verschillende controledoelstellingen met betrekking tot IT. Dit zijn; toegangsbeheer, wijzigingsbeheer, monitoring van interfaces, gegevensback-up en replicatie (inclusief fysieke beveiliging). Ze zijn allemaal op hoog niveau opgenomen in de klantcontracten. Op verzoek kunnen we dieper ingaan op de IT-afdeling van de klant.
Ten slotte beoordeelt ons beveiligingsteam elk nieuw contract. Ze controleren of er behoefte is aan aanvullende beveiligingsmaatregelen of dat we al voldoen aan de beveiligingsvereisten van de klant met de bestaande beveiligingsmaatregelen.
