Those with the privilege to know have the duty to act
‘Compliance officers vinden regelgeving doorgeschoten’ luidt de kop van een artikel vandaag in het Fd. De resultaten van een door Michael Page onder zo’n honderd compliance officers in Nederland gehouden enquête zijn vandaag bekend gemaakt. Dertien procent vindt de golf van regelgeving niet terecht en op termijn onhoudbaar. Vijfenzestig procent vindt dat regels in meerdere of mindere mate hun doel voorbij schieten. Het is zeer de vraag of de aanhoudende stroom van regels het werkelijke probleem vormt. We klagen toch ook niet over de grote hoeveelheid regels ter bescherming van het milieu, de veiligheid op het spoor of de gezondheid? Dat wordt ‘business as usual’ geïmplementeerd.
De uitdaging voor compliance officers ligt in de slimme toepassing van de vele regels met gebruik van IT bijvoorbeeld. In Nederland hebben we er een handje van om lang te wikken en wegen en ons te verzetten tegen van bovenaf opgelegde regels. We fietsen liever door het rode licht zolang er geen agent naast staat. Maar je kunt niet bij elk stoplicht een agent neerzetten. De compliance officer die vooral regels blijft afvinken (en wellicht daartoe ook nog door interne of externe toezichthouders wordt aangespoord) speelt een kansloze wedstrijd. Compliance officers moeten de mogelijkheden van IT beter moeten benutten en dáár extra budget voor zien vrij te maken. Met het afdwingen van goed gedrag kan dan meer planmatig te werk gegaan worden. Het aantal moeilijk leesbare, complexe handboeken en procedures voor medewerkers kan vervolgens worden teruggebracht. Dit helpt om de bedrijfsleiding, de manager en de medewerker op de werkvloer binnen vooraf bepaalde bandbreedtes een eigen beslissingsruimte te laten en goed gedrag te stimuleren. Denk bijvoorbeeld aan geautomatiseerde databeveiliging, elektronisch beheer van bevoegdheden en toegang tot business systemen, gesystematiseerde toetsing van sanctielijsten, systeem gestuurde screening van medewerkers, training met behulp van bijvoorbeeld serious games en e-learning en beloning van gewenst gedrag door verwerking in de beoordelingssystemen van management en medewerkers.
De mogelijkheden voor integratie van compliance in het business proces moeten meer worden benut met de compliance officer in de rol van procesbewaker. Discipline wordt dan niet alleen gevráágd, maar in het bedrijfsproces afgedwongen. Daarmee wordt het de business gemakkelijker gemaakt om compliant te zijn.
Integratie van compliance in de business processen
Integratie van compliance in de business processen is kostbaar. Zo’n investering in beheer van beleid en processen versterkt de governance van de onderneming. Hierdoor maken we uiteindelijk ook tijd vrij om over impact van regels te blijven praten. Praten doen we in Nederland immers graag. Daar is ook helemaal niets mis mee. Het is cruciaal om opkomende dilemma’s te slechten, de normen levend te houden en elkaar te blijven aanspreken op goede naleving.
De kosten van compliance belast de onderneming bij gelijk speelveld gewoon door aan de klant. Uiteindelijk worden deze kosten dus door eenieder van ons gedragen. Zoals een gemeenschappelijke prijs betaald wordt voor systeemfouten en ernstige integriteitsschendingen bij ondernemingen. Van Albert Einstein is de uitspraak: ‘Those with the privilege to know have the duty to act’. De compliance officer behoort tot de steeds meer selecte groep van personen die het bos van regelgeving kan overzien. Dit verplicht ons werk te maken van integratie in het bedrijfsproces en sturing te geven aan bevordering van een integere bedrijfscultuur en het uitbannen van fout gedrag. Dat zijn grote woorden voor een grote uitdaging.
Michael van Woerden
H.W. (Wietse) Louwes Reageren
Zo eens als ik het kan zijn met de titel, zo oneens ben ik het met de strekking van het betoog als reactie op de stelling dat Compliance Officers regelgeving te ver vinden doorgeschoten. Het staat buiten kijf dat de Compliance Officer bij uitstek degene is met “oversight”. Dat zegt niets over de regelgeving zelf die in sommige gevallen wel degelijk (te) ver is doorgeschoten.
Onduidelijkheid speelt daarbij vaak een rol. Zoals we vaak zien, wordt een stortvloed van maatregelen over de sector uitgestrooid in reactie op een impactvolle gebeurtenis met als doel het voorkomen dat een dergelijke gebeurtenis zich opnieuw voordoet. Er vindt dan een mentale vertaling plaats van ‘geest’ van de wet (waar is de wet voor bedoeld) in regels om de geest te operationaliseren. En dat gebeurt dan vaak al op Europees niveau, waar een EU Directive of een Regulation wordt opgesteld dat door de lidstaten moet worden opgenomen in nationale wetgeving.
En vanaf daar wordt het oorspronkelijke doel volledig losgelaten en vindt een ijverige vertaling plaats van artikelen uit een directive, regulation, of uit een nationale wet naar beleid, procedures, werkinstructies, etc. Meestal is op dat moment vanuit de toezichthouder ook nog geen eenduidig beeld van wat er wordt verwacht en is de kans groot dat de financiële instelling veiligheidshalve aan de strenge kant zal staan. Om nog niet te spreken van situaties waarin landen kiezen voor goldplating, waardoor extra onduidelijkheid ontstaat en er nog meer regels van toepassing worden.
Hoewel de regels zelf vaak logisch zijn, soms zelfs vanzelfsprekend (natuurlijk moeten we als poortwachter ervoor zorgen dat de sector zo schoon en integer mogelijk is), gaan de uiteindelijke regels ver voorbij aan het doel. Jouw voorbeeld van het rode licht is daarbij treffend. Het rode licht dient een doel (beheersmaatregel) dat alles te maken heeft met veiligheid van alle weggebruikers. Het inherente risico is erg groot op dinsdagochtend op de toegangsweg naar hartje Amsterdam. Het inherente risico is een stuk kleiner op een rustige zondagochtend op een zijstraat van de Hoofdweg in Veendam. Een agent die daar gaat controleren en voetgangers bekeurt die daar door het rode licht lopen, heeft het niet begrepen.
Michael van Woerden Reageren
Ook ik vind de hoge druk zorgwekkend. Wietse Louwes geeft hiervan een aantal treffende voorbeelden. Echter, dit doet niet af aan mijn oproep om veel meer werk te maken van integratie van compliance in de bedrijfsprocessen in antwoord op de aanhoudende stroom van nieuwe regelgeving. Het doet denken aan het probleem van de wateroverlast. De druk komt van boven (regen / externe toezichthouders), van opzij (zeespiegelstijging / invloed van Anglosaksische landen) en ook van beneden (bodemdaling / interne organisatie). Van het Ministerie van Infrastructuur en Milieu verwachten wij niet alleen verhoogde dijkbewaking maar ook dat het werk maakt van een andere ruimtelijke ordening. Betere integratie van compliance in het business proces stelt de bestuurder in staat om meer systematisch en doorlopend zicht te houden op compliance risico’s. Dit laat onverlet dat de zeespiegel zal blijven stijgen, het zal doorgaan met regenen en ook aan de bodemdaling vermoedelijk geen einde komt. De compliance officer wordt er als dijkbewaker al zwaar door op de proef gesteld.