Non-financials: het compliance wiel bestaat al…

Het laatste nummer van het Tijdschrift voor Compliance had als thema ‘Crisis & Incident management’, waarom binnen bedrijven zich steeds integriteitsincidenten blijven voor doen. In dit themanummer laat senior compliance adviseur Hetty van Rooij-Koolen zien dat de overheid en het bedrijfsleven elkaar kunnen versterken als integer exportland. Het Nederlandse bedrijfsleven staat namelijk in de top 5 van grootste exporteurs ter wereld en voor het varen van een integere en beheerste VOC-koers hebben overheid en bedrijfsleven elkaar nodig. Het artikel in het Tijdschrift voor Compliance gaat in eerste instantie in op de internationale non-financials, maar is zeker voor elke onderneming interessant. Immers, ieder bedrijf kiest zelf zijn koers, maar heeft zeker ook af en toe ondersteuning nodig van bijvoorbeeld een overheid die de bakens plaatst en zo zorgt dat de haven veilig bereikt wordt. Die bakens zijn ook nodig, omdat er genoeg is om in het vizier te houden. Bij ondernemen beperken de bedrijfsrisico’s zich niet alleen tot de financiële ondernemingsrisico’s, maar zal een ondernemer ook beducht moeten zijn op integriteitsrisico’s zoals onbedoeld betrokken raken bij ongewenste activiteiten als cybercrime, privacy schending, belangenconflicten, fraude of witwassen.

License to operate

Eigenlijk willen we mooie producten maken en goede diensten leveren aan klanten. Zoals ooit een bierbrouwer de slogan had ‘vakmanschap is meesterschap’. Maar ook die bierbrouwer ontkomt niet aan fraudechecks en weten met wie en hoe er zaken wordt gedaan. Aantoonbaar integer en beheerst ondernemen is het credo geworden en zelfs een license to operate voor bedrijven, ook buiten de financiële sector.

Taal van aantoonbaar integer en beheerst ondernemen

Voor de financiële sector zijn de bakens helder uitgezet: de Wet financieel toezicht (Wft) en andere richtlijnen geven een goede handreiking voor het voeren van een integere en beheerste bedrijfsvoering. Buiten de financiële sector zullen bedrijven veelal een zelfstandige koers moeten varen. Zij spreken niet altijd de taal die gangbaar is binnen de financiële sector en kennen risicomanagement vooral als het managen van kwaliteit, bedrijfscontinuïteit en veiligheid van het productieproces. Uiteindelijk is die taal niet veel anders buiten de financiële sector en draait het om inzicht hebben in de risico’s in de organisatie en daarbuiten. Een eerste stap is inzicht krijgen in de 5 risico-P’s:

• Product: productveiligheid, maar ook risico op schending van export gerelateerde wet- en regelgeving waaraan het product dient te voldoen.
• Party: ken-je-klant, betrouwbaarheid, eigendomsstructuur, kredietwaardigheid, hebben we te maken met tussenpersoon of de uiteindelijke klant. En bij ‘party’ gaat het om iedere tegenpartij uit je keten of cluster (toeleverancier, transporteur, agent, vendor, uitbestedingspartij, consultant).
• Place: risico dat machines of andere producten worden geëxporteerd/getransporteerd naar een land dat onder een sanctieregime valt of een gevoelige bestemming is door de geopolitieke situatie in een land of anderszins de klant vanwege zijn of haar geografische locatie een hoog risico kan vormen.
• Personeel: inzicht in de deskundigheid, vakbekwaamheid en betrouwbaarheid van het personeel. De passendheid van de beloningsstructuur, maar ook helderheid over wat gewenst gedrag is.
• Purpose: met name bij internationaal handelsverkeer kunnen we mogelijk onbedoeld te maken hebben met dual use: inzicht hebben of het product of geleverde dienst voor andersoortig (strafbaar) gebruik is toe te passen.

Als we dit inzichtelijk hebben, dan is de volgende stap als bedrijf je risicobereidheid vast te stellen: wat is aanvaardbaar en tot waar gaan we de kans dat risico’s zich voordoen en de impact ervan minimaliseren? Willen we bijvoorbeeld totaal geen klanten bedienen uit bepaalde landen of willen we dat alleen mits er aan bepaalde voorwaarden wordt voldaan?  Binnen het bedrijf is er meestal al wel impliciet een klantacceptatiebeleid en een bepaalde werkwijze aanwezig. Het gaat er nu om: “Als een stakeholder er vandaag naar vraagt, of meer wil weten over een klant of een transactie of tussenpersoon, hebben we dan antwoord of moeten we eerst nog het hele bedrijf door om informatie te verzamelen?” Vooruit kijken, dit soort vragen al in de smiezen hebben, niet omdat een ander ernaar kan vragen, maar om zelf voorbereid te zijn en (klant)risico’s te kennen en daar al maatregelen voor te hebben genomen. Immers, achteraf informatie verzamelen leidt tot paniekvoetbal. Beheerste bedrijfsvoering is geïnformeerd zijn en blijven. Steeds weer monitoren. Zit ik op koers? Zijn er veranderingen in de 5 P’s? Is er bijsturing nodig? Zo vooruitzien levert uiteindelijk een flinke tijdsbesparing op, omdat achteraf repareren niet langer nodig is en het reputatieschade en financiële schade kan voorkomen.

Proportioneel en Praktisch

Regelmatig horen we de opmerking vanuit bedrijven: ”We hebben een compliancebeleid en/of anti-corruptiebeleid nodig, maar het moet praktisch blijven en passen bij onze omvang en cultuur.” Kortom: proportioneel en praktisch. Ook dan starten we met het verkennen van het landschap: Hoe zien de 5P-risico’s er uit? Het inzicht in de 5P’s en de risicobereidheid vertalen we naar het passende compliancebeleid. Bij het inrichten en implementeren van het compliancebeleid komt het aan op praktisch en proportioneel. Neem bijvoorbeeld een onderwerp als screening. Er zijn genoeg bedrijven die niet alleen klanten en de eigen medewerkers laten screenen, maar ook tijdelijke inhuur en consultants. Deze bedrijven verwachten niet alleen van hun medewerkers naleving van de corporate gedragscode, maar verwachten ook van partijen met wie zij zaken doen een gelijkwaardige gedragscode. Proportioneel en pragmatisch betekent dan: wel het risico afdekken, alleen misschien niet zelf de screening uitvoeren van klant of medewerker, maar dit door een extern bureau laten doen. Daarnaast zullen maatregelen en de mate van monitoring afhankelijk zijn van de risico’s zelf. Maar dat weet ieder bedrijf ook vanuit de beheersing van andere risico’s, zoals operationele of IT-risico’s.

Het compliancewiel bestaat al…

Voor bedrijven die met compliance aan de slag willen: bedenk ook dat het compliancewiel niet nogmaals uitgevonden hoeft te worden. Binnen de financiële sector is er al een breed scala aan informatie over het borgen van integriteit binnen de onderneming: van screenen van medewerkers, een beheerste beloning, gedragscode, zicht hebben op klanten en uitbestedingsrelaties, een adequaat risicomanagement tot het waarborgen van adequaat datagebruik en beveiliging. De websites van de financiële toezichthouders bieden publicaties over de uit te voeren Systematische Integriteitsrisicoanalyse (SIRA), best practices ten aanzien van beheersing van uitbesteding (naar de cloud), client due diligences. Zo geeft de wet- en regelgeving ook voor bedrijven buiten de financiële sector nuttige informatie. Neem bijvoorbeeld de Wft, artikel 4.14 ‘Integere en beheerste bedrijfsuitoefening’, en vervang daarbij ‘financiële onderneming’ door ‘het bedrijf’ en ‘financiële markten’ door ‘de sector’ waarin de non-financial zich begeeft. Alle tips over adequaat risicomanagement en hoe integriteitsrisico’s te beheersen (van ken uw klant tot zorgplicht en vakbekwaamheid) komen aan de orde.

…laten we de bakens ook buiten de financiële sector helder uitzetten

Een ondernemer kan zelf veel informatie krijgen over het ondernemen bij Kamer van Koophandel,  brancheverenigingen en bij banken. Zo geeft de Rabobank aan startende ondernemers diverse tips, onder meer over het schrijven van een bedrijfsplan. Juist nu aantoonbaar integer en beheerst ondernemen het credo is geworden, zullen we meer tipjes van de sluier moeten lichten. Waar DNB en de AFM seminars en workshops en publicaties bieden aan de financiële sector, zullen we de bakens ook buiten de financiële sector uit moeten zetten. Witwasrisico’s en andere integriteitsrisico’s verdwijnen niet vanzelf; laten we ze praktisch en effectief beheersen.