Bemoei je er niet mee!

Peter Westdijk

Doe je als compliance officer je werk door te wijzen op manco’s in de beheersing van integriteitsrisico’s, krijg je te maken met andere partijen in een soort tweedelijns rol die het beter denken te weten en zich op allerlei terreinen op de voorgrond plaatsen en zich als dé deskundige positioneren. Landjepik in de tweedelijns wereld?

Compliance kan vertaald worden naar “voldoen aan”, het vakgebied dat gaat over het monitoren of aan de wet wordt voldaan. En natuurlijk is ons vak als compliance officer veel meer dan dat en kijken we ook niet naar alle wetten, maar het monitoren op voldoen aan wet- en regelgeving is wel een belangrijk onderdeel van onze taak.

Met de opkomst van allerlei specialistische functies hebben we ook veel te maken met andere rollen. De computer security mensen, die bijvoorbeeld op DORA¹ en NIS2² zitten. En de (IT-) auditors die daar ook iets van (moeten) vinden. En natuurlijk alle consultants die onze organisatie of klanten hierover adviseren. Maar cybercrime is in de ‘good practice integriteitsrisicoanalyse’ (SIRA) als een integriteitsrisico gedefinieerd. En integriteit, dat zijn wij!

En zo hebben we nog wel meer waar we landjepik om kunnen spelen. ESG/CSRD³ is natuurlijk een hot topic, waar alle deskundigen over elkaar heen buitelen om aandacht (en opdrachten) te krijgen. Adviseurs en auditors hebben dit vakgebied omarmd en ondersteunen hun klanten. Ook interne afdelingen werpen zich op dit onderwerp. Maar uitglijders op dit vlak kunnen de reputatie van de organisatie schaden en zijn als maatschappelijk onbetamelijk gedrag ook een integriteitsrisico. En integriteit, dat zijn wij!

Integriteit, dat zijn wij! 

In de wet- en regelgeving rond financiële instellingen wordt regelmatig de functie van compliance en de compliance officer genoemd. Gericht op de beheersing van integriteitsrisico’s bijvoorbeeld. Maar betekent dat nu dat al die nieuwe gebieden een uitbreiding zijn van onze scope?

Ik trek vaak de parallel met een schip. De kapitein is simpel gesteld integraal verantwoordelijk en draagt die rol ook als zodanig. Hij krijgt hulp van zijn officieren voor de operationele taken, maar ik ken geen schip waar een specifieke compliance officer meevaart of waar iemand als risicomanager is aangemonsterd. Maar bij een financiële instelling zijn er inmiddels zo enorm veel richtlijnen waaraan moet worden voldaan, dat gespecialiseerde functies blijkbaar nodig zijn om te helpen om hiervoor de verantwoordelijkheid te kunnen dragen. Ook de omvang van organisaties speelt hierbij een belangrijke rol: je kunt als bestuur niet alles rechtstreeks overzien en aansturen.

Landjepik  

Geldt dit principe nu ook voor deze ontwikkelingen? En als dat zo is, waar vallen al die specialisaties dan? Zijn de specialisten een collega van de compliance officer of vormt de specialisatie een onderdeel van integriteit en is de compliance officer hun baas?

Belangrijk is om de scope te bepalen. Dat klinkt al objectiever en professioneler dan landjepik. Maar het is wel waar het om gaat: wie krijgt de aandacht voor een onderwerp, wie krijgt het budget om onderzoek te doen en wie mag of moet hierover rapporteren?

Onderliggend is natuurlijk de vraag of het bestuur meer tijd vrijmaakt voor ESG-rapportage dan de rapportage van de compliance officer. Of de rapportage over cyber threats. Het is vechten om tijd in de bestuursagenda. Al schrijvend komt nu de vraag opborrelen of dat gevecht om tijd een afzonderlijk integriteitsaspect is, waar je als compliance officer iets van mag of moet vinden; die vraag laat ik hier even liggen (wie pakt die handschoen op?) en ik richt mij op het krachtenveld van al die specialismen die om ons compliance officers heen vergelijkbare rollen hebben of beginnen te krijgen en (net als wij) het management ondersteunen bij het beheersen van risico’s.

Biedt de wet houvast? 

De voorbeelden in de vorige alinea kunnen leiden tot het idee dat functies die voortvloeien uit wet- en regelgeving een bestaansrecht hebben en dus terecht aandacht op de bestuursagenda krijgen.

Maar uiteindelijk, flauw maar waar, is het toch de verantwoordelijkheid van het bestuur om een beheerste en integere bedrijfsvoering te realiseren. En hoe zij dat doen is alleen aan hen. Als compliance officer mag je daar wel iets ‘van vinden’, maar verder dan adviseren gaat je rol en verantwoordelijkheid niet. De RvC, RvT en de externe toezichthouders gaan daarin verder, ieder vanuit de eigen invalshoek.

Maar die wettelijk bepaalde rollen vormen wel een kader, wat de tweedelijnsfuncties ook het recht aandacht en tijd op de bestuursagenda verschaft. Maar het bestuur is en blijft verantwoordelijk en bepaalt de eigen agenda. Wettelijk kader of niet.

Privacy/AVG -> grensgebied van compliance? 

De bescherming van persoonsgegevens en de AVG zijn onderwerpen waarmee we als compliance officer frequent worden geconfronteerd. Het raakt ons persoonlijk leven als we cookies accepteren of een formulier invullen of door een leverancier op de hoogte worden gesteld dat onze bestelhistorie mogelijk is gelekt door een hack-aanval.

Omdat het dichtbij is, ligt het voor de hand dit eerder in scope te beschouwen. Ook omdat we mogelijk wat achtergrondkennis hebben, denken we misschien eerder dat we als compliance officer over AVG-compliance iets moeten zeggen. Dit in tegenstelling tot computer security, waarvan velen van ons weinig weten anders dan wat we moeten leren in de maandelijkse awareness training. En ESG/CSRD is voor velen helemaal een onderwerp op grote afstand, waar we alleen als bezorgde burger mee te maken hebben als we afval scheiden of de fiets pakken in plaats van de auto. Maken materiekennis en affiniteit een verschil bij landjepik? Laten we de moeilijke onderwerpen makkelijker liggen dan die waarvan we wel iets (menen te) weten?

Is de AVG daarmee een voorbeeld van een grensgebied? Moeten we als compliance officer AVG-compliance in scope nemen? Op deze vraag is volgens mij geen eenduidig en alomvattend antwoord te geven. In de organisatie kan een FG zijn aangewezen, die een wettelijk verankerde en beschreven rol heeft en daarmee een duidelijke eigen tweedelijns positie heeft. Dan kan er ook nog een PO zijn aangewezen, de privacy officer, die vaak als eerste lijn wordt gepositioneerd. Als er wel een PO is maar geen FG, zie ik vaak dat de PO ook monitorende/toetsende werkzaamheden doet en aan het bestuur rapporteert als ware het een tweedelijns positie. Snoept de PO daarmee dan iets weg van de compliance officer? Als dan privacy ook nog eens expliciet buiten de scope van de SIRA is geplaatst, ben je dan uitgespeeld als compliance officer? En is dat dan ook goed en terecht?

Compliance: grensgebied van de PO of de FG? 

Laten we het eens vanuit een ander perspectief bekijken; hoe zouden de PO en FG tegen ons aankijken? Ben je dagelijks bezig om de persoonsgegevens van klanten, verzekerden en anderen te beschermen met je eigen rapportagelijnen, komt er “ineens’ zo’n compliance officer iets vinden van jouw werk. En op welke grond eigenlijk: de PO/FG is tenslotte hierin gespecialiseerd  en de compliance officer ‘doet het er maar een beetje bij’.

Een heel begrijpelijk standpunt dat we ook moeten onderkennen en erkennen: waar bemoeien wij ons eigenlijk mee? Wat geeft ons het recht of de plicht om over de bescherming van persoonsgegevens een oordeel te hebben? En als FG is het wel oké als de compliance officer jouw bevindingen en adviezen onderschrijft; dat is menselijk. En net zo menselijk is de tegengestelde reactie wanneer de compliance officer jouw oordeel als FG niet onderschrijft.

Scoping: de ‘open deur’ als grenspost 

De kern van de oplossing ligt voor de hand: elke organisatie zal een duidelijke scope moeten afspreken voor de compliance officer, voor de privacy officer, de security officer en al die andere officers en deskundigen die meehelpen om de organisatiedoelen te bereiken. Over open deur gesproken…

De vraag is natuurlijk welke argumenten en onderdelen je meeneemt bij het bepalen van die scope. En kennis is een heel belangrijke. Waar je als compliance officer misschien de neiging hebt om zaken in scope te trekken moet je je natuurlijk wel realiseren dat je over die zaken genoeg moet weten! Zelf weten, of inhuren; de make-or-buy decision uit de economische theorie. En dan nog kun je niet blindvaren op een ander, je bent en blijft zelf verantwoordelijk voor het oordeel en de adviezen. Je moet er dus wel een beetje verstand van hebben.

Ik weet persoonlijk niet waar we in de theorie of wetgeving harde of duidelijke aanknopingspunten kunnen vinden voor scoping, voor het slaan van grenspalen tussen de ene en de andere officer. Elke organisatie maakt daarin eigen keuzes omdat het bestuur de beheerste en integere bedrijfsvoering zelf kan en moet inrichten.

Ik denk wel dat de aard en het risicoprofiel van de organisatie een rol spelen. Ik kan me niet voorstellen dat de compliance officer van een chemische fabriek ESG/CSRD-aspecten volledig buiten zijn eigen scope zet. Of dat de compliance officer van een ziekenhuis of een pensioenfonds de AVG eenvoudig opzijschuift. Andersom zou ik wel kunnen snappen.

Maar hoe je dan de vaktechnische verantwoordelijkheid definieert of onderscheidt is geen eenvoudige zwart/wit keuze. We zijn als compliance officer geneigd om met onszelf te beginnen als basis, met een beetje ondersteuning van een of meer specialisten als we het zelf niet kunnen of weten, want alles draait in zekere zin om integriteit en om reputatie. Dus is de compliance officer de spil.

Je voelt de ‘maar’ die nu in de lucht hangt. Want we redeneren nu vanuit de ivoren toren, zoals echte tweedelijners (te) vaak doen. De echte kern is volgens mij hoe de eerste lijn, de business, het bestuur, wenst om te gaan met de verschillende trends en ontwikkelingen waarmee de organisatie wordt geconfronteerd en die het bereiken van de organisatiedoelstellingen kunnen beïnvloeden. En als het bestuur de compliance officer om raad vraagt, zou je als compliance officer niet moeten adviseren om de tweede lijn te versterken, maar om de business zelf te versterken en het daar ook op te lossen. In alle vier de stappen van de PDCA-cyclus zoals Deming⁴ die heeft gepubliceerd. En als de business in die PDCA alles doet om bedreigingen te beheersen, kunnen wij als compliance officer die processen monitort, ‘kijken of er goed gekeken wordt’. En daar zijn we goed in, het monitoren van processen en activiteiten. Maar let wel op: we zullen zeker niet in alle gevallen een oordeel kunnen hebben of de PDCA wel toereikend is, passend bij de risico’s. Daarvoor zullen we over voldoende kennis moeten (gaan) beschikken op steeds meer nieuwe terreinen.

Beschikken over: nog een open deur 

Uiteindelijk staan we als compliance officer ten dienste van de purpose, van het doel van de organisatie. En als dat betekent dat we worden gevraagd te adviseren over verbeteringen in de PDCA dan doe we dat graag, maar wel onder de voorwaarde dat we weten waarover wij het hebben. We moeten beschikken over voldoende kennis.

Dat ‘beschikken over’ kent vele verschijningsvormen, waaronder:

• Zelf kennis vergaren: het beproefde middel om over kennis te gaan beschikken is het volgen van trainingen en cursussen. Het zélf opdoen van de vereiste kennis. Beproefd, maar ook wel een beetje gemaximeerd, want de hoeveelheid is dusdanig dat het bijna ondoenlijk lijkt. Dat fenomeen is ook een beetje bestaansrecht van de specialist en van de compliance functie, dus als het bestuur onze ondersteuning nodig heeft, kunnen wij dan met droge ogen stellen dat wij dat niet hebben?
• Inhuren van: door voor specifieke onderwerpen en thema’s specialisten in te huren ter ondersteuning van onze werkzaamheden kunnen we onze organisaties helpen met hun PDCA. Pragmatisch, maar je hebt dan als compliance officer wel de verantwoordelijkheid om genoeg kennis te hebben om te weten wanneer je een specialist inhuurt en met welke opdracht. Enige kennis, gericht op de hoofdlijnen, is dan vereist. Want bij inhuur blijft de compliance officer verantwoordelijk voor het oordeel of advies.
• Steunen op: door te steunen op het werk van anderen kun je als compliance officer je organisatie breder ondersteunen bij de inrichting van hun PDCA, waarbij je voor een aantal thema’s naar een andere partij verwijst en hun oordeel of advies gebruikt. Dit raakt het onderwerp scoping uiteraard: beide specialisten hebben een eigen kennisgebied en spreken af wie welk gedeelte neemt. De parallel met de jaarrekeningcontrole ligt voor de hand, waar de controlerend accountant ook steunt op het werk van bepaalde specialisten, zoals de actuaris. Verschil is wel dat de accountant een eigen, wettelijk beschreven, verantwoordelijkheid heeft en houdt voor zijn eigen oordeel bij de jaarrekening en dus het ‘steunen op’ een zwaardere betekenis heeft: de compliance officer hoeft zich vanuit zijn verantwoordelijkheid niet bezig te houden met de selectie en keuze van de FG: dat is aan het bestuur. En dan heeft de FG ook de formele taak van het beoordelen. Maar hoe zit dat met een PO die ook oordeelt en het bestuur adviseert? En hoe zit het met cyber, IT, met ESG en andere topics?

Dus…. 

Een eenduidig en allesomvattend model is naar mijn mening niet te geven. Op 14 november 2024 gaan we samen met geïnteresseerden in het werkcollege Privacy en de compliance officer verkennen of we als compliance officer over voldoende kennis van privacy en AVG-compliance beschikken om als compliance officer onze monitorende en adviserende rollen te vervullen. Ook gaan we meteen in op de vraag of de eerstelijns PO of de tweedelijns FG onze vrienden of  concurrenten zijn. En  of  wij, wanneer er geen FG is, als compliance officer die rol op ons kunnen of moeten nemen.

Nieuwsgierig? Of een andere mening hierover? Schrijf je in voor dit werkcollege of bel of mail me!