In ons advieswerk komen we bij verschillende organisaties over de vloer. Nu wat meer virtueel natuurlijk, maar we zien nog voldoende. In deze blog wil ik iets vertellen over het belang van een goede voorbereiding.
Een goede voorbereiding is het halve werk
Ondanks dat het agile werken steeds meer is ingeburgerd wil dit niet zeggen dat voorbereiden niet meer nodig is. Immers, eerst goed nadenken over je uitgangspositie, wat je wilt bereiken en dan in de achteruit nadenken over wat de logische volgorde is van de te nemen stappen is voor nagenoeg elke taak van belang. We zien nog te vaak dat er te veel energie verloren gaat door van tevoren niet voldoende over deze onderwerpen na te denken. Het kan vaak veel efficiënter en dan heb ik het echt niet over de laatste 5% die we er ook nog even uit moeten snijden. Eerder over het tienvoudige.
Voorbeeld
Neem nou de SIRA. We merken dat met name de compliance officer zich richt op het kunnen opleveren van een mooi gevuld Excel-blad. Omvangrijk, met mooie kleurtjes en alle beheersmaatregelen erin opgenomen. Maar is dat wel het resultaat waar je naar op zoek zou moeten zijn? En wie moet het eigenlijk willen, die SIRA? Is dat wel een verantwoordelijkheid van de compliance officer?
In de nieuwste versie van ons handboek hebben we twee voorstellingen opgenomen van het compliance systeem. De eerste laat zien hoe we het compliance systeem nogal eens aantreffen. Kort gezegd komt dit neer op een losstaande tweede lijn, die eigenlijk alleen maar iets te maken heeft met de uitvoering in de eerste lijn. De tweede lijn stelt in deze situatie zelf beleid op en implementeert dit ook. Centraal in deze voorstelling staat de SIRA. Dat is in deze situaties vaak het feestje van compliance, waar de eerste lijn vrij weinig mee te maken heeft. Ja, ze worden wellicht eens gevraagd of zij nog input hebben, maar daar heb je het dan ook wel mee gehad.
De tweede voorstelling van het compliance systeem gaat over ons ideaalbeeld van het compliancesysteem. In deze situatie ligt de tweede lijn in zijn geheel om de eerste lijn heen en heeft dus verbinding met zowel de purpose van de organisatie als de gehele managementcyclus van de eerste lijn. De eerste lijn is in deze situatie niet alleen verantwoordelijk voor het integriteitsrisicomanagement, maar voelt dat ook en gedraagt zich daar ook naar. In deze situatie faciliteert de compliance officer de integriteitsrisicoanalyse en komt de input hoofdzakelijk van de eerste lijn. Wat een verschil in uitgangssituatie tussen deze twee voorstellingen. Dit levert naar alle waarschijnlijkheid ook een andere SIRA op.
Rol van compliance
Maar staat de compliance officer dan niet buitenspel in de hierboven kort toegelichte ideale situatie? Ik zou zeggen van niet. Juist in deze situatie is de compliance officer veel beter in staat zelfstandig een onafhankelijk oordeel te geven over de beheersing van integriteitsrisico’s in de organisatie. Aan de hand van zijn eigen bevindingen en conclusies kan de compliance officer ook een veel beter advies uitbrengen aan het management in de eerste lijn. En staat compliance juist daar niet voor opgesteld? Dit is niet alleen mijn mening, maar staat ook nog eens in relevante wet- en regelgeving hierover vermeld. Kijk bijvoorbeeld maar eens in artikel 21 Bpr Wft en artikel 31 b en c BGfo Wft.
Is een niet-werkende beheersmaatregel ook een risico?
Voortbordurend op het hiervoor aangehaalde voorbeeld van de SIRA blijft er naar mijn mening nog voldoende te begeleiden over. Dat is natuurlijk veel meer dan het braaf opschrijven en verwerken van hoe er in de eerste lijn wordt gedacht over de integriteitsrisico’s. Neem nu alleen al eens het categoriseren van risico’s en het vertalen ervan naar verschillende scenario’s. Aan de hand van het Good Practice stuk van DNB lukt het de meeste ondernemingen nog wel om de hierin beschreven risicocategorieën, zoals CDD, belangenverstrengeling of fraude, over te nemen. Wat lastiger zijn de scenario’s. Scenario’s zijn eigenlijk concrete verschijningsvormen van een bepaald risico.
Maar dan begint vaak het gepuzzel. Te vaak komen wij nog tegen, dat als sub-risico of risicoscenario niet of onvoldoende werkende beheersmaatregelen worden opgevoerd. Bijvoorbeeld: “Het CDD beleid is onvoldoende geïmplementeerd.” Dat kun je als eerste lijn een risico vinden voor het beheersen van het CDD thema, maar dit is niet de juiste plaats in de SIRA hiervoor. Een scenario met betrekking tot het witwassen is bijvoorbeeld dat een klant een grote som geld op zijn rekening stort waarvan in onvoldoende mate duidelijk is wat de herkomst hiervan is, waardoor we als onderneming mogelijk zouden kunnen meewerken aan witwassen.
Het schrijven, vaststellen en implementeren van een CDD beleid is een maatregel (Engels: control measure) om dit soort risico’s te beheersen. Met andere woorden: je neemt maatregelen om de kans en zo mogelijk de impact van het bruto risico lager uit te laten komen, bij voorkeur onder het niveau van de risk appetite. Precies om deze reden raad ik dan ook van harte aan, om na de kolom met beheersmaatregelen een kolom op te nemen waarin je de effectiviteitsscore van elke beheersmaatregel opneemt. Want hoe zou je anders onderbouwd moeten komen tot een goede inschatting van je netto risico? Ook hier geldt: “gissen is missen en meten is weten”, zoals mijn natuurkundeleraar ook vaak zei.
Wat nu te doen?
Aan de hand van het bovenstaande voorbeeld wil ik maar aangeven, dat het van belang is goed de verschillende rollen en definities te bespreken en vast te leggen. Dat geldt in het algemeen voor de compliance functie, zoals bijvoorbeeld in het compliance statuut. Ook geldt dit voor meer specifieke activiteiten, zoals het uitvoeren van een SIRA. Beschrijf bijvoorbeeld in een nota voor de start van de daadwerkelijke analyse hoe de onderneming bruto risico’s, beheersmaatregelen en netto risico’s definieert. Ook de verschillende verantwoordelijkheden, taken, rollen en bevoegdheden horen in een dergelijk document een plaats te hebben. Ten slotte zou je ook de planning van het doorlopen van de analyse kunnen opnemen, zodat je met elkaar altijd weer even kunt teruggrijpen op dit logische plan.
Er blijft nog voldoende werk over voor de compliance officer. Maar dan wel werk waar de compliance officer ook voor staat opgesteld en wat ook echt bijdraagt aan een duurzame verankering van de integere bedrijfsvoering in de onderneming. Ik wens je veel succes hiermee.
Wil je eens sparren over jouw rol als compliance officer in jouw organisatie? Of misschien kan in jouw onderneming de SIRA nog verder verbeteren? Mijn collega’s en ik staan open voor een gesprek hierover. Wil je het vak van compliance officer leren? Schrijf je dan in voor één van onze leergangen.
