Ruud van der Mast
Een integere en beheerste bedrijfsvoering is niet alleen een verplichting voor grote financiële instellingen. Het is de basis voor het bestaansrecht van iedere organisatie. Uiteraard wel met een goed oog voor proportionaliteit.
De Wet op het financieel toezicht1 maar bijvoorbeeld ook de Pensioenwet2, de Wet toezicht trustkantoren3 en de Wet toezicht accountantsorganisaties4 verplichten vergunninghoudende organisaties al geruime tijd een aantoonbare integere en beheerste bedrijfsvoering in te richten en te onderhouden. Dit betekent onder andere:
Wettelijk gezien gelden deze uitgangspunten ook voor financieel dienstverleners. De veelal kleine advies- of bemiddelingskantoren met een Wft-vergunning zijn hier niet altijd bekend mee of vinden het lastig om dit aantoonbaar in te richten. Ook kleinere accountantskantoren lijken soms moeite te hebben met de aantoonbare inrichting.5
Voor non-financials is er geen directe verplichting. Uiteraard bestaat er wel een verplichting tot een beheerste governance, een integere behandeling van klanten en het aanbieden van passende producten en diensten, bepaald in het Burgerlijk Wetboek en bijvoorbeeld de Corporate Governance Code. Daarnaast is er de intrinsieke motivatie om de bedrijfsvoering goed in te richten en de integriteit te waarborgen.
Het is een veel voorkomende vergissing te denken dat de bedrijfsvoering goed is ingericht wanneer de papierwinkel op orde is gebracht. Het opstellen van een Gedragscode, Integriteitsbeleid, AO/IC beschrijving, Employmentscreening en Incidentenregeling is pas het begin. De regelingen hebben geen waarde wanneer ze niet in de organisatie worden geïmplementeerd. Sterker nog, wanneer het op papier in orde is maar de praktijk afwijkt neemt het risico op ongelukken toe.
Medewerkers moeten de regelingen kennen en toepassen. Vervolgens moet gemonitord worden dat de regelingen nageleefd worden en dat verantwoording wordt afgelegd. Hier is een belangrijke rol voor de compliance officer weggelegd. Zijn rol bestaat uit: faciliteren, adviseren, onderzoeken, monitoren, evalueren en rapporteren.
Vooral kleinere organisaties zullen denken dat de rol van compliance officer voor hen te formeel is en een disproportioneel middel voor de eigen doelstellingen. Wanneer men uitgaat van een dure interne compliance officer die vooral kiest voor een formele en juridische insteek kan ik me volledig in dit standpunt vinden.
Het kan echter ook anders, met een externe compliance officer die de (kleine) organisatie met raad en daad bijstaat maar ook begrijpt wat hij niet kan doen om nog wel onafhankelijk te kunnen monitoren. Beschikbaarheid op afroep maar voldoende zicht op de organisatie om onafhankelijk te kunnen monitoren en adviseren.
Een externe compliance officer heeft een beperkt takenpakket waarbij rekening wordt gehouden dat de organisatie vooral veel zelf doet. De externe compliance officer ondersteunt door het aanleveren van modellen voor beleid, het adviseren over inrichting, creëren van awareness en het uitvoeren van de belangrijkste monitoringonderzoeken. Omdat de externe compliance officer ook ervaring opdoet bij vergelijkbare organisaties kan deze efficiënt werken en is de inspanning in uren (en kosten) voor de opdrachtgever vaak beperkt. Tegelijkertijd kunnen toch de doelstellingen bereikt worden.
De beheerste en integere bedrijfsvoering kan op deze manier efficiënt ingericht en gewaarborgd worden, zonder af te doen aan het belang daarvan. Ook voor niet onder toezicht staande instellingen kan dit een waardevolle aanvulling zijn op de professionaliteit van de organisatie.
Het NCI heeft bijna 25 jaar ervaring op het gebied van externe compliance officers bij pensioenfondsen, kleine verzekeraars, financieel dienstverleners en non-financials. De grootste winst is volgens ons te behalen in een pragmatische en proportionele aanpak die gevoed wordt door ervaringen bij andere organisaties.
Wanneer wij voor een opdrachtgever aan de slag gaan doen we dit meestal op basis van een abonnement waarin een vast aantal uren dienstverlening per jaar worden overeengekomen. De omvang kan erg verschillen, afhankelijk van de doelstellingen en het volwassenheidniveau dat de opdrachtgever wenst te bereiken. Meestal varieert onze capaciteit tussen een dag en twee dagen per maand. Wij bespreken de doelstellingen met de opdrachtgever, maar hebben ook een vaste set werkzaamheden om onze onafhankelijke compliance rol waar te kunnen maken. Denk daarbij bijvoorbeeld aan het gevraagd en ongevraagd adviseren, training/awareness, toegang tot alle informatie en overleggen en monitoring van Gedragscode en Integriteitbeleid. Op basis van het soort organisatie en de doelstellingen van de organisatie worden aanvullende werkzaamheden afgesproken. Bijvoorbeeld het opstellen van regelingen, contact met toezichthouder, screening en monitoring van uitbestede werkzaamheden, privacy ondersteuning, uitvoering Incidenten- en Klokkenluidersregeling etc.
Het is onze ervaring dat de opdrachtgever beter en aantoonbaar in control is door de werkzaamheden die de compliance officer uitvoert en rapporteert. Risico’s worden inzichtelijk en daardoor beheersbaar. Uiteraard kan een interne compliance officer hier ook het verschil maken maar zijn blik is beperkt tot wat er in de eigen organisatie speelt.
