Eric Schuiling
De compliance officer moet op een onafhankelijke manier zijn rol vervullen. Dat staat in ongeveer elk document waarin het gaat over de compliance functie in de financiële sector. Neem bijvoorbeeld art 2d Wwft, art 21 Bpr Wft, de EBA richtlijnen over de AML-CTF compliance functie (p 19) of de ESMA guidelines. (p 6)
In onze opleidings– en adviespraktijk komen we echter nog maar al te vaak tegen dat compliance officers bezig zijn met het schrijven en/of implementeren van beleid, het controleren van dossiers, het verzorgen van trainingen of zelfs het aanspreken van collega’s. De vraag is in welke mate de keuze om dit soort werkzaamheden bij de compliance officer te beleggen in lijn te brengen valt met het onafhankelijkheidsbeginsel.
Het belang
Waarom is het nu zo belangrijk dat een compliance officer onafhankelijk kan functioneren? Over het algemeen wordt ‘onafhankelijk’ in eerste instantie uitgelegd als ‘onafhankelijk van commerciële doelstellingen’. Dit aangezien de druk van commerciële doelstellingen tegenspraak ten faveure van het klantbelang zou remmen. Ik vraag me af of het ontbreken van commerciële doelstellingen en/of taken voldoende is om als onafhankelijk gezien te worden. De ESMA guidelines (p 37) geven wat dat betreft wat nadere richting. Deze richtlijn geeft aan, dat het senior management verantwoordelijk is voor het installeren, onderhouden en monitoren van een passende compliance organisatie. Daar begint het mee, maar deze richtlijn gaat nog verder: ‘Andere bedrijfsonderdelen mogen geen instructies geven of op een andere manier compliance medewerkers en hun activiteiten beïnvloeden. Daarbij moet een passend escalatieproces zijn ingericht van de compliance functie naar het senior management. Op het moment dat senior management afwijkt van adviezen van de compliance functie moet dit worden gedocumenteerd en gerapporteerd door de compliance officer.’ De richtlijn gaat dus duidelijk verder dan alleen de afwezigheid van commerciële doelstellingen.
De kaders
‘Vrij kunnen zeggen wat je als compliance officer van de risicobeheersing van de organisatie vindt’, zo interpreteer ik onafhankelijkheid. Op basis van deze gedachte zou je dus al een aantal activiteiten niet meer moeten willen ondernemen, aangezien je daarmee het risico loopt toe te moeten zien op je eigen effectiviteit en jezelf te moeten beoordelen. Artikel 21 lid 2 van het Bpr Wft geeft hiervoor wat mij betreft duidelijke kaders. Als compliance officer heb je als taak om:
De oorzaak
Waarom wordt aan compliance officers dan toch telkens weer gevraagd om even dat beleid op te stellen, dat beleid meteen ook maar te implementeren, even wat dossiers na te kijken voor de manager, mee te beslissen over de acceptatie van bepaalde klanten, enzovoorts? Het antwoord blijkt in de praktijk eigenlijk telkens hetzelfde: het ontbreekt de eerste lijn (‘de business’) aan de juiste kennis. Merk je dat in jouw omgeving sprake is van compliance officers met oneigenlijke taken, probeer dan eens uit te zoeken waar het in jouw organisatie dan aan ligt. De kans is groot dat de uiteindelijke oorzaak een gebrek aan kennis is.
Het streven
Nu weten we dat het compliance vak allesbehalve saai een eentonig is. Het bruist juist van de dynamiek omdat er iedere dag wel iets in de context verandert. Nieuwe wetten en regels, veranderde plannen van het management, opvallend gedrag in de organisatie, het houdt nooit op. Behalve het omgaan met deze bijzondere dynamiek is het ook nog de uitdaging om de organisatie te helpen steeds beter te worden in het beheersen van integriteitsrisico’s. De AFM heeft hier al eens een publicatie aan gewijd. Bijblijven is niet voldoende, het gaat er ook om ‘jezelf proberen overbodig te maken’ zoals iemand tijdens een VCO bijeenkomst al eens zo mooi opmerkte. Het streven moet zijn om steeds professioneler te worden en de organisatie de eigen risico’s adequaat te laten beheersen. Onafhankelijkheid van de compliance functie is daarbij een vereiste, waarbij we natuurlijk ook moeten erkennen dat dit niet zomaar is geregeld. Hierbij hoeven we alleen maar te kijken naar het kennisgebrek zoals hiervoor beschreven.
De aanpak
Een dergelijke situatie vraagt om een duidelijke analyse: wat is op dit moment de situatie, wat is een realistisch streven en wat is het plan om daar te komen? Een ambitie in de zin van ‘het bereiken van de volgende volwassenheidsfase’ kan hierbij zeker helpen, mits dan ook duidelijk wordt wat dit dan concreet betekent voor alle betrokkenen. Compliance is immers zeker niet het feestje van de compliance officer alleen, iedereen doet mee. Vandaar dat een dergelijk verbeterplan ook niet in afzondering kan worden geschreven.
Als de compliance officer zich onafhankelijker gaat opstellen (ter verdere verbetering van de governance), dan betekent dat dat anderen meer moeten weten en meer gaan doen dan dat ze in het verleden gewend waren te weten en doen. Dat is vanzelfsprekend even wennen, maar maakt het voor iedereen op de langere termijn waardevol. De business kan volledig de eigen verantwoordelijkheid nemen over zowel commercie, risicobeheersing als efficiency. Er gaat niemand meer half op de stoel van de manager zitten met allerlei afstemmingsproblemen als gevolg. De compliance officer in de tweede lijn ondersteunt het management met deugdelijk advies en houdt toezicht op de effectiviteit van genomen maatregelen. Niet om de business te plagen of klein te houden, maar om juist door deze kritische houding ervoor te zorgen dat de organisatie tegen een stootje kan en steeds beter zelf in staat is om niet alleen actuele, maar ook toekomstige integriteitsrisico’s te beheersen. Een prettig vooruitzicht.
Kun je wel wat ondersteuning gebruiken bij het zetten van de stap naar een volgende volwassenheidsfase? Neem dan eens vrijblijvend contact op met ons. Wij helpen je graag verder.
