Peter Westdijk
Vorige week heb ik de themamiddag “De drie lijnen in de praktijk” bijgewoond, die door collega Eric Schuiling werd verzorgd. Veel van de specifieke vragen van deelnemers kwamen voort uit het verschil tussen theorie en praktijk. We weten allemaal dat de compliance officer onafhankelijk moet zijn, maar er zijn altijd wel redenen om hem/haar toch in de eerste lijn in te zetten en zo maximaal de kennis te benutten. Ook tijdens een recente eerste lesdag van de Leergang Compliance Professional (LCP) kwam dit onderwerp weer ter sprake: het is echt ‘een ding’!
Het is echt ‘een ding’!
Ik heb zelf al eerder betoogd dat het goed is om je onafhankelijke rol goed te bewaken. Dit issue blijft de kop opsteken. Wat is daar toch aan de hand? En wat kunnen we als compliance officer hieraan doen, met behoud van de waarborgen van het drielijnen model?
Root cause analysis
Ook al doet de koptekst anders vermoeden: ik weet ook niet precies waarom we zoveel moeite hebben om onze plek te vinden en onze rol te spelen. Elke situatie is natuurlijk ook weer anders. Ik denk wel dat het eerder de vraag is of we wel de goede dingen doen, in plaats van de vraag of we de dingen goed doen. Wat ik bedoel te zeggen is dat we het doel van een beheerste en integere bedrijfsvoering goed voor ogen moeten houden. Dat is wat we willen (en oh ja, en deze eis staat ook in de wet…). De nadruk ligt in mijn optiek dan ook meer op compliant zijn dan op een compliance officer hebben. In de deelnemersgroep van de recent gestarte LCP zijn twee deelnemers die de rol van compliance officer in de eerste lijn gaan krijgen. Dat gaf wat rumoer in de groep, want dat was voor velen een nieuw concept: als je in de eerste lijn zit ben je niet onafhankelijk! Maar ik vind het eigenlijk wel een hele gave invulling van de goede dingen doen in het kader van beheerste en integere bedrijfsvoering! Want het gaat erom dat je als organisatie conform wet- en regelgeving leeft en werkt. En het werk gebeurt in de eerste lijn, dus is het eigenlijk misschien wel heel logisch om daar (ook) compliance kennis neer te zetten! Mijn collega Ruud van der Mast heeft in 2018 hier ook al een artikel over geschreven in ons magazine De Compliance Officer (pagina 28).
Want een veel gehoord signaal is dat de eerste lijn ‘onvoldoende kennis heeft van compliance-gerelateerde onderwerpen’ zoals wet- en regelgeving en integriteitsrisicobeheersing. Als compliance officer kun je volgens het drielijnenmodel vanuit de tweede lijn “… aanvullende expertise…” bieden, maar wat is er op tegen als compliance kennis integraal onderdeel wordt van de eerste lijn? In bredere zin kan die vraag worden gesteld over risicobeheersing in het algemeen; ook daar is het versterken van de kennis binnen de eerste lijn een manier om de risicobeheersing te verbeteren.
Zo kan het ook…
Een klein uitstapje naar het onderwerp privacy en de AVG leert dat ook daar de verdeling tussen eerste en tweede lijn een aandachtspunt is. De rol van de Functionaris Gegevensbescherming, de FG, heeft het karakter van toezicht en advies, vergelijkbaar met de rol van compliance officer. Duidelijk tweede lijn. Maar om zaken te regelen, te implementeren en uit te voeren, hebben veel organisaties in de eerste lijn een PO, een privacy officer, aangesteld. Onderdeel van de eerste lijn, met een signalerende en adviserende taak, maar ook operationeel ondersteunend en uitvoerend. De PO is de privacy-specialist in de eerste lijn, die niet wordt belemmerd door onafhankelijkheidsvereisten.
We hebben vanuit onze adviespraktijk reeds enkele klanten mogen begeleiden met deze werkwijze, gericht op privacy en integriteitsrisicomanagement (SIRA) in het bijzonder. En dat werkt uiteindelijk prima: de eerste lijn is op niveau voor een integere en beheerste bedrijfsvoering (op dit aspect uiteraard…). En de tweede lijn kan vanuit die belangrijke onafhankelijkheid haar rol vervullen.
Mogelijk is dit een alternatieve of aanvullende manier om het ‘compliant zijn’ van de organisatie/instelling te vergroten. In de eerste lijn vinden we compliance-minded medewerkers die de business helpen om op de gewenste of wettelijk vereiste manier te werken. Daarmee is de compliance professional onderdeel van de PDCA-beheersingscyclus.
Weer een functie?
Bij de klanten die wij hebben begeleid werden de medewerkers geen fulltime privacy officer of riskmanager, maar verdeelden zij hun tijd over operationele taken en privacy/risk taken. Dit kan een eerste aanzet zijn voor de versterking van compliance kennis in de eerste lijn. Afhankelijk van omvang en context kan natuurlijk ook een fulltime functie hiervoor worden ingericht.
Tone at the top speelt ook hier een essentiële rol: als de leidinggevende integere bedrijfsvoering belangrijk vindt en dat ook uitstraalt, zullen medewerkers zich eerder of makkelijker aanmelden voor een dergelijke rol of dubbelfunctie. Training van de mensen kan op veel verschillende manieren plaatsvinden:
Het sociale aspect is in een dergelijke context extra belangrijk: de compliance professional werkt dagelijks samen met zijn collega’s in de eerste lijn. Dat geeft wellicht een grotere acceptatie dan bij een advies vanuit de tweede lijn. Een kritische observatie kan de werksfeer negatief beïnvloeden. De eerstelijns compliance professional kan zich niet terugtrekken in zijn ‘ivoren toren’ in de tweede lijn en ziet zijn collega’s dagelijks.
En nu?
In veel situaties is het vergroten van compliance kennis in de eerste lijn een must, want ‘daar gebeurt het’. Een (al dan niet parttime) compliance professional in de eerste lijn is een heel goede invulling, omdat die, veel meer dan de tweedelijns compliance officer, tussen de mensen staat en dagelijks aanwezig is. Je ziet en hoort dan meer en ik denk dat aanbevelingen makkelijker worden geaccepteerd. Bijkomend voordeel is dat de compliance officer zich beter op zijn tweedelijns functie kan richten en vanuit een onafhankelijke positie kan opereren.
Hoe werkt jouw organisatie aan het versterken van de eerste lijn? Ik hoor graag tips: die delen we graag met de rest van ons netwerk!
