Wat is de scope van compliance?

Afbeelding Wat is de scope van compliance?

Vincent Weidenaar

Een vraag waar veel compliance officers en complianceafdelingen mee worstelen is: “wat valt er eigenlijk allemaal onder compliance binnen mijn organisatie en is dat ook wenselijk?” Want hoe bepaal je de reikwijdte van de compliancefunctie?1, 2  Een vraag die ook relevant is voor bedrijven die overwegen om een compliancefunctie in te richten, maar die dat nu nog niet hebben.

Verschillende invalshoeken

Hoe bepaal je de reikwijdte van de compliancefunctie? Je kunt dit op verschillende manieren benaderen. Vaak wordt gestart bij de toepasselijke wet en regelgeving. Aan welke regels moet de organisatie minimaal voldoen om geen boetes te krijgen van bijvoorbeeld toezichthouders? Te denken valt aan de Wwft en de Avg, maar dat kunnen ook branchespecifieke regels zijn op het gebied van productkwaliteitsvereisten.

Een andere invalshoek is door te kijken vanuit de risico’s die de organisatie signaleert en wil beheersen. Bijvoorbeeld het risico op reputatieschade door integriteitskwesties of datalekken. Of het uitbestedingsrisico. Op grond van een risicoanalyse wordt dan de focus van het compliancesysteem bepaald.

Een derde veel gebruikte aanpak is een indeling op basis van de verschillende integriteitsthema’s:

  • klant-ketenintegriteit: denk aan zorgplicht, productontwikkeling, relation en customer due diligence, anti-corruptie, sanctiewetgeving;
  • medewerkersintegriteit: denk aan psychosociale arbeidsbelasting, integer handelen, belangenverstrengeling, corruptie en deskundigheid van medewerkers;
  • organisatie-integriteit: denk aan governance, Systematische Integriteitsrisicoanalyse (SIRA) en gedrag en cultuur;
  • marktintegriteit: denk aan marktmisbruik, mededinging en uitbesteding;
  • data-integriteit: denk aan privacy, data security.

In de praktijk worden elementen van alle drie methoden vaak gecombineerd gebruikt.

Aanleiding en context

De aanleiding om een compliancefunctie in te richten of te versterken is vaak van invloed op de reikwijdte ervan. Immers, als een boete van een overheidsinstantie de aanleiding is, zal het inrichten van de compliancefunctie in eerste instantie vooral gericht zijn op het voorkomen van een gelijksoortige boete in de toekomst. Dat zou kunnen leiden tot een beperkte scope van de compliancefunctie. Als een schandaal in de pers de aanleiding is, zou de scope al breder kunnen zijn. Immers om herhaling van reputatieschade te voorkomen zul je een breed scala van mogelijke risico’s willen beheersen, van integriteit tot ESG, van privacy tot cybersecurity.

Behalve de aanleiding, zo die er is, is het voor een compliance officer ook van belang om te begrijpen hoe het bestuur van de organisatie het doel en de reikwijdte van de compliancefunctie ziet. Verder is natuurlijk van belang welke afdelingen binnen de organisatie zich nog meer bezighouden (of kunnen houden) met compliance en risk thema’s.

Starten vanuit de organisatiedoelstellingen

Met deze ingrediënten in de hand, kun je bepalen waar je staat en of je het eens bent met de huidige scope. Indien je binnen je organisatie de discussie op gang wilt brengen over een andere reikwijdte van de compliance functie, of “from scratch” een compliancefunctie wilt inrichten, zou het goed zijn om te starten bij de doelstellingen van de organisatie. Waartoe is de organisatie op aard? Wat zijn de missie, visie en kernwaarden van de organisatie? Hoe integer wil de organisatie zijn? Wat is de risk-apetite van de organisatie?

Als dit inzichtelijk is kun je op deze organisatiedoelstellingen (waaraan willen we voldoen?) de juridische verplichtingen leggen (waaraan moeten we voldoen?). Als derde stap kijk je risicogebaseerd op welke risico’s je in alle realiteit de focus gaat leggen, mede gezien de omvang van de organisatie (waaraan kunnen we voldoen?).

Hieruit volgt welke compliance thema’s er allemaal binnen de organisatie opgepakt gaan worden. Bij de ene organisatie zal het thema ESG bijvoorbeeld relevanter zijn dan bij de andere. Hetzelfde geldt voor de beheersing van cyber risico’s.

Wie doet wat?

De volgende vraag is welke afdeling welk compliance thema gaat oppakken. We zien dat thema’s als privacy, informatiebeveiliging en ESG bij grotere organisaties meestal door gespecialiseerde afdelingen worden uitgevoerd, maar bij kleinere organisaties binnen de scope van de compliance afdeling vallen. Organisatiedynamiek en historie spelen hier ook een rol. Als er nieuwe thema’s opkomen en binnen een organisatie gealloceerd moeten worden, is het logisch om dit neer te leggen bij een afdeling die inhoudelijke kennis heeft van het onderwerp. Maar als de manager van die afdeling worstelt met capaciteitsproblemen, zal hij/zij toch proberen om deze taak niet toebedeeld te krijgen en komt het mogelijk op het bordje van de compliance afdeling terecht. Uiteindelijk is vooral van belang dat een onderwerp wordt opgepakt door een afdeling met voldoende capaciteit en kennis in huis om de klus te klaren en dat er een onafhankelijke tweedelijnsrol is ingericht voor elk compliance thema.

Wil je meer weten over de vraag hoe je de reikwijdte van de compliancefunctie kunt bepalen? Kom dan naar de workshop van Loek Moerman en Nicole Verheij op het Nationaal Compliance Congres op 12 december a.s.