Inspiratie

Hoe gaat jouw onderneming om met de verschillende typen compliance?

Stelsel van maatregelen en procedures

‘De wondere wereld die compliance heet’, we zijn er allemaal inmiddels in ondergedompeld. We zijn eraan gewend geraakt dat compliance een essentieel onderdeel is van de bedrijfsvoering van elke onderneming; gereguleerd, niet-gereguleerd, farma, financiële sector, retail, handel of maakindustrie.

De compliance functie, die bij veel ondernemingen inmiddels is opgezet en vaak al behoorlijk tot ontwikkeling is gekomen, moet worden beschouwd als het stelsel van procedures en maatregelen dat door het bestuur van de onderneming in het leven is geroepen en dat in stand wordt gehouden teneinde compliance- en integriteitsrisico’s te voorkomen en te beheersen. Maar welke risico’s vallen daar allemaal onder? We kennen de geijkte onderwerpen als anti-bribery and corruption, anti money laundering, trade sanctions, export controls, whistleblower-policy, competition law, GDPR, KYC/CDD. Maar waar stopt de verantwoordelijkheid van de compliance functie en de compliance officer? Health & safety, product compliance, quality assurance, IT-compliance, remuneration compliance, zijn dat onderwerpen die ook onder de reikwijdte van de ‘standaard’ compliance functie vallen?

Het antwoord op deze vraag is niet gemakkelijk te geven. Het zou afhankelijk kunnen zijn van een risk based approach. Compliance dient een programma op te stellen waarin de prioriteiten voor een bepaalde periode alsmede een budget worden opgesteld. Compliance kan immers niet alles oppakken.  In samenspraak met het bestuur van de onderneming wordt bepaald welke risico’s binnen deze specifieke onderneming of sector prioriteit moeten krijgen en dus in het programma moeten worden opgenomen. Die typen compliance vallen dan onder verantwoordelijkheid van de compliance functie.

Hierbij kan het standpunt worden ingenomen dat sommige risico’s wel prioriteit krijgen, maar dermate verbonden zijn aan een specifiek product, dat het toezicht op deze risico’s, compliance dus, nadrukkelijk bij de 1ste lijn belegd moet worden. Het is ondoenlijk en onwenselijk dat alles wat maar enigszins onder de noemer compliance kan worden geschaard, automatisch valt onder de compliance functie. Dat zou te zeer alle verantwoordelijkheid verschuiven naar de compliance functie, met alle effecten van dien; zodra een operationeel risico het probleem wordt van compliance, voelt de 1ste lijn geen eigen verantwoordelijkheid meer.

Het lijkt dus voor een goed functionerende compliance functie binnen een onderneming aanbevelingswaardig om periodiek vast te leggen welke onderwerpen wel en welke niet onder de verantwoordelijkheid van de compliance functie vallen. Dit houdt de scope van de compliance functie inzichtelijk en behapbaar en voorkomt dat de compliance functie uitgroeit tot een ongelimiteerde groep compliance officers, waarbij de 1ste lijn zelf stopt met nadenken over compliance- en integriteitsrisico’s.

Hoe gaat jouw onderneming om met deze problematiek?