Inspiratie

Compliance en Risk Management

Al sinds de definitieve intrede van compliance in het Nederlandse en internationale landschap van ondernemingen die willen voldoen aan wet- en regelgeving en die zich willen gedragen volgens geldende (internationale) normen en waarden, zien we dat de compliance functie wordt ingericht op verschillenden plekken binnen een organisatie. Ik schreef daar al eerder over in mijn column Legal, Ethics & Compliance of Legal & Compliance?”. Dit blijkt een nog altijd veranderend landschap te zijn. Of is het beter om te zeggen: verschillende soorten ondernemingen richten de compliance functies nou eenmaal verschillend in?

Eerder bespraken we dus dat compliance al vrij snel werd geassocieerd met ethics. Niet alleen geldende wet- en regelgeving maar zeker ook internationaal geldende normen en waarden omtrent ethiek en gedrag zijn richtinggevend voor het compliance beleid van een organisatie. Zo spreken veel ondernemingen nu van de functie Ethics & Compliance of zelfs van Business Integrity.

Daarnaast zien we nog veel andere aanduidingen, al naargelang het soort onderneming; corporate compliance, regulatory compliance, governance, privacy compliance, business conduct, etc. Ik denk dat we mogen concluderen dat er geen uniforme benaming is van de afdeling compliance. Maar wat geeft dat? Uiteindelijk gaat het erom dat de onderneming, met de board voorop, nastreeft dat er wordt gehandeld in lijn met (internationaal) geldende wet- en regelgeving en normen en waarden. In één zin gezegd; compliance betekent dat je je gedraagt.

Het is een utopie om te denken dat wij volledig voldoen en dat er geen misstanden voorkomen. Bewust of onbewust zullen regels worden overtreden en lopen ondernemingen risico’s bij hun bedrijfsvoering. Zo zijn daar financiële risico’s, operationele risico’s en compliance risico’s. Om als management te kunnen sturen op compliance, moet je weten wat er speelt, waar risico’s liggen en wat de omvang van deze risico’s is. Een juiste verslaglegging over de risico’s is bovendien niet alleen intern van groot belang, ook naar buiten toe dient de onderneming haar compliance risico’s helder te rapporteren. In een gereguleerde omgeving, bijvoorbeeld, zal een toezichthouder als de AFM een helder en transparant beeld willen hebben van risico’s en de omvang daarvan.

Daar waar ik eerder schreef dat juridische kennis en expertise welkome bagage is van een compliance professional kan juist ook een audit achtergrond een groot goed zijn. Bekendheid met risico analyses, berekening van de omvang daarvan en ervaring met verslaglegging en monitoring middels processen zorgen voor makkelijk schakelen met de CFO of CRO. En zo hebben we weer een andere inrichting van de compliance functie; als onderdeel van Risk. De Head of Compliance kan zelf ook Chief Risk Officer zijn, en bijvoorbeeld rapporteren aan de CFO. En dan functioneel schakelen met bijvoorbeeld de General Counsel voor de meer juridische of regulatory kant van voor de onderneming relevante wet- en regelgeving. Teamleden met een meer juridische achtergrond zouden dit ook kunnen afdekken. In praktijk zien wij deze combinatie van compliance met risk management wel meer bij Angelsaksische organisaties. Zal dat meer navolging gaan vinden in Nederland?