Toenemende regelgeving en de uitwerking daarvan op de toeleveringsketen, voor zowel opdrachtgevers als opdrachtnemers.
DORA, NIS2 en de impact van de CSRD; er komt steeds meer wet- en regelgeving op een veel verschillende onderwerpen. Hoe ga je daar binnen de eigen organisatie mee om, maar ook: hoe reflecteert dat op de toeleveringsketen? We behandelen dit onderwerp met Mariëlle van de Weijenberg, Managing Director Aon Professional Services en Roger Fanchamps, Directeur Risk & Compliance bij MN.
Omgaan met regelgeving
Fanchamps trapt af: “Ik herinner me de introductie van de AVG (Algemene Verordening Gegevensbescherming) destijds. Er werd al snel verondersteld dat niets meer mocht. Gelukkig liet niet iedereen zich gek maken en bleek de praktijk genuanceerder. Er ontstond ruimte voor discussie over het ‘gerechtvaardigd belang’, een relevant begrip in de AVG-wetgeving. Compliant zijn is belangrijk, maar de business moet ook door kunnen blijven gaan. Dat geldt voor de gehele keten: zowel de opdrachtgever als óók de opdrachtnemer. Met betrekking tot de implementatie van nieuwe regelgeving zijn vanuit dat perspectief twee punten van belang. Ten eerste: zorg dat je beleid daadwerkelijk werkt voor je organisatie. Op het moment dat een wet letterlijk geïnterpreteerd en gekopieerd en geplakt wordt in beleid, zet je jezelf vast. Het is zaak het landschap waarin je opereert te schetsen en de wetgeving daar een plaats in te geven. Hierin zit ook de koppeling naar het tweede punt: ken je eigen plek in de keten én de plek van je partners. Het is belangrijk om te realiseren dat je in de toeleveringsketen werkt op verschillende niveaus. Hierdoor verschillen ook de risico’s. Jouw risico is niet het risico van je klant. De manier waarop je dat risico beheerst hoeft dus ook niet overeen te komen.”
Business en beleid
“Het is een gegeven dat toenemende regelgeving en de brede impact van richtlijnen zoals de CSRD de business beïnvloedt”, stelt Van de Weijenberg. “Voorheen was het binnen de juridische dienstverlening het belangrijkste om de allerbeste jurist te zijn en het allerbeste advies te leveren. Vandaag de dag betekent het echter ook dat je zorg draagt voor de bescherming van je cliënten en je medewerkers. Bijvoorbeeld tegen cyberattacks, oneigelijk gebruik van data, burn-outs, enzovoorts. Het is essentieel om daar keuzes in te maken omdat je niet aan alles kunt voldoen. Stel je bent advocaat met een praktijk gericht op de zorg, dan kun je je afvragen of wet- en regelgeving rondom een thema als witwassen belangrijk is. Privacy is in dat geval veel belangrijker. Als er zorgvuldige afwegingen worden gemaakt en bijbehorende zaken zijn op orde, dan kan dat zelfs een commercieel voordeel opleveren.
En zoals Roger ook al aangaf: het moet wel werkbaar blijven. Ook in de keten. Het is onwenselijk om iedere verplichting bij iedere afzonderlijke leverancier door te voeren. Ook daarin zijn keuzes te maken. Op het moment dat een gemiddelde jurist de Wwft gegeven wordt en gevraagd wordt om beleid te maken, dan kun je een uitermate verfijnd beleid met daarin alle uitzonderingen verwerkt terugverwachten. Dat is juridisch gezien fantastisch, maar in de praktijk onuitvoerbaar. Maak bij het opstellen van beleid gezonde, praktische keuzes en leef die dan ook na binnen de organisatie met behulp van een plan en planning. De toezichthouder ziet dat ook graag. Het hebben van geen beleid is namelijk nog erger dan beleid hebben wat niet wordt nagekomen.”
Eerste en tweede lijn
De omgang met en implementatie van wet- en regelgeving verschilt dus per organisatie en is afhankelijk van context. Daarnaast ziet Van de Weijenberg dat de houding ten opzichte compliance (officers) verandert. Compliance specialisten werden voorheen weggezet als hindernissen op weg naar commerciële resultaten. Die tijd is wel voorbij. Steeds vaker wordt er samen op constructieve wijze gekeken naar een manier van business-voering die geen zorgen met zich meebrengt. De eerste lijn begrijpt inmiddels dat dat handig is. Langzaam aan worden onderwerpen als cybercriminaliteit, witwassen en privacy volwassen onderdelen van de bedrijfsvoering.
Fanchamps concludeert wel dat de business zich nog wel eens verschuilt achter de compliance officer. Dat is niet terecht: compliance monitort, maar de business moet begrijpen hoe de risico’s in elkaar steken. Uiteindelijk hoort de alertheid in de eerste lijn zitten. Wat hem betreft moet je daarom als risk- en/of compliance manager op gegeven moment helder zijn over waar de verantwoordelijkheid ligt. Een compliance professional kan meedenken en helpen met oplossingen, maar is uiteindelijk de interne toezichthouder. Dit betekent dat de risicoafweging bij de business ligt. Als compliance professional zoek je naar mensen die dit begrijpen en omarmen. Op het moment dat de heersende instelling is dat alle compliance-ellende alleen van compliance is, dan ga je het gevecht niet winnen. Een voorwaarde hierbij is de juiste ‘tone at the top’. Je kunt een organisatie op dit gebied niet van onderaf veranderen.
Simpel advies
Wat is het belangrijkste advies voor dit moment? Mariëlle: “Bepaal als organisatie je strategie voor de komende twee à drie jaar. Pas je risk/compliance beleid daarop aan en maak keuzes. Laat bepaalde onderwerpen achterwege: je beleid moet je strategie stutten. Maak het daarnaast niet te ingewikkeld, neem een besluit en ga ervoor!”
Roger: “Zorg voor een (verbeter)plan om te laten zien dat je het onder controle hebt. Schets je landschap: wie zijn we, wat doen we, wat doen we niet. Incorporeer dat in je beleid, dat helpt ook met het aanbrengen van focus. Leg vast wat je plan is, want als je het niet kan aantonen, dan bestaat het niet en ga je nat bij de toezichthouder. Pak het stapsgewijs aan. Ga eerst voor een 6, daarna voor verbetering, maar stop bij de 8. Want als je voor de 10 gaat, raakt de verhouding zoek en maak je het voor jezelf heel ingewikkeld.”