Hoe kijken compliance officers aan tegen de rol van de toezichthouder?
Recent is een onderzoek onder compliance officers afgerond en gepubliceerd door de Vereniging van Compliance Officers (VCO) waarin deze vraag centraal stond. Carolien Merkens, manager Compliance & Risk, lid van de Kennistafel Gedrag & Cultuur van de VCO, vertelt tijdens een online kennissessie van Goedemorgen Commissaris over dit onderzoek en de achtergrond daarvan.
Vooraf
De Kennistafel Gedrag en Cultuur van de VCO is al vijf jaar bezig met het ontwikkelen van tools voor Compliance Officers waarmee zij het bestuur en management kunnen ondersteunen op het gebied van gedrag en cultuur. Het gaat dan bijvoorbeeld om zaken als Hoe voer ik een ‘speak-up’ procedure in? en Hoe leren wij van gemaakte fouten? De VCO signaleerde dat -hoewel er op dit gebied zeker een rol is weggelegd voor de RvC- er geen tools zijn ontwikkeld voor de Commissaris en de rol die hij/zij kan spelen, individueel of met de hele RvC. Dit was aanleiding tot het onderzoek waarin is onderzocht hoe Compliance Officers tegenover de RvC staan.
Definitie compliance
De VCO definieert compliance als volgt: Compliance is het versterken van de integriteit van de organisatie om daarmee bij te dragen aan duurzame waardecreatie door de organisatie. De Compliance functie heeft twee kerntaken:
- Het toezien op de naleving van interne en externe normen.
- Het bevorderen van een integriteitsbewuste bedrijfscultuur.
Samengevat gaat compliance over gedrag. De ongeschreven definitie is Het goede doen; ook als niemand kijkt. Dat geldt zowel richting klanten en leveranciers als voor medewerkers onderling.
Wettelijk kader
De compliance functie is wettelijk georganiseerd middels de Corporate Governance Code. Hierin zijn principes geformuleerd die zien op risicobeheersing (risicobeoordeling, implementatie en monitoring werking), verantwoording in het bestuursverslag en er wordt bepaald dat de RvC toezicht houdt op de wijze waarop het bestuur de strategie voor de lange termijn waardecreatie uitvoert en regelmatig de strategie en de voornaamste daarmee samenhangende risico’s bespreekt. De financiële sector is sterker gereguleerd dan de niet-financiële sector.
Uitkomsten van het onderzoek
Aan het onderzoek van de beleving van compliance officers naar de relatie met toezichthouders hebben zo’n 100 compliance officers meegewerkt. Van de respondenten is zo’n 50% actief in de financiële sector. Er werd onder andere gevraagd naar hun mening over en ervaring met het uitgangspunt dat leden van de RvC voldoende behoren te worden geïnformeerd over relevante (niet-financiële) risico’s en ontwikkelingen. Eveneens werd het uitgangspunt getoetst dat leden van de RvC over voldoende specifieke kennis en inzicht dienen te beschikken om de (gesignaleerde) risico’s te begrijpen. De meerderheid van de respondenten gaf aan rechtstreeks in contact te staan met de RvC. Het aantal respondenten was hierbij in de financiële sector iets hoger dan in de niet-financiële sector. Vrijwel unaniem wordt aangegeven dat de respondenten direct contact absoluut wenselijk vinden en een directe relatie met de RvC van groot belang achten. Qua frequentie van het contact, gaf 5% aan dat zij meer dan 2x per jaar contact hebben. Ook hier is een verschil gesignaleerd tussen de financiële en niet-financiële sector. Bij de laatste vindt het contact vaker plaats buiten aanwezigheid van het bestuur. Ook de kwaliteit van de communicatie is onderzocht. Ca. 60% van de respondenten vindt dat er door de toezichthouders de juiste vragen worden gesteld. (Zie kader voor de mooiste vragen, die zijn doorgegeven door de respondenten.)
Overall kan worden geconcludeerd, dat uit het onderzoek blijkt dat de compliance officers overwegend positief staan tegenover de rol van de toezichthouders en graag directere lijnen zouden leggen.
[Tekst gaat verder onder afbeelding]
Bron: Vereniging van Compliance Officers
Reflectie vanuit ervaring van toezichthouder
In haar reflectie op dit verhaal deelt Carin Gorter, governance professional en meervoudig commissaris, dat zij -vanuit haar ervaring als commissaris- haar verwachtingen van de compliance functie toetst over 4 assen:
-beleid: welke harde en zachte normen worden gesteld? Welke cultuur wil je bereiken?
-training: wat doe je eraan om die te implementeren? Hoe zorg je dat je je mensen meekrijgt?
-advies: hoe geeft de compliance functie inhoud aan de adviserende rol richting het bestuur?
-monitoring: hoe controleer je of het beleid wordt gevolgd en wat doe je als dat niet zo is?
De antwoorden op deze vragen komen samen in de informatievoorziening. In de financiële sector is de verslaglegging goed uitgewerkt middels wet- en regelgeving. Daarbuiten is het vrijer, maar het rapportageproces wordt altijd op een manier ingevuld. Ook belangrijk in het kader van de informatievoorziening is dat er gebouwd wordt aan een directe lijn tussen compliance officers en de RvC. Carin raadt aan in deze relatie te investeren als het ‘mooi weer’ is, zodat áls er sprake is van een incident, de drempel voor de compliance officer laag is om te de RvC erbij te betrekken.
Waar hoort de compliance functie thuis?
Er bestaat volgens Carin geen ideale plek om de compliance functie binnen de organisatie onder te brengen. De risico inventarisatie van de organisatie is bepalend voor welk model wordt gekozen: compliance als onderdeel van legal, als onderdeel van risk management, separaat of zelfs extern. Als maar voor alle partijen duidelijk is waar het is ondergebracht en als de compliance officers maar voldoende spreektijd krijgen, zodat ze zichtbaar zijn en daardoor worden gefaciliteerd om de gewenste impact te bereiken.
De rol van de compliance officer is kwetsbaar en behoeft ondersteuning, anders wordt het bijvoorbeeld heel moeilijk om ook zachte signalen te duiden. Het moet veilig zijn om te spreken. De keerzijde van die medaille is, dat de functie ook machtig is. Zo kan de compliance functie bijvoorbeeld ook misstanden in het bestuur aan de kaak stellen.
Advies aan toezichthouders van de VCO
-Beeld: zorg dat je een beeld hebt van niet-financiële risico’s;
-Partnership: ga een partnership aan met de non-financiële risico-mitigerende functies binnen de organisatie. Zorg dat je regelmatig in gesprek bent en er geen drempel is om jou te informeren;
-Synergie en afstemming: een integere cultuur is pas te realiseren als er voldoende synergie en afstemming is tussen Governance, Risk, Compliance, MVO;
-Challenge bestuur: challenge bestuur op integriteit/voorbeeldgedrag/tegenspraak: vraag actief wat daaraan gedaan wordt.
NB Carolien Merkens heeft de survey openbaar gemaakt via haar LinkedIn profiel. Klik hier, zodat je hem zelf kunt lezen.