Hoe we het compliance-monster kunnen temmen

Door prof. dr. Sylvie C. Bleker-van Eyk 

Compliance heeft de laatste decennia in West-Europa haar opmars gemaakt. Maar jammer genoeg heeft het zich in de loop der jaren ontpopt tot een monster dat meer verdeeldheid zaait, dan dat het de organisatie beschermt tegen de gevaren van binnenin en buitenaf. Hieronder zet ik uiteen hoe dit heeft kunnen gebeuren en hoe we dit – met behulp van begrijpelijk taalgebruik en moderne techniek – weer kunnen omdraaien. Zodat compliance weer een beschermer en enabler van de business wordt.

De definitie van compliance

De officiële definitie van compliance luidt als volgt: ‘het in de meest algemene zin bevorderen en handhaven van de wet-[1] en regelgeving alsmede de intern afgesproken normenkaders, gericht op het verwezenlijken van de kerndoelstellingen van de organisatie. Dit ter bescherming van de integriteit van de organisatie evenals de integriteit van haar bestuurders en medewerkers met als doel risico’s te beheersen en de daaruit voortvloeiende schade te voorkomen en de integriteit van mens en organisatie verder te ontplooien’. Maar als je het goed analyseert, ziet compliance toe op ‘gedrag’: hoe moeten mensen zich bij het uitoefenen van hun primaire bezigheden gedragen. De echte definitie van compliance is dus gedrag.

Bovenstaande beschrijving zal veel compliance officers doen glimmen van trots, maar het is juist de nadruk op regelgeving binnen de definitie die weergeeft wat er fout is gegaan bij compliance.

Het monster dat we compliance noemen

Wet- en regelgeving ontstaat door de behoefte om gedrag in te kaderen. Deze behoefte is begrijpelijk en hier valt niets op af te dingen. Er zijn regels en procedures die het bedrijfsproces regelen, zodat de eerste lijn (de business) optimaal haar werk kan uitvoeren. Compliance is rechtstreeks gelieerd aan de uitvoering van taken in het primaire proces. De organisatie is op aarde om een bepaald product, dienst of wat dies meer zij, te leveren. Compliance bevat de wet- en regelgeving en het normenkader die zien op de wijze waarop de taak dient te worden uitgevoerd. De organisatie is immers niet op aard om compliant te zijn. 

Dit lijkt zeer eenvoudig, maar dat is het geenszins. De gewoonte is om het als gevolg van incidenten gevonden ‘lek’ of eventueel de ‘mazen’ in de wet op te vullen met nieuwe wet- en regelgeving. Het beste voorbeeld van deze stelling vinden we bij financiële instellingen. De tijd van ouderwets bankieren (betalingsverkeer, krediet en sparen) ligt ver achter ons. De financiële wereld is gecompliceerd. Door de financiële crisis van 2008 werd de internationale financiële independentie pijnlijk aan het licht gebracht. De bomen rezen tot ver in de hemel en het digitale geld groeide in hetzelfde tempo mee, maar toen het fout ging bezweek het stelsel en was er zelfs bijna sprake van een meltdown. Een direct gevolg was een tsunami van regelgeving op nationaal, Europees en internationaal (denk bijvoorbeeld aan de regels voor banken in de Verenigde Staten) niveau.

Het Amerikaans standpunt is zeer sterk rule based: er is een regel en daar moet men zich aan houden. Al hetgeen de regel niet verbiedt, is toegestaan. Dit houdt in dat bij een ongewenste situatie direct wordt gegrepen naar het middel van aanpassing van de regel. In de jaren 90 van de vorige eeuw kwam West-Europa in aanraking met compliance. Dit was eerst een baantje voor de vrijdagmiddag voor iemand die vlak voor zijn pensionering zat. Door de jaren en de crises heen is compliance bij financiële instellingen een groot opzichzelfstaand orgaan geworden dat in de tweede lijn is gepositioneerd. Dit is een nadeel, want compliant handelen is de verantwoordelijkheid van de business, maar door de compliance taken naar de tweede lijn te verschuiven, draait de eerste lijn vaak te graag de gewetensknop om en laat compliance-beslissingen in de tweede lijn.

Het monster temmen  

Een individueel bedrijf gaat de regelreflex niet doorbreken, maar het kan de regels wel op zo’n manier naar zichzelf vertalen dat het risico op non-compliance een stuk kleiner wordt. Dat vergt een andere manier van kijken naar die regels. Als een bedrijf zich moet aanpassen aan een nieuwe regel of wet, dan moet compliance zichzelf vragen stellen als: wat verwacht de wetgever van ons? Wat is de geest van de wet? De wetgever kent ons proces niet, maar als we kijken naar de geest van de wet, wat past dan wel? Niet de wetteksten, maar de werkvloer moet het uitgangspunt zijn van compliance: hoe verlopen onze processen en hoe vertalen we dat naar regels en voorschriften? De regels geven het kader waarbinnen gewerkt moet worden. Tegenwoordig lijkt de werkvloer meer een incidentenparcours met eindeloos veel zomaar opdoemende juridische pylonen. 

Uit ervaring blijkt dat het met het vertalen naar de werkvloer vaak fout loopt. Compliance officers doen alsof de werkvloer bestaat uit para legals die hun taal begrijpen. Maar daar werken specialisten in het primaire proces, geen juristen. Die nemen kennis van een nieuw voorschrift, begrijpen niet wat er staat en gaan over tot de orde van de dag. Dat is vragen om fouten en ongelukken, waarna er weer nieuwe regels komen. 

De moderne technologie schiet compliance te hulp. Compliance valt of staat met de juiste stappen te zetten in het bedrijfsproces. Moderne technologie stelt ons in staat om de compliance-vereisten aan de processen te knopen. Bijvoorbeeld: bij het opvoeren van een (potentiële) klant draait het systeem geautomatiseerd het klantacceptatieproces; bij het uitvoeren van transacties komen rode vlaggen naar boven indien een dergelijke transactie verdacht is of soortgelijke transacties zich normaal niet bij deze klant voordoen. We denken te zeer in termen van oude legacy-systemen. Die zijn ook nog bruikbaar, maar er is zoveel meer mogelijk. We kunnen koppelen en gebruikmaken van data en zelfs kunstmatige intelligentie. We kunnen nu een stap zetten naar een vorm van modern compliance-management: risk based & technology driven. Alleen dan wordt compliance user friendly and stupid proof!

Prof. dr. Sylvie C. Bleker-van Eyk is hoogleraar Compliance & Integriteit Management aan de VU en senior director Forensic Services bij PwC.

[1]  Europese/internationale/ buitenlandse (bijvoorbeeld VS)/nationale wet- en regelgeving.