
Door de snel veranderende technologie, financiële crises uit het verleden en de opkomst van nieuwe media is er steeds meer aandacht voor risicomanagement en gedragsregels. Maar wat houden de containerbegrippen risk & compliance nu precies in?
Wat is compliance?
“Compliance betekent dat je je gedraagt. Het gaat om gedrag. Dat is alles“, zegt Sylvie Bleker-van Eyk, hoogleraar aan de postdoctorale opleiding Compliance en Integriteit Management aan de Vrije Universiteit Amsterdam en directeur Risk Advisory bij Deloitte Nederland. Het is de definitie van compliance in begrijpelijke taal. Wie bijvoorbeeld Wikipedia raadpleegt, vindt er een iets formelere formulering: ‘Compliance is het begrip waarmee wordt aangeduid dat een persoon of organisatie werkt in overeenstemming met de geldende wet- en regelgeving. Het gaat over het nakomen van normen of het zich er naar schikken.’

Compliance onlosmakelijk gekoppeld aan integriteit
Omdat compliance om gedrag gaat, is compliance ook onlosmakelijk gekoppeld aan het begrip integriteit. Een begrip waar volgens Bleker-Van Eyk een bijsmaak aan zit. “Het is helaas uitgesleten tot een politiek beladen term, tot een smaadwoord waar een bedreiging van uitgaat voor de reputatie van iemand wiens integriteit in twijfel wordt getrokken. Persoonlijke integriteit staat in dit geval gelijk aan ongrijpbaar. Het gezegde luidt dan ook: ‘Niets is veranderlijker dan de mens.’”
Wat is integriteit?
Integriteitsschendingen halen vrijwel dagelijks de media. Of het nu artsen betreft, wetenschappers, sporters, bankiers of juristen: overtredingen van integriteit worden breed uit gemeten. “Juist omdat integriteit zo vaag is, is het gemakkelijk iemand te beschuldigen van een schending,” zegt topadvocaat Jonathan Soeharno. Maar wat is integriteit nu eigenlijk? De advocaat en hoogleraar helpt een handje. “Integriteit gaat in de eerste plaats over vertrouwen in iets dat eigenlijk boven elke twijfel verheven moet blijven. Wat dat iets precies is, is voor elke beroepsgroep anders. Zo mogen artsen gezondheid niet in de waagschaal leggen, wetenschappers controleerbaarheid niet en rechters onpartijdigheid niet. En ga zo maar door.”
Hoe wordt er met compliance omgegaan?

Journalist Jeroen Smit stelt dat bestuurders en accountants twee kanten op kunnen als het op compliance aankomt. “Eén is wat Joris Luyendijk signaleert. ‘Met die mensen in die financiële wereld is niets mis, maar ze zitten in een systeem.’ Die mensen zeggen: ik kan er niets aan doen. Ik vind het systeem ook stom, maar ik moet geld verdienen en voor mijn kinderen zorgen en mijn hypotheek betalen. Dan groeit er dus een gat tussen wat je persoonlijk vindt en wat je professioneel doet. Wat je professioneel doet, kun je niet of nauwelijks meer aan je kinderen uitleggen. Die moeten immers met de gevolgen dealen. Optie twee is verantwoordelijkheid nemen, ook voor de toekomst van jouw kinderen. Dat is niet meteen radicaal ontslag nemen, maar nadenken welke grondslagen jij wilt voor je professionele carrière en die aansluiten op jouw uitgangspunten als mens.”
Hoe kun je integriteit trainen?
Smit gelooft niet in mensen die zeggen, ik ben integer en hoef daar verder niet meer mee bezig zijn. “Integriteit moet je oefenen, elke dag. Door je bewust te zijn van alles wat je doet en welke gevolgen dat kan hebben. Daarvoor moet je als CFO zelf checks and balances inbouwen, zowel binnen de organisatie als privé. Vraag de raad van commissarissen gerust om te praten met mensen van je ondergeschikten en zeg daarbij: ik hoef niet te weten wie wat gezegd heeft”, vervolgt Smit. “Neem tijd voor reflectie, wandel met de hond, liefst elke dag. Zoek oude vrienden op, die niet bang zijn om de waarheid te zeggen. Luister naar je partner of je kinderen. Vooral als ze roepen: doe ‘s normáál! Waar ben je eigenlijk mee bezig?”
CFO’s zijn spreadsheet gebonden

Financials, of dat nu CFO’s, controllers of accountants zijn, hebben het daar moeilijk mee, stelt Smit. “Ze zijn spreadsheetgebonden. Vinden dit eng. Te zweverig. Terwijl hun financiële handwerk meer en meer geautomatiseerd wordt en zij dus veel meer aan de kant van het vertrouwen van het maatschappelijk verkeer en het veilig voelen bij de bedrijfsvoering moeten zitten. Daar hoort psychologie bij.”
Risico’s zij onderdeel van strategie van een bedrijf
Bij compliance hoort risk, oftewel risico. Maar wat wordt er in deze context onder risico verstaan? Risico-expert Martin van Staveren legt uit: “Risico’s maken deel uit van de strategie van een onderneming of instelling. Ze nemen een centrale plaats in het besluitvormingsproces in, of zouden dat toch moeten doen. Vandaar dat dit laatste begrip zo cruciaal is. Het maakt risk management doelgericht, wat voor velen een even prettige als verrassende vaststelling is.” En dan de classificatie. Hiervoor grijpt Van Staveren graag terug naar de pragmatische benadering van Robert Kaplan en Anette Mikes. Zij groeperen het amalgaam van alle mogelijke risico’s in drie categorieën:
Drie categorieën van alle mogelijke risico’s
1. Externe risico’s
Van Staveren: “Een eerste groep zijn de externe risico’s, ze ontstaan in de buitenwereld en je hebt er als organisatie volstrekt geen greep op. Dit betekent natuurlijk niet dat je niets kan doen – anticipatief en curatief – maar de activiteiten die je ontplooit staan los van het al dan niet optreden van dit type risico.”
2. Strategische risico’s
“De tweede groep omschrijven ze als de strategische risico’s: je loopt ze omdat je bepaalde strategische beslissingen neemt. Beslis je zaken te doen in een exotisch land met een wat kwalijke reputatie dan dreigt het wel eens mis te gaan. Anderzijds kan dat financieel wel aantrekkelijk zijn. Maar het besluit om die stap te zetten zorgt ervoor dat je de eigen organisatie blootstelt aan bijvoorbeeld reputatie-risico’s.”
3. Operationele risico’s
“En dan is er nog de derde categorie: de operationele risico’s. Hier is de band tussen eigen activiteiten en de risico’s erg direct. Het systematisch onderhouden van een bepaalde productielijn is hiervan een typevoorbeeld. Het uitwerken van een gedegen kwaliteitsmanagement is dan ook de aangewezen manier om aan risicobeheer te doen.”
Effectief en verantwoord besturen
Bij organisaties wordt vaak het gesprek gevoerd over hoe risk & compliance vorm te geven binnen het bedrijf. Daarbij helpt een goede organisatiestructuur oftewel governance. Maar wat is dat precies? Volgens De Nederlandsche Bank verwijst het begrip
naar het systeem waarmee een organisatie wordt bestuurd: de structuren, verdeling van taken en bevoegdheden, de strategie, het beleid en processen en interne controle functies.’
Breder geformuleerd duidt corporate governance op het effectief en verantwoord besturen van en toezicht houden op een onderneming. Het omvat ook de interne beheersing en de relatie met de belangrijkste belanghebbenden bij de onderneming, zoals aandeelhouders, werknemers, leveranciers, klanten, belangengroepen, kapitaalverschaffers, de overheid en de maatschappij als geheel. In Nederland zijn de belangrijkste bepalingen op het gebied van corporate governance in de Nederlandse Corporate Governance Code opgetekend.
Groot verschil tussen theorie en praktijk

Maar ondanks het feit dat steeds meer ondernemingen actieg werk maken van governance, zit er volgens Bob Hoogenboom, hoogleraar Forensic Business Studies aan Nyenrode Business Universiteit, nog een groot verschil tussen theorie en praktijk. Hij stelt governanace voor als een vervallen gebouw. Als oplossing om dat vervallen gebouw van governance weer op te bouwen, noemt hij het ontwikkelen van een speak up culture. Hoogenboom: “Dat je met elkaar binnen een onderneming, maar ook met toezichthouders, de samenleving en stakeholders in gesprek bent over waar je mee bezig bent, hoe je het doet en waarom je het doet. En dat je bezig bent om dingen te verbeteren. Dus dat je openheid en transparantie betracht. Als je veel meer met alle betrokken partijen spreekt over dit soort dingen, dan ontstaat dat vanzelf. Vaak is het nu geritualiseerd. Dan speel je een toneelstuk. Het valt of staat bij gesprekken waarin ook kritische vragen gesteld worden. Zo zou het 24/7 moeten zijn. De theorie die erachter zit, is dat er geleidelijk aan meer zelfkritiek ontstaat. En dat leidt tot meer verbeteringen.”
Elk bedrijf loopt risico om in een bedrijfsschandaal te belanden
Compliance is niet alleen sec het voldoen aan wet- en regelgeving. Het is veel meer dan dat. Of tenminste, dat zou het voor organisaties moeten zijn. Waarbij regels en wetten uiteindelijk niet alleen werken, stelt ook fraudeonderzoeker José Hernandez. Elke organisatie loopt volgens hem het risico in een bedrijfsschandaal te belanden. Vraag maar aan Enron, Lehman Brothers en Volkswagen of recenter Rabobank, Shell of ING. Die mogelijkheid ontkennen is al een risico op zich, stelt Hernandez. Met die boodschap trok hij wereldwijd televisie-aandacht. Zo was hij onder andere te zien bij CNBC en CNN. “Je moet je als CFO continu beseffen dat goede mensen, slechte dingen doen. Zodanig dat het geen kwestie is van je afvragen of je in een compromitteerde situatie komt, maar wanneer. Dan is het dus meer de vraag hoe snel je de situatie kunt ontdekken en hoe je deze zo snel mogelijk het hoofd kunt bieden.”

Beïnvloeden bedrijfscultuur om integer handelen te stimuleren
Het voorkomen van dergelijke schandalen vraagt ook om het beïnvloeden van de bedrijfscultuur. Daar is in de corporate governance code van de commissie Van Manen ook volop aandacht voor. Van bestuurders en commissarissen wordt verwacht dat zij een cultuur creëren die het gewenste gedrag en integer handelen binnen de onderneming stimuleert. Het onderwerp moet ook nog eens onderdeel van gesprek zijn tussen RvB, RvC en de accountant. De code uit 2016 vraagt eveneens van bestuurders en commissarissen een visie op lange termijn waardecreatie te formuleren en te implementeren. Hernandez vindt het goed dat de code expliciet de cultuurcomponent benoemt. ‘Daarmee wordt aandacht voor dat punt concreet afgedwongen. Dat is een eerste stap. Je moet wel uitkijken dat dat geen afvinken van een lijstje wordt, maar er ook daadwerkelijk acties volgen die in mijn boek heb omschreven.’
Gestructureerde aanpak om risico’s te verminderen
Tot slot willen we u het advies van prof. dr. Leen Paape, dean van Nyenrode en lid van het college van bestuur, over het omgaan met risico’s niet onthouden. “Vraag mensen in de organisatie welke risico’s zij zien en je krijgt een veelheid aan mogelijke risico’s te horen. Het is daarom belangrijk dat dit top-down gebeurt. Als je als organisatie je doel weet, dan kun je ook bedenken welke zaken het bereiken van dat doel zullen helpen of hinderen. Met een gestructureerde aanpak kun je het aantal risico’s terugbrengen en heb je meer focus. Veel bestuurders missen dat kader, ze missen een houvast waardoor ze moeilijk prioriteiten kunnen stellen. Risicomanagement kan hen helpen de aandacht te richten op die dingen die écht belangrijk zijn.”