Elementen van een goed werkend compliance systeem
Pierrette Gaasbeek
Elementen van een goed werkend compliance systeem
Compliance is het binnen een organisatie naleven van geldende regels. Dit klinkt als een vanzelfsprekendheid, maar dit is het in de praktijk niet. Een goed werkend compliance systeem kan hieraan bijdragen aan deze goede naleving, waardoor niet alleen boetes wegens overtredingen worden voorkomen, maar ook de negatieve gevolgen voor de reputatie van ondernemingen. De vervolgvraag is dan direct: Wat zijn de elementen van een goed werkend compliance systeem?
Afhankelijk van de grootte van een onderneming en de sector waarin deze opereert, zal een meer of minder uitgebreid compliance systeem nodig zijn. Het is minimaal raadzaam om iemand binnen de onderneming aan te wijzen die compliance als zijn of haar verantwoordelijkheid heeft.
Het doel van een compliance systeem is het voorkomen van overtredingen door medewerkers en voor het geval er iets mis gaat regelen hoe te handelen. Een goed werkend compliance systeem staat of valt met de mensen die het daadwerkelijke werk doen en is in essentie gebaseerd op twee elementen: kennis en attitude. Het is alleen mogelijk om in overeenstemming te handelen met wet- en regelgeving, wanneer deze bekend zijn bij medewerkers en actueel is en blijft (kennis). Overdragen van kennis heeft echter geen zin, wanneer een medewerker niet de verplichting voelt om zich hieraan te houden (attitude).
Kennis
Compliance is allereerst het voldoen aan wet- en regelgeving van overheid en toezichthouders, zoals de ACM, AFM, NZA, DB en NVWA. Voor ondernemingen die in een gereguleerde sector werken gelden ten aanzien van dit laatste naast het algemene mededingingsrecht en de algemene verordening gegevensbescherming (AVG) ook sectorspecifieke regelgeving (zoals voor energie, zorg, vervoer, post, financiële sector).
Maar compliance ziet op meer dan het voldoen aan de geldende verplichte wet- en regelgeving. Hieronder valt ook het naleven van de regels waaraan een onderneming zich vrijwillig committeert. Te denken valt aan certificering of keurmerk, klanten en interne bedrijfsregels en gedragsregels, zoals corporate governance en MVO. Kenmerk van deze regels is, dat het de vrije keuze is van een onderneming om hieraan te voldoen. Wordt hiervoor echter gekozen, dan moeten deze worden nageleefd.
Hoe sterker een sector gereguleerd is, hoe belangrijker en lastiger het realiseren van voldoende kennis bij medewerkers is. Kenmerk van gereguleerde sectoren is immers dat er geregeld regelgeving bijkomt en wordt gewijzigd. De implementatie van dit onderdeel moet praktisch worden vormgegeven, wat betekent dat medewerkers die kennis krijgen die voor het uitvoeren van hun werkzaamheden noodzakelijk is. Meer mag altijd, minder moet worden voorkomen want dan ontstaat het risico van non-compliant handelen.
Om algemene of basiskennis over toepasselijke regelgeving te delen, is het instrument van E-learning geschikt. Van belang is dat iemand wordt aangewezen die bewaakt dat de informatie in de E-learning actueel is en blijft. Voor meer specifieke risicoprofielen is maatwerk vereist. Hoe concreter en toegespitst de training, hoe meer effect deze training heeft.
Een praktische manier om kennisniveaus in kaart te brengen, is het opstellen van een matrix, waarin enerzijds de risicoprofielen van functies in kaart worden gebracht en anderzijds de kennis die nodig is om de risico’s te neutraliseren. Na deze inventarisatie kunnen de functies worden aangewezen waarvoor de basistraining volstaat en vervolgens maatwerktrainingen worden opgezet voor de hogere risicoprofielen. Ten slotte is van belang dat dit geen eenmalige exercitie is maar geregeld wordt geactualiseerd en herhaald.
Naast kennisoverdracht kunnen mensen ook worden getraind in hoe ze in bepaalde situaties moeten handelen. Weten wat wel of niet mag is nog wat anders dan weten hoe te handelen.
Voorbeeld: Informatie-uitwisseling en Mededingingswet
Op grond van de Mededingingswet is het verboden voor concurrenten om concurrentiegevoelige informatie uit te wisselen. Medewerkers die contacten hebben met concurrenten en op de hoogte zijn van dergelijke informatie, moeten weten dat dit verboden is (kennis). Maar wat als een concurrent spontaan dergelijke informatie deelt? In dat geval moet de medewerker in het gesprek direct melden dat hij deze informatie niet wenst te ontvangen en het gesprek beëindigen. Vindt dit plaats in de context van een vergadering, dan moet hij dit in de notulen laten opnemen (handelen).
Attitude
Overdragen van kennis heeft geen zin, wanneer een medewerker niet de verplichting voelt om zich aan de wet- en regelgeving te houden. De houding van een medewerker ten aanzien van compliance wordt voor een groot deel bepaald door de cultuur van een onderneming en het commitment ten aanzien van compliance dat de leiding uitdraagt; zij vervullen hierin een voorbeeldfunctie. Naleving is de norm en tegen ander gedrag wordt opgetreden. Deze houding moet binnen de onderneming continue worden uitgedragen of het nu ziet op interne voorschriften ten aanzien van veiligheid of wettelijke verplichtingen.
Een instrument dat hiervoor kan worden ingezet is een code of conduct. Een code of conduct beschrijft de uitgangspunten en de basisprincipes van ethisch gedrag die binnen een onderneming worden nagestreefd. Dit document wordt periodiek (bijvoorbeeld jaarlijks) onder de aandacht van medewerkers gebracht. Een andere optie is de code of conduct te laten ondertekenen.
De 4 c’s:
1. Culture
2. Commitment
3. Continuous
4. Code of conduct
Wat als het misgaat?
Een compliance systeem is erop gericht te voorkomen dat er iets misgaat maar uitgesloten is dat nooit. Vandaar dat onderdeel van een compliance systeem is regeling voor meldingen en een instantie bij wie kan worden gemeld. Dit is de compliance officer wat een aparte functie kan zijn bij grotere of gereguleerde ondernemingen maar ook een rol van een MT-lid bij
kleinere ondernemingen. Of een misstand wordt gemeld is sterk afhankelijk van de cultuur (attitude) bij een onderneming. Een anoniem meldpunt of het aanwijzen van een vertrouwenspersoon kan drempelverlagend werken. Ook het vaststellen van de procedure die bij een melding wordt gevolgd, kan hieraan bijdragen.
Wanneer een melding plaatsvindt moet worden gekeken of dit een incident betreft dan wel een meer structurele situatie betreft. Op deze melding moet snel en adequaat worden gehandeld, waarbij een zorgvuldig proces wordt gevolgd (hoor en wederhoor) en verantwoording wordt afgelegd over de uitkomst.
Vanaf 1 juli 2016 moeten bedrijven met meer dan 50 werknemers een Klokkenluidersregeling vaststellen (Wet huis klokkenluiders). De bedoeling van deze regeling is dat werknemers misstanden kunnen melden en er advies krijgen over hoe te handelen. Onderdeel hiervan is bescherming van een klokkenluider. Wanneer in de code of conduct een regeling is opgenomen hoe misstanden te melden, dan moet deze in overeenstemming met deze wet zijn.
Conclusie
De elementen van een goed werkend compliance systeem zien enerzijds op het realiseren van voldoende kennis van alle regels die een onderneming wil naleven en anderzijds op de attitude in een onderneming ten aanzien van de naleving. De omvang van het programma hangt af van de grootte van de onderneming en de sector waarin de onderneming actief is. Compliant handelen staat voorop en tegen niet compliant handelen wordt streng maar rechtvaardig opgetreden. Degene die dapper genoeg is om de misstand te melden mag niet de dupe worden.
Stappenplan compliance programma:
1. Identificatie relevante wet- en regelgeving;
2. Identificeren risico’s eventueel per functie;
3. Kennis regels uitdragen en borgen in de organisatie;
4. Continue werken aan de 4 c’s;
5. Intern toezicht vormgeven (compliance officer);
6. Adequaat handelen bij overtreding.
