1. Inleiding
Financiële instellingen, maar ook andere organisaties,
leggen de lat voor wat betreft de kwaliteit van de
uitvoering steeds hoger. Dat geldt ook voor de
uitvoering van werkzaamheden op het gebied van
compliance en integriteit.
De eisen zijn niet alleen inhoudelijk opgeschroefd,
maar ook de wijze waarop daarover verantwoording
moet worden afgelegd is aan verandering onderhevig.
Werd in de reeks ‘trust me, show me, prove me’ in het
(recente) verleden nog genoegen genomen met ‘trust
me’ en ‘show me’, tegenwoordig volstaat meestal nog
slechts een met degelijk bewijsmateriaal onderbouwde
rapportage (‘prove me’).
In het onderhavige artikel wordt betoogd dat de veelal
gepropageerde principle based regelgeving (extern en
intern) om de risico’s op het gebied van compliance en
integriteit te beheersen niet volstaat. Deze zal moeten
worden aangevuld met een aantal rule based elementen
om de gestelde doelen te bereiken. Daartoe wordt een
model compliance framework beschreven.
Organisaties hebben vaak moeite om externe wet- en
regelgeving te vertalen naar heldere interne normen
en regels. Dit wordt nog moeilijker als interne normen
moeten worden gesteld die betrekking hebben op
menselijk gedrag. Met betrekking tot dat laatste wordt
dan verwezen naar een gedragscode (Code of Conduct).
De rapportage over de naleving daarvan komt dan
meestal niet verder dan: ‘er zijn dit kwartaal geen
overtredingen van de gedragscode geconstateerd’. Of,
als het betreft naleving van wet- en regelgeving: ‘er is
dit kwartaal niet in strijd gehandeld met de relevante
wet- en regelgeving’.
Maar hoe weten we dat het allemaal goed is gegaan?
Blind vertrouwen op het rapporterende management
(trust me)? En hoe is vastgesteld dat alle relevante
regels in beeld zijn? Waar blijkt dat uit? Het grote
probleem is dat compliance en integriteit niet goed
uit de verf komen als gevolg van te vage, globale
interne normstellingen en het veelal ontbreken van
werkinstructies in de operationele sfeer. Compliance
en integriteit dreigen dan rituele dansen te worden,
met als gevolg het niet in control zijn en het risico op
hoge boetes van de toezichthouder(s).
De grote uitdaging is dan ook om de bovenbeschreven
situatie van haar ‘vrijblijvendheid’ te ontdoen en te
vervangen door een organisatie en interne beheersing
die op het gebied van compliance en integriteit
aantoonbaar in control zijn.
In dit artikel wordt in de vorm van een samenhangend
geheel van processen een model beschreven dat
naar het oordeel van de auteurs in hoge mate voldoet
aan de eisen die heden ten dage worden gesteld aan
een volwassen compliance- en integriteitbouwwerk en
aan de rapportage over de producten die dat bouwwerk
voortbrengt. Waar over compliance wordt
gesproken wordt daaronder mede integriteit begrepen.