Wie durft het 'monster' van compliance te bemannen?

Regelgeving

De compliance officer kan een spelbreker zijn voor bedrijven die geld willen verdienen. Wat moet je daarvoor kunnen?

Het is misschien een wat al te plastische metafoor, zegt Sylvie Bleker-Van Eyk alvast vóórdat ze ’m uitspreekt, maar de afdeling compliance is bij veel bedrijven „een soort stoma die aan de organisatie hangt”. Te vaak zitten bestuurders en managers achterover geleund te wachten tot er een piepje uit de stoma komt – teken dat ergens in het bedrijf bijvoorbeeld witwasconstructies worden genegeerd of steekpenningen betaald.

Maar zo moet het dus níét, zegt Bleker-Van Eyk, senior director forensic services bij accountantskantoor PwC en hoogleraar aan de postdoctorale compliance-opleiding van de Vrije Universiteit (VU). Ook al niet omdat die stoma intussen bijna net zo groot is als het lijf: er zijn, zeker bij financiële instellingen, zoveel regels dat het bijna ondoenlijk is geworden dat „hele grote compliancemonster” te bemannen. „Die mensen lopen alleen maar af te vinken en hebben niet meer de tijd na te denken over het waarom achter alle regels.” De werkvloer zou dat nadenken zelf moeten doen, zegt ze. Daar waar de besluiten genomen worden en het werk wordt gedaan, dáár moet ook het geweten blijven.

De lastpak van het bedrijf

Compliance is het naleven van nationale en internationale wet- en regelgeving. Oftewel: goed gedrag vertonen, dat risico’s vermindert en de integriteit van het bedrijf bewaart. Het Openbaar Ministerie (OM) vervolgt steeds actiever bedrijven waarin dat misgaat, met inmiddels al diverse miljoenenschikkingen tot gevolg.

Oud-medewerkers vertellen hoe het er in 2016 aan toe ging op de afdeling van ING: De witwasjagers van ING: geen ervaring, geen financiële achtergrond

Dat was bijvoorbeeld zo bij bouwbedrijf Ballast Nedam, dat steekpenningen betaalde in Saoedi-Arabië en Suriname, en waar Bleker-Van Eyk na de schikking eind 2012 als compliance officer werd aangesteld. Het gebeurde onlangs bij autohandelaar Pon (2016) en accountant KPMG (2017). En het was ook het geval bij ING, waarvan begin deze maand bekend werd dat het 775 miljoen euro moet betalen omdat er jarenlang niet genoeg gecontroleerd werd op witwassende klanten. Daar ging het mis op de onderbezette afdeling compliance. Om de werkdruk te beperken, waren de monitoringssystemen zo afgesteld, dat in belangrijke categorieën maximaal drie dagelijkse witwassignalen kwamen.

Compliance werd er, volgens het OM, dikwijls minder belangrijk gevonden dan de business. En dat is vaak waar het fout gaat. Een bedrijf wil geld verdienen en neemt daarvoor risico’s, maar kan vervolgens stuiten op een compliance officer die op de rem trapt en te grote risico’s tegenhoudt. Zeker in tijden van economische voorspoed, waarin het geld verdiend moet worden, wordt volgens Bleker-Van Eyk daarom op compliance bezuinigd.

Dat ziet ze ook aan de achtergrond van haar studenten aan de postdoctorale opleiding van de VU, een van de drie erkende beroepsopleidingen tot compliance officer in Nederland. Een deel van de jaarlijkse postdoctorale groep van dertig studenten is pas afgestudeerd, bij anderen wordt de studie door hun werkgever bekostigd. „Als het economisch goed gaat, wordt het geld voor de opleiding vaak stopgezet. Ik krijg dan veel minder studenten binnen die bij een bank werken, bijvoorbeeld.”

Dat de compliance officer een lastige spelbreker is bij het geld verdienen, is dan ook een conclusie die voor de hand ligt. Daarom de vraag: is dat zo? Hoe is het om de ‘nee-zegger’ van het bedrijf te zijn? En wat moet je daarvoor kunnen?

Strengere wetgeving

Het imago van bedrijfslastpak zit ’m in de oorsprong van het werk. Zeker bij financiële instellingen werden compliance-afdelingen niet opgetuigd vanuit de intrinsieke gedachte dat ze graag het goede wilden doen, maar omdat het móést door strengere wet- en regelgeving. Compliance-afdelingen moesten groter en groter worden om boetes en narigheid te voorkomen, zegt Cora Wielenga, compliance officer en directeur van het Nederlands Compliance Instituut. „Maar van regels en boetes worden mensen niet blijer. Dus worden compliance officers vaak gezien als blokkades in het commerciële traject.”

„Compliance is absoluut een burden, zegt ook Bleker-Van Eyk. „Het is als een baas die zegt dat er niks mag. Ik ken een bedrijf waar, als de compliance officer binnenkwam, werd gezegd: ‘oh, daar heb je hem weer, we mogen zeker geen geld meer verdienen’.” Maar zo hoeft het helemaal niet te zijn, zegt ze. Een van de belangrijkste tips die ze meegeeft aan de compliance officers die haar opleiding volgen, is: zeg niet ‘nee’, maar zeg ‘nee, niet zo, laten we eens kijken hoe het wel kan’.

Dat is ook volgens Wielenga de beste manier om met interne weerstand om te gaan. „Je kunt het bestuur de scenario’s voorhouden die ze kunnen verwachten als ze niet luisteren, en je kunt de zaak laten escaleren door naar de commissarissen te stappen. Maar dat zijn niet de leukste en ook niet de meest duurzame manieren. Het mooiste is om uit te vinden waar de weerstand vandaan komt, om te snappen waarom een bestuurder iets niet wil doen.”

En ja, geeft ze toe, dat klinkt misschien makkelijker dan het is. Zeker voor iemand die pas net begonnen is in het vak. Toen Wielenga zelf begon als compliance officer, bijna vijftien jaar geleden, ging ze ook weleens aan zichzelf twijfelen als een bestuurder heel stellig zei: ‘Wat een onzin’. Of: ‘We doen het al jaren zo.’ „Dat is indrukwekkend als je jong en onervaren bent. Wat helpt, is ruggespraak houden. Maar dat kan niet als je de enige compliance officer binnen het bedrijf bent.” Grote financiële instellingen hebben doorgaans grote compliance-afdelingen, maar kleinere bedrijven hebben vaak één of geen compliance officer, of iemand die het ‘erbij’ doet.

Wielenga kent wel mensen die dan „eieren voor hun geld kozen en zich wat gedeisder gingen opstellen”. En dat kan dus risicovol worden. Het is ook om die reden dat het Compliance Instituut een paar jaar geleden ‘een signaal doorgaf’ aan toezichthouders AFM en DNB: het viel op dat de instromende studenten bij de eigen opleiding (ongeveer tweehonderd per jaar) steeds vaker heel jong waren. Ze waren vers afgestudeerd als bijvoorbeeld financieel jurist of criminoloog, in plaats van, zoals vroeger, al decennia werkzaam in het bedrijfsleven. Wielenga: „Als zij vervolgens benoemd worden als de enige compliance officer van een bedrijf, is dat een gevaarlijke ontwikkeling, en sneu ook.”

Goed voorbeeld, doet goed volgen

Inmiddels groeit volgens Wielenga het besef onder bestuurders en commissarissen dat zij een compliance officer nodig hebben om gerustgesteld te worden, of juist wakker geschud als er gevaar dreigt. En terecht, vindt ze, want het doel is gemeenschappelijk: het beste willen voor het bedrijf. Iederéén, en dus niet alleen de mensen van compliance, moet uitgaan van de reden achter de regels. „Dat heeft veel meer zin dan een checklist van regelgeving op mensen afvuren, waardoor ze zelf niet meer nadenken.”

Klein voorbeeldje. Stel: werknemers mogen relatiegeschenken met een waarde boven de vijftig euro niet aannemen. Dan gaat het er niet om dat een cadeau van 49 euro wel kan en van 51 euro niet. Het gaat erom dat het bedrijf wil dat zijn mensen bedacht zijn op beïnvloeding, en van hen verwacht dat zij onafhankelijk blijven.

Om dat te bereiken, moet het bestuur zichtbaar het goede voorbeeld geven. Als het fout gaat, valt dat vaak terug te leiden op hoe werknemers dénken dat hun bazen zich gedragen, zegt Wielenga. De compliance officer die wroet in de cultuur van een bedrijf waar iets mis is, moet geregeld rapporteren dat het komt door de perceptie van de werknemers van het gedrag van hun bazen. Wielenga: „Een bestuurder moet zijn of haar integriteit daarom bewust etaleren, anders zien de mensen het niet. Je moet, in ethisch opzicht, geen neutrale manager zijn.”

Dat het niet per se leuk of vanzelfsprekend is om je eigen integriteit „te showen” aan je werknemers, weet ze uit eigen ervaring als directeur van het Compliance Instituut. Tot twee jaar geleden meldden zij en haar collega-directeur het nooit intern als het instituut een klant weigerde die wilde dat „de zaak even snel werd schoongepoetst door een compliance officer, vlak voordat er een toezichthouder kwam”. Maar tijdens een ‘strategiesessie’ zei een medewerker ineens: ‘Wij weigeren nooit iemand, jullie accepteren iedereen.’ Wielenga: „Ik was perplex. We wijzen wel degelijk dubieuze bedrijven af! Maar het leek ons gewoon niet nodig om het te vertellen, omdat we dat vanzelfsprekend vonden.” En dus doen ze dat sindsdien wel, ook al voelt dat „gek”. „Dat doen we, omdat we willen dat mensen dit gedrag volgen. Dán ben je pas een moral leader.

‘Nee’ durven zeggen

Om te zorgen dat een compliance officer onafhankelijk kan werken, adviseert het Compliance Instituut dat de raad van bestuur hem of haar alleen kan benoemen, schorsen of ontslaan met medeweten en instemming van de raad van commissarissen. Bij bijvoorbeeld banken is die verplichting er al. Belangrijk, zegt Wielenga, want een compliance officer moet de rug altijd recht houden, standvastig zijn. „En dat is af en toe best lastig, zeker als je in loondienst bent van het betreffende bedrijf en je salaris ervan afhankelijk is.”

Vandaar waarschijnlijk ook dat een van de belangrijkste verzoeken die hoogleraar Bleker-Van Eyk van studenten krijgt, is: leer ons de vaardigheden om te onderhandelen en te praten met de „C-suite”, oftewel: het bestuur met onder anderen de ceo (bestuursvoorzitter) en de cfo (financieel directeur).

Een goeie compliance officer, Bleker-Van Eyk somt het snel op, moet tegen een stootje kunnen, dienstbaar zijn aan het bedrijf, oplossingsgericht zijn, de veiligheid van het bedrijf en zijn werknemers als eerste drijfveer zien, kennis hebben van de wet- en regelgeving en niet te beroerd zijn om te durven werken met moderne technologie. En, „heel belangrijk”, de tegenkracht kunnen zijn. Tóch degene die ‘nee’ zegt tegen de raad van bestuur. En als die tegenwerpt van ‘ja, maar’ of ‘doe niet zo moeilijk’, wéér zeggen: ‘nee, dit kan echt niet.’ „Je moet een vuist durven maken. Je moet ballen hebben.”

En als het dan toch misgaat, dan kun je dat verdedigen. Dan kun je laten zien wat je hebt gedaan om het te voorkomen en waarom dit erdoorheen is geglipt. Dan zit het fout in de rest van het bedrijf. Bleker-Van Eyk: „De verantwoordelijkheid wordt nu te vaak niet bij de business gelegd, maar in die stoma die buiten het lichaam hangt.”

    • Anne Dohmen