Een Nieuwe Kijk op Regelgeving

Floris Pijnse van der Aa
change management

Onderstaand artikel heb ik geschreven in 2015 en is onderdeel van de Lustrum bundel 2015 van het Nederlands Genootschap voor Bedrijfsjuristen.

  1. INLEIDING

De financiële crisis van 2008 heeft geleid tot de meest vergaande hervorming van het financiële systeem in decennia. In een veel landen is door wetgevende- en toezichthoudende autoriteiten gewerkt aan reparatiewetgeving, onder andere op het gebied van kapitaal, liquiditeit, risicomanagement en consumentbescherming. In reactie hierop hebben veel bedrijven hun compliance functies versterkt en is compliance geëvolueerd tot een volwaardig onderdeel van het jaarverslag en de agenda van het bestuur. Een terechte ontwikkeling die om een moderne compliance functie vraagt. Door efficiënt gebruik te maken van interne resources en expertise kunnen compliance afdelingen zich ontwikkelen van een van oorsprong juridisch gedomineerde discipline tot een brede risicofunctie die sterk verankerd is binnen alle geledingen van de onderneming.

  1. NIEUWE WERKELIJKHEID IN TOEZICHTLAND

In een snel veranderende en globaliserende wereld met toenemende regulering staan organisaties voor de uitdaging om te voldoen en blijven voldoen aan de overvloed aan complexe wet- en regelgeving onder strengere supervisie van de toezichthoudende autoriteiten. Het grote volume nieuwe regelgeving, het uitgebreide toepassingsbereik en de relatieve snelheid van collectieve implementatie vergen een proactieve houding van ondernemingen. Koplopers zijn Europa en de Verenigde Staten. Enkele in het oog springende initiatieven vanuit Europa zijn MiFID, de AIFMD, UCITS, CRD IV, Basel III, Solvency en EMIR.[1] Tegenhangers in de Verenigde Staten zijn onder meer FATCA, de omvangrijke DFA en IORP.[2] Een grote hoeveelheid aanvullende voorstellen staan nog op de rol en het einde van de hervorming lijkt nog niet in zicht. Hoewel een breed scala aan thema’s de revue passeert, ligt accent van de nieuwe regelgeving op het bevorderen van transparantie, beheerst risicobeleid en een stabiele financiële sector. Deze ontwikkeling loopt parallel met de proactieve houding van toezichthouders. Denk aan de wijzigingen met de komst van de Europese bankenunie. Meer dan voorheen krijgen banken te maken krijgen met ‘on-site’ toezicht, waarbij een groep toezichtexperts voor kortere of langere tijd langsgaat bij een instelling om ter plekke onderzoek te doen. De inspectieteams zullen met meer focus diepgaand onderzoek doen op deelonderwerpen.

Hoewel grotere instellingen gewend zijn aan dergelijke inspecties kan de impact voor kleinere partijen relevant zijn; zij moeten rekenen op één bezoek in de twee a vijf jaar. Instellingen zijn de afgelopen jaren dan ook aanmerkelijk kwetsbaarder geworden voor de gevolgen van non-compliance waarbij het sanctiebeleid aanmerkelijk strenger is geworden.[3] Uit recent onderzoek van DNB komt naar voren dat financiële instellingen op het gebied van hun risicobeheersings-beleid vooruitgang hebben geboekt.[4] Zo wordt er een meer evenwichtige afweging gemaakt tussen risico’s en rendement en is de risicomanagementfunctie de afgelopen jaren versterkt. Ook staat het onderwerp risicobeheer prominent op de agenda van het management en de interne toezichthouders. De nieuwe werkelijkheid in toezichtland stelt eisen aan financiële instellingen op gebieden als corporate governance, risicobereidheid, solvabiliteit, stress scenario’s, operationeel risico, technologie en informatiesystemen, en de bedrijfscultuur. Meer dan voorheen wordt binnen de bestuurskamer het belang onderkend van een robuust risicobeheersings- en een solide compliance beleid. Een ontwikkeling die gelijke tred houdt met de toename in handhavingsmaatregelen door toezichthouders en opsporingsautoriteiten. Ook bestuurders worden niet ontzien. In situaties waarin is nagelaten afdoende maatregelen te treffen ter voorkoming van non-compliance kunnen zij, naast civielrechtelijke aansprakelijkstelling, worden geconfronteerd met administratiefrechtelijke maatregelen, bijvoorbeeld doordat zij worden afgekeurd als bestuurder, maar ook met strafrechtelijke sancties. Met name in de Verenigde Staten en het Verenigd Koninkrijk zijn dergelijke sancties in aantal en omvang exponentieel toegenomen en ook Nederlandse bedrijven ondervinden hiervan de consequenties.[5] Enerzijds vanwege hun internationale activiteiten, anderzijds ten gevolge van de intensievere internationale samenwerking tussen toezichthouders en opsporingsautoriteiten.

  1. GEVOLGEN VOOR COMPLIANCE OFFICERS EN JURISTEN

De toename in complexe regelgeving legt een steeds grotere druk op compliance medewerkers en juristen. Blijkens een recente survey van Thomson Reuters besteedt ongeveer een derde van de compliance georiënteerde medewerkers minimaal een volledige werkdag in de week aan het volgen en analyseren van regelgeving.[6] In het verlengde hiervan heeft Deloitte vastgesteld dat bedrijven in een breed scala van sectoren nieuwe en/of strengere wet- en regelgeving als voornaamste reden zien voor het hebben van een sterke compliance functie en regulatory compliance zien als een centraal onderdeel van de bedrijfsstrategie[7]. Om te kunnen begrijpen hoe bedrijven hier invulling aan geven is het van belang om het begrip regulatory compliance nader te definiëren. In het kader van deze bijdrage wordt hieronder verstaan: het naleven van vereisten die van toepassing zijn op de activiteiten van ondernemingen als gevolg van regelgeving, wettelijke bepalingen, industrie standaarden en interne eisen.

De grote hoeveelheid richtlijnen, uitwerkingsmaatregelen, nationale wetten, algemene maatregelen van bestuur en handleidingen (‘guidelines’) van autoriteiten legt een toenemend beslag op afdelingen die zich bezighouden met financiële regelgeving, zoals compliance. Een complicerende factor hierbij is dat de introductieschema’s van de diverse typen regelgeving vaak parallel lopen, waardoor bedrijven genoodzaakt zijn meerdere grote implementatieprojecten naast elkaar te initiëren.

Het opbouwen van een ervaren, kwalitatief hoogwaardige compliance functie is een belangrijke voorwaarde voor een robuust compliance systeem. Het wekt dan ook geen bevreemding dat bedrijven, (semi-)overheidsinstanties en toezichthoudende autoriteiten druk doende zijn hun in-house compliance vaardigheden te verhogen. De inhoudelijke kwaliteit van de compliance afdeling is van steeds groter belang, mede gelet op de wereldwijde beweging richting ‘principles based’ regelgeving. Anders dan in het verleden streven wetgevende- en toezichthoudende autoriteiten er tegenwoordig naar om regelgeving te ontdoen van onnodige detaillering. Nieuwe regelgeving bevat vooral basisprincipes waarbij van ondernemingen wordt verwacht dat zij zelfstandig een oordeel vormen hoe een en ander het best binnen hun organisatie kan worden geïncorporeerd. Toezichthoudende autoriteiten stellen zich terughoudend op ten aanzien van het verstrekken van ‘guidance’. In plaats daarvan stellen zij middels onderzoeken (terugkijkend) vast of een onderneming al dan niet compliant is. Hierin schuilt een reputatiegevaar, aangezien boetebesluiten, maar tegenwoordig ook aanwijzingen van toezichthouders, voor publicatie vatbaar zijn.[8] Mogelijk verklaart dat de combinatie van bovenstaande feiten waarom DNB, in het eerder gememoreerde onderzoek, compliance als zorgpunt kwalificeert. Naast de kwaliteit van de afdeling is het evenzeer van belang dat de compliance functie goed is ingebed in de organisatie. Van een compliance afdeling wordt vandaag de dag verwacht dat zij tot in de haarvaten van alle organisatieonderdelen doordringt. De compliance functie, al dan niet in combinatie met de juridische afdeling, dient een essentieel onderdeel van het primaire proces te zijn en dient voldoende geëquipeerd te zijn om trends en thema’s binnen de diverse typen wet- en regelgeving te identificeren, de relevantie en impact hiervan te analyseren en hierop tijdig te anticiperen. Steeds meer ligt het accent op het analyseren van nieuwe regels en trends, het lobbyen om onbedoelde c.q. ongewenste gevolgen te minimaliseren, het vertalen van de uit nieuwe regelgeving voortvloeiende vereisten in interne normen, gedragsregels, beleid en procedures, de communicatie hiervan richting medewerkers en het borgen van de naleving. Een en ander betekent dat een organisatie over het juiste compliance en juridisch personeel dient te beschikken. Persoonlijke vaardigheden, deskundigheid, senioriteit, maar ook de diversiteit binnen de compliance en juridische teams spelen hierbij een belangrijke rol. De vraag naar hoogwaardige expertise op het gebied van financiële regelgeving neemt toe, waardoor het voor een instelling steeds lastiger wordt om voldoende geëquipeerde professionals aan te trekken.

  1. WERKEN OP BASIS VAN THEMA’S

Door optimaal gebruik te maken van interne resources, informatiebronnen en reeds aanwezige expertise binnen een bedrijf, kan worden bereikt dat een onderneming aantoonbaar en gecontroleerd aan wet- en regelgeving voldoet en blijft voldoen. Voor veel ondernemingen, althans zo is mijn ervaring, is dit echter een uitdaging. Veelal is te wijten aan de nadelen die kleven aan, wat ik noem, de regelgeving gedreven project aanpak. Ik doel hiermee op het feit dat implementatieprojecten vaak gekoppeld zijn aan een specifieke nieuwe of gewijzigde regelgeving, waarbij voor ieder type regelgeving (zoals MiFID, AIFMD of FATCA) een apart project in het leven wordt geroepen. Gelet op de toename van nieuwe regelgeving, leidt deze aanpak ertoe dat juridische en compliance afdelingen genoodzaakt zijn steeds meer tijd (in mijn ogen onnodig veel tijd) in te ruimen voor projecten. Bijkomend probleem voor mondiale ondernemingen is hoe te voldoen aan meerdere, soms tegenstrijdige regelgeving geïmplementeerd door verschillende regelgevende instanties. Niet vreemd dus dat de toegenomen hoeveelheid complexe nieuwe regelgeving en de daaraan gerelateerde implementatieprojecten, een steeds zwaardere wissel trekken op de compliance en juridische afdelingen. Juristen en compliance officers nemen in de regel een prominente rol in bij regelgeving gedreven implementatieprojecten. Zij zijn betrokken in vrijwel alle schakels van dergelijke trajecten. Het start met de analyse van aankomende regelgeving, gevolgd door de deelname aan een of meerdere project teams, resulterend in het formuleren van intern beleid en het geven van trainingen richting het personeel. De ‘tsunami’ aan nieuwe regelgeving wordt vaak als boosdoener aangewezen, echter de wijze waarop een bedrijf hierop anticipeert is evenzeer bepalend. Door op de juiste wijze gebruik te maken van interne resources en expertise zal een onderneming beter in staat zijn om nieuwe regelgeving in een vroeg stadium te signaleren en de implicaties ervan op waarde te schatten en kan het belangrijke input vormen voor strategische beslissingen.

Ik zal het voorgaande illustreren door middel van een praktijkvoorbeeld. In het voorbeeld heeft een financiële instelling een drietal ontwikkelingen geïdentificeerd die naar verwachting relevante impact zullen hebben op haar organisatie en de wijze van dienstverlening. Het betreft wijzigingen op het gebied van privacy, zorgplicht en cliëntidentificatie. In het voorbeeld besluit het management van de onderneming een Privacy project te starten. Enige maanden later wordt separaat een MiFID project opgezet, gevolgd door een apart FATCA project. Hier ligt meteen het gevaar van inefficiëntie op de loer. Er ontstaan drie separate projecten met elk eigen teamleden, vergaderingen en rapportages. Ieder team maakt separaat van elkaar impact assessments, plannen van aanpak en implementatieplannen. Wanneer het ontbreekt aan goede afstemming tussen de drie teams, zal er overlap ontstaan in aandachtsgebieden.

Neem onderwerpen als bewaarplicht en dossiervorming; ongetwijfeld thema’s die naar voren zullen komen binnen alle drie de projecten. Hoewel er binnen de verschillende typen regelgeving zeker gemene delers te onderkennen zijn, zullen deze in het voorbeeld niet snel worden onderkend. De kans is groot dat de drie projectteams bij hun analyses en implementatieplannen vooral gefocust zullen zijn op de deelgebieden waarvoor zij verantwoordelijk zijn gesteld. Bij het opstellen van intern beleid, het doorvoeren van aanpassingen in bestaande documenten en systemen en het inrichten van nieuwe werkprocessen, documentatie en systemen zullen zij weinig tot geen oog hebben voor regelgeving die buiten hun eigen scope valt. Indien dit het geval is zullen thema’s bewaarplicht en dossiervorming binnen de drie gremia separaat van elkaar worden behandeld. Naast suboptimaal gebruik van interne resources, brengt deze aanpak een reëel risico op non-compliance met zich mee. Het is denkbaar dat een beleidsbeslissing van project A in een later stadium teniet wordt gedaan door een actie van project B (denk aan het inkorten van een bewaartermijn). Ook kan zich de situatie voordoen dat een door project B ontwikkeld proces strijdig is met een door project A vastgestelde restrictie (bijvoorbeeld het grensoverschrijdend delen van cliëntgegevens terwijl een verbod geldt). Bovendien vergroot deze aanpak de kans op overlap in intern beleid. Zo zullen in het voorbeeld naast elkaar een aantal policies worden ontwikkeld. Een policy voor MiFD, een andere voor Privacy en een derde voor FATCA. Naar verwachting zullen de drie policies een aantal gemeenschappelijke thema’s behandelen maar zullen de projectgroepen elk een eigen invulling hieraan hebben en aanpassingen willen doorvoeren in documentatie, werkprocessen en systemen.

Terugkerend naar de thema’s dossiervorming en bewaartermijn zal het voor de hand liggen dat elk projectteam aanpassingen zal doorvoeren in de cliëntquestionnaire, het (digitale) cliëntdossiers en het archiefbeleid. In het scenario dat de projectteams hun blikveld hebben beperkt tot hun eigen scope zullen zij geen tot weinig aandacht hebben voor eventuele gecombineerde oplossingen. In het voorgaande schuilt het gevaar van overmatige beleidsvorming, hetgeen een compliance risico op zichzelf is. Het leidt tot afkalvend draagvlak bij medewerkers en het overzicht raakt zoek. Enigszins gechargeerd, ziet de medewerker door de bomen het bos niet meer. Bij de uitvoering van zijn dagelijkse werk moet hij voortdurend nieuwe vereisten in acht nemen, aanvullende handelingen verrichten of heeft hij te maken met gewijzigde systemen en documenten. Ik zal hieronder aantonen dat een thema gedreven aanpak veel van deze problemen voorkomt.

De ‘nieuwe werkelijkheid in toezichtland’, waarin een toenemend aantal financiële wetten (grotendeels) parallel dienen te worden geïmplementeerd, vraagt om een andere projectaanpak. Ik noem dit de thema gedreven methodiek. Startpunt van deze aanpak is een uitvoerige analyse van (naderende) regelgeving met als doel gemeenschappelijke thema’s te identificeren op basis waarvan organisatie breed actiepunten kunnen worden vastgesteld. Anders dan in het voorbeeld is bij deze methodiek niet de regelgeving zelf maatgevend voor de inrichting en uitvoering van implementatietrajecten.

In plaats daarvan wordt dit bepaald op basis van te onderscheiden thema’s binnen de diverse typen regelgeving. Het voordeel hiervan is dat aan elkaar gerelateerde onderwerpen kunnen worden toegewezen aan een projectgroep, bestaande uit leden die specifieke kennis van en/of ervaring met dit deelgebied hebben. Wanneer bijvoorbeeld een projectgroep zich bezighoudt met onderwerpen zoals dossiervorming, bewaartermijnen en informatiedeling ligt het voor de hand om in ieder geval frontoffice en archiefmedewerkers te betrekken, terwijl het voor een projectgroep met een focus op varianten van rapportages voor de hand ligt om collega’s met een finance of accounting achtergrond te betrekken. Deze aanpak leidt tot een efficiënt gebruik van de binnen een bedrijf reeds aanwezige informatiebronnen, expertise en resources. Doordat de projectgroepen multidisciplinair zijn samengesteld met ter zake kundige projectleden is het eenvoudiger om per thema een sluitende gapanalyse te maken waarbij de bestaande praktijk binnen een bedrijf wordt vergeleken met de vereiste (toekomstige) standaard op basis waarvan de actiepunten worden bepaald. De projectgroep heeft de mogelijkheid om en het mandaat om de thema’s op consistente wijze te combineren in intern beleid, werkprocessen, systemen en interne controle mechanismen. Het voordeel hiervan is dat kan worden gekozen voor regelgeving overstijgende oplossingen. Terugkerend naar het voorbeeld, kan er, in plaats van drie afzonderlijke policies, gekozen kunnen worden om de thema’s dossiervorming, privacy en informatiedeling terug te laten keren in en allesomvattende Client Policy. Eenzelfde aanpak is denkbaar ten aanzien van interne documentatie zoals de cliëntquestionnaire, de inrichting van systemen zoals het interne Client Relationship Management systeem en de toegangsrechten tot zulke systemen.

  1. RANDVOORWAARDEN

Voor het succesvol implementeren van een solide regulatory compliance raamwerk dient aan een aantal randvoorwaarden te zijn voldaan. Ik noem er in dit kader een aantal die specifiek van belang zijn voor het succesvol implementeren van nieuw/gewijzigd beleid. In mijn beschouwing ga ik uit van een internationaal opererende (groep) onderneming(en).

Allereerst is het van cruciaal belang dat er binnen de groep voldoende draagvlak is voor het onderwerp regulatory compliance. Het bestuur en senior management dienen de juiste voorwaarden te scheppen. Er dient adequaat budget beschikbaar te worden gesteld, gepaste prioriteit aan projecten te worden gegeven en voldoende capaciteit te worden vrijgemaakt binnen de organisatie. Op bestuursniveau dient de verantwoordelijkheid voor regulatory compliance duidelijk te zijn belegd bij een van de bestuursleden die de (wereldwijde) eindverantwoordelijk-heid draagt.

Een overtuigend argument dat ik zelf hanteer, is het feit dat statistisch onderzoek uitwijst dat een sterke compliance cultuur ook strategische concurrentievoordelen met zich brengt.[9] Naast een heldere toon aan de top is nauwe betrokkenheid van het lijnmanagement evenzeer van belang. Lijnmanagers staan het dichtst bij het uitvoerend personeel in de verschillende jurisdicties en zullen in de regel goed op de hoogte zijn van lokale compliance uitdagingen.

Voorts is het van belang een structuur in te richten waarbij op lokaal niveau compliance functies in de diverse jurisdicties rapporteren aan een centrale compliance functie op groepsniveau. Op deze niveaus kan een klimaat worden gecreëerd waarin verschillen in regelgeving en cultuur tussen landen tijdig worden onderkend en geadresseerd. Hierdoor kan worden voorkomen dat in een bepaald land handelingen plaatsvinden die aldaar volkomen legaal en cultureel geaccepteerd zijn, terwijl deze in andere landen tot hoge boetes kunnen leiden. Dit is van belang gelet op de extraterritoriale werking van sommige typen regelgeving (denk aan de Foreign Corrupt Practice Act en de UK Bribery Act). Internationaal georiënteerde bedrijven zouden kunnen overwegen om een zogenaamde ‘Global Regulatory Compliance Manual’ op te stellen. Op deze wijze kan worden gestreefd naar een situatie waarin alle medewerkers binnen een groep, ongeacht hun locatie, werken conform organisatiebreed gedeelde basisprincipes.[10] Een uniform raamwerk als hierboven geschetst, maakt het aanmerkelijk eenvoudiger om nieuwe of gewijzigde regelgeving te incorporeren in bestaand intern beleid. Enerzijds vanwege de overzichtelijkheid van het centraal ontwikkelde beleid, anderzijds vanwege het internationaal uniforme karakter van veel nieuwe regelgeving. Bovendien biedt een uniform raamwerk goede mogelijkheden om een universele ‘compliance beleving’ binnen de groep te bereiken. Zo kunnen trainingen internationaal worden uitgerold met aandacht voor ‘local flavour’ en kan ervoor worden gekozen om medewerkers uit verschillende landen bijeen te brengen met als uiteindelijk doel het besef bij te brengen dat de medewerker naast de wet, evenzeer het interne beleid dient na te leven.

Goede interne communicatie en effectieve training van het personeel zijn kritische succesfactoren voor het bereiken van een gewenst niveau van regulatory compliance binnen een onderneming. Een duidelijke compliance awareness binnen een bedrijf verkleint de kans op onoirbaar gedrag door medewerkers, verliezen ten gevolge van civielrechtelijke aansprakelijkstelling, strafrechtelijke sancties of administratiefrechtelijke boetes en/of maatregelen. Frequente doelgerichte training en effectieve informatiedeling zijn in dit kader essentieel. Veel winst kan worden behaald wanneer compliance gerelateerde documenten terug worden gebracht tot de essentie. Goede voorbeelden zijn het Compliance Manual.

Wanneer dit document qua taalgebruik helder is en qua inhoud bondig, zal de gemiddelde werknemer veel beter in staat zijn om vast te stellen wat er van hem of haar in een bepaalde situatie wordt verwacht en hiernaar ook handelen. Compliance afdelingen hebben de plicht het de medewerkers in dit kader zo makkelijk mogelijk te maken. Zij moeten weten waar zij aan toe zijn. De kunst zit hem er dan ook in om ogenschijnlijk ingewikkelde materie terug te brengen tot de kern. Een uniform regulatory compliance raamwerk biedt ook een goed aanknopingspunt om interne werkprocessen goed op elkaar te laten aansluiten. Het kan als kapstok/referentiekader dienen voor een groep brede visie op de administratieve organisatie en interne controle (AO/IC). De in het vorige hoofdstuk beschreven ‘nieuwe kijk op regelgeving’ leent zich hier uitstekend voor, aangezien het als uitgangspunt heeft de veelheid aan regelgeving zoveel mogelijk terug te brengen tot gezamenlijke thema’s. Een belangrijk bijkomend voordeel van deze aanpak is dat het, door de bundeling van thema’s, eenvoudiger zal zijn om meerdere typen regelgeving in een en dezelfde training aan de orde te laten komen.

Qua trainingen verdient het de voorkeur een tweesporenbeleid te volgen. Reguliere trainingen voor een breed publiek handelend over de interne basisprincipes (zoals vastgelegd in het compliance manual), met daarnaast trainingen op maat die specifiek zijn toegesneden op bepaalde afdelingen of groepen medewerkers. Laatstgenoemde vorm van training biedt bij uitstek de mogelijkheid om (door middel van praktijkvoorbeelden) nader in te gaan op vragen als hoezeer bepaalde wettelijke vereisten doorwerken in de dagelijkse activiteiten van een (groep) medewerker(s). Denk bijvoorbeeld aan zorgplicht, cliënt identificatie en dossiervorming. Hierbij is het van belang om naast het doceren van informatie, het doseren van informatie niet uit het oog te verliezen. Compliance Officers hebben nogal de neiging om te streven naar een zo volledig mogelijke kennisoverdracht met het gevaar dat hun toehoorders het spoor bijster raken. Het is dan ook van belang de informatiedeling tijdens trainingen te beperken tot datgene wat relevant is voor het aanwezige publiek. Beleidsdocumenten zijn levende ‘organismen’ die meegroeien met de onderneming en het regulatoire landschap rondom de onderneming. Beleid is aan verandering onderhevig en met de toename van regelgeving neemt de frequentie van wijzigingen verder toe. Communicatie richting medewerkers is in dit kader van essentieel belang. Een goed hulpmiddel voor effectieve communicatie is het samenvatten van wijzigingen in beleid in een duidelijke nieuwsbrief. Daarnaast kan ervoor worden gekozen om gewijzigde en/of nieuwe tekst in bestaande beleid uit te lichten (bijvoorbeeld door gedurende een bepaalde periode de relevante tekst te onderstrepen). Met deze aanpak wordt voorkomen dat medewerkers documentatie in zijn geheel opnieuw moeten lezen. Het vergroot de bereidwilligheid onder medewerkers om kennis te nemen van de wijzigingen. Verder zullen medewerkers beter in staat zijn om wijzigingen in de context te plaatsen.

Sluitstuk van een succesvol implementatietraject is het periodiek monitoren en testen van de naleving van (wijzigingen in) het interne beleid. Hierdoor kan worden vastgesteld of een en ander effectief is neergedaald in de werkprocessen van het bedrijf, of het voldoende wordt begrepen door de medewerkers en (uit)gedragen door het management. Eventuele verbeterpunten, gesignaleerd tijdens het monitoren, worden gerapporteerd aan het lijnmanagement en, waar nodig, aan het hoger management. Ook hier leidt de ‘nieuwe kijk op regelgeving’ tot meer efficiency, aangezien het monitoren kan worden ingestoken op eerder geïdentificeerde thema’s in plaats van, zoals nu vaak het geval is, individuele typen regelgeving.

  1. CONCLUSIE

In deze bijdrage heb ik de voordelen beschreven van een thema gedreven methodiek voor het implementeren van nieuwe regelgeving. Ik noem dit de ‘nieuwe kijk op regelgeving’. Ten gevolge van deze methodiek zal het aantal regelgeving gedreven implementatieprojecten binnen een bedrijf (kunnen) afnemen. Hetzelfde geldt voor de interne regeldruk. Gezamenlijke onderwerpen binnen meerdere typen regelgeving kunnen op efficiënte wijze worden gebundeld en met een kleiner aantal projecten worden geadresseerd. Uiteindelijk vertaalt zich dit in beter geïntegreerd beleid. Deze methodiek kan worden voortgezet bij interne trainingsprogramma’s. Thema’s kunnen worden gekoppeld aan specifieke functies en/of afdelingen die een bepaalde verantwoordelijkheid op dit terrein hebben. Daardoor kunnen zij specifiek op hen toegespitste training krijgen. Bovendien zijn er voordelen voor het implementatietraject zelf[11]. Binnen een afdeling zullen vaak een of meerdere medewerkers kennisvoorsprong hebben opgebouwd ten gevolge van zijn/hun rol binnen een eerder project inzake het thema. Hierdoor worden zogenaamde ‘champions’ binnen een organisatie gecreëerd, die een belangrijke rol kunnen spelen bij het overtuigen van collega’s over het nut en/of de voordelen van bepaalde wijzigingen in beleid en werkprocessen. Het is mijn ervaring en vaste overtuiging dat de hiervoor beschreven aanpak, gekoppeld aan een proactieve houding ten aanzien van nieuwe regelgeving, ertoe zal leiden dat een onderneming beter in staat is om aantoonbaar compliant te zijn en te blijven.

[1] De Markets in Financial Instruments Directive (en Regulation), Alternative Investment Fund Managers Directive, de Undertakings for Collective Investment in Transferable Securities Directive, de Capital Requirements Directive, de Solvency Directive en de European Market Infrastructure Regulation.

[2] De Foreign Account Tax Compliance Act, de Dodd–Frank Wall Street Reform and Consumer Protection Act en de Institutions for Occupational Retirement Provision Directive.

[3] Denk aan Ballast Nedam, KPMG, SBM Offshore en Rabobank.

[4] Nieuwsbericht DNB, 8 mei 2014.

[5] Gibson Dunn becijfert dat het totale bedrag aan boetes in 2013 tweeëneenhalf maal groter was dan in 2004 (bron: Challenges in Compliance and Corporate Governance, 2015).

[6] Thomson Reuters, Cost of Compliance 2014.

[7] Deloitte Corporate Compliance Benchmark 2014 en 2015.

[8] Verwezen wordt onder meer naar de brief van DNB aan Rabobank inzake ‘Liborgate’. https://www.rabobank.com/nl/images/DNB-brief.pdf

[9] LRN Corp., 2013, Ethics & Compliance Leadership Survey Report 23 (2013).

[10] Specifieke (aanvullende) vereisten die eventueel voortvloeien uit lokale wet- en regelgeving kunnen worden vastgelegd in een aanvullende policy of addendum.

[11] Het kan zijn dat de medewerker onderdeel vormde van het project zelf of heeft gefunctioneerd als klankbord voor de projectgroep.