12 nieuwe compliance-onderwerpen voor actieve bevraging van het bestuur

Toezicht op naleving wet- en regelgeving
Post-coronacrisis compliance-agenda voor commissarissen

Sinds de coronacrisis is er op het gebied van compliance – het naleven van wet- en regelgeving – binnen organisaties veel gebeurd. Nieuwe regels zijn ingevoerd om het coronavirus te bestrijden en bestaande compliancerisico’s zijn toegenomen door thuiswerken en de toegenomen druk binnen organisaties. Nu het einde van de coronacrisis in zicht komt, rijst de vraag hoe het compliancelandschap er nadien uitziet en wat dit betekent voor commissarissen in hun toezicht op compliance binnen organisaties. Een roadmap van KPMG-partners Leen Groen en Muel Kaptein.

In willekeurige volgorde zien wij de volgende twaalf nieuwe onderwerpen voor de compliance-agenda van commissarissen. Ons advies is om als commissaris juist op deze compliance-onderwerpen waakzaam te zijn en het bestuur actief hierop te bevragen.

  1. Compliancefunctie onder druk. Veel organisaties komen financieel slecht(er) uit de coronacrisis. Bezuinigingen zijn dan een logisch gevolg. De interne compliancefunctie, als deze er überhaupt is, zal hieraan niet ontkomen. Het heroverwegen van de compliancebezetting en ‑activiteiten hoort hier al snel bij. Voor commissarissen is het van belang zeker te stellen dat de compliancefunctie niet wordt uitgehold en gemarginaliseerd.
  2. Compliancecultuur op peil houden. De crisis deed al een groot beroep op de compliancecultuur van organisaties, maar de periode daarna doet dit waarschijnlijk nog meer. Wanneer alle aandacht uitgaat naar het herstel, kunnen managers en medewerkers de druk ervaren om naleving van interne en externe normen te veronachtzamen. En organisaties die in de crisisperiode in de overproductie zaten, lopen het risico dat medewerkers instorten. Juist dan de compliancecultuur op peil houden is een enorme en noodzakelijke opgave. Voor commissarissen is het daarom zaak vast te stellen dat de compliancecultuur op peil blijft en wat de organisatie daarvoor doet.
  3. Nieuwe compliancerisico’s door nieuwe zakelijke partijen. De coronacrisis leert het belang van het spreiden van risico’s. Onder andere ten aanzien van waar en bij wie organisaties inkopen en met wie zij zakendoen. Organisaties zullen daarom deels van zakelijke partijen veranderen. Dit betekent dat deze nieuwe partijen op compliancerisico’s moeten worden gescreend, contracten met hen op compliance moeten worden beoordeeld en compliancemonitoring daarvan moet worden ingeregeld. Daarnaast kan het afscheid nemen van partijen allerlei compliance-issues met zich meebrengen, zoals oneigenlijke druk, compensatieorders en onoorbare exitregelingen. Commissarissen dienen daarom extra alert te zijn dat de transitie naar nieuwe zakelijke partijen volgens de regels gebeurt.
  4. Digitalisering compliance-activiteiten. In de coronacrisis zijn organisaties gedwongen om meer gebruik te maken van digitale middelen. Dit zal de digitalisering van werkprocessen na de crisis versnellen. Het managen van compliance zal hierin mee moeten gaan, door het digitaliseren van onder andere compliancerisicoanalyses, compliancemonitoring en compliancetrainingen. Voor commissarissen is het daarom de vraag of de organisatie de digitalisering van compliance voortvarend oppakt.
  5. Herijking organisatiecode. De crisis leidt bij veel organisaties tot de vraag of de organisatiewaarden en -normen van voor de crisis toereikend zijn voor na de crisis. Er zijn nu al allerlei signalen van een brede maatschappelijke oproep tot een nieuwe moraal van organisaties. Ook is het te verwachten dat er behoefte ontstaat om de normen aan te passen ten aanzien van compliancethema’s, zoals corruptie, privacy, mededinging, mensenrechten en export. Veel organisaties zijn daarom juist nu (al) hun eigen organisatiecode aan het herijken. Voor commissarissen is het daarom relevant te bezien of de huidige organisatiecode toekomstbestendig is en hierover het gesprek met het bestuur aan te gaan.
  6. Toename incidentafhandeling. Een crisis gaat vaak gepaard met een toename van onoorbaar gedrag, zoals fraude, diefstal, corruptie en oneerlijke mededinging. De financiële druk en prestatiedruk nemen toe, evenals de gelegenheid tot onoorbaar gedrag (bijvoorbeeld door minder controle). Echter, dit kan pas na de crisis zichtbaar worden omdat medewerkers dan weer ruimte ervaren om incidenten te melden en toezichthouders onderzoeken hiernaar gaan verrichten (bijvoorbeeld of de overheidssteun rechtmatig is verkregen). Voor commissarissen betekent dit verzwaarde dijkbewaking en erop toezien dat er voldoende capaciteit en aandacht binnen de organisatie is voor het opvangen en afhandelen van incidentmeldingen.  
  7. Inhaalslag compliancetraining. In crisistijd zijn veel compliancetrainingen van managers en medewerkers vervallen. Als dergelijke trainingen noodzakelijk waren, dan staat er nu een inhaalslag te wachten. Voor commissarissen is het daarom wenselijk zicht te hebben op welke compliancetrainingen en andere bewustwordingsactiviteiten binnen de organisatie op de rol staan en er zeker van te zijn dat dit toereikend is.
  8. Compliancerisico’s bij reorganisatie. Vanwege de crisis zullen veel organisaties gaan reorganiseren. Het reorganisatieproces en de nieuwe organisatie brengen allerlei nieuwe compliancerisico’s met zich mee. Voor commissarissen rijst daarbij de vraag of de organisatie deze nieuwe compliancerisico’s goed in het vizier heeft en dientengevolge de compliance controls adequaat herijkt en toetst.
  9. Compliance wordt onderdeel van risicomanagement. De crisis laat zien dat er een connectiviteit is tussen risico’s. Risico’s kunnen niet geïsoleerd worden bekeken, maar alleen in onderlinge samenhang. Zo is het onderscheid tussen financiële en niet-financiële risico’s passé. Dit betekent dat het managen van compliancerisico’s in nauwe afstemming moet gebeuren met andere typen risico’s, dat er een eenduidig en integraal risicoraamwerk is en dat de verschillende risicofunctionarissen nauw samenwerken. Het is daarom belangrijk dat commissarissen vanuit dit perspectief het risicomanagement van de organisatie op de voet volgen.
  10. Nieuwe compliancerisico’s door digitalisering en robotisering. Naast de digitalisering zal door de crisis de robotisering van werkprocessen versnellen. Op het gebied van compliance brengt dit allerlei activiteiten met zich mee, zoals het bepalen van de compliancerisico’s van digitalisering en robotisering, het ontwerpen van de regels hiervoor en het monitoren van de compliance hiervan. Niet voor niets waarschuwen experts ervoor dat de volgende crisis wordt veroorzaakt door onbetrouwbare algoritmen. Commissarissen doen er daarom goed aan om erop toe te zien dat de digitalisering en robotisering compliancebestendig zijn.
  11. Toenemende wetgeving en toezicht. Eigen aan een grote crisis is dat de samenleving ervan wil leren om herhaling te voorkomen. Dit gaat gepaard met nieuwe wetgeving (vergelijk alleen al de stortvloed aan wetgeving naar aanleiding van de financieel-economische crisis in 2008). Nieuwe of aangepaste wetgeving, met vervolgens toezicht daarop, is naar aanleiding van de huidige crisis te verwachten op het gebied van de handel in wilde dieren, klimaatverandering, veiligheid en mensenrechten. Voor commissarissen is het daarom van belang erop toe te zien dat de organisatie nieuwe wetgeving tijdig oppakt en extra toezicht vlekkeloos honoreert.
  12. Naar aantoonbare effectiviteit van compliance. Na de coronacrisis zal de trend zich doorzetten dat toezichthouders en opsporingsautoriteiten in geval van incidenten beoordelen of de betreffende organisatie zelf vooraf voldoende heeft gedaan om de incidenten te voorkomen. Het gaat daarbij niet alleen om de opzet en bestaan maar juist ook om de effectiviteit van de compliancesystemen. Commissarissen kunnen aan het management vragen wat wordt gedaan aan het evalueren, vergelijken en meten van de effectieve werking van bijvoorbeeld de compliancefunctie, zoals via benchmarking, volwassenheidsdoorlichtingen of certificering (denk hierbij aan de nieuwe ISO 37301 ‘Compliance management systems standaard’ die naar verluidt binnenkort uitkomt).

Al met al zien wij een hele lijst van nieuwe onderwerpen voor de complianceagenda van organisaties en daarmee voor commissarissen. Deze onderwerpen zijn niet voor iedere organisatie even relevant en nieuw. En ongetwijfeld is bovenstaand overzicht incompleet. In ieder geval denken wij dat er de komende tijd veel compliance-onderwerpen op commissarissen afkomen. En mocht dat in uw geval niet zo zijn, dan is het wenselijk om ten minste de vraag te stellen wat het bestuur zelf ziet als compliance-agenda na de coronacrisis.

Leen Groen en Muel Kaptein zijn als partner werkzaam bij KPMG Forensic, Integrity & Compliance. Muel Kaptein is daarnaast hoogleraar bedrijfsethiek aan de Erasmus Universiteit Rotterdam.