Spotted Early and handled well, rules can be a motivator for strategic change

This Article in Dutch is a contribution to the 85th anniversary collection of the Dutch Society for Company Lawyers (NGB).

Nieuwe kijk op regelgeving in het financiële toezichtsrecht

Floris Pijnse van der Aa[1]

  1. Inleiding

De financiële crisis van 2008 heeft geleid tot de meest vergaande hervorming van het financiële systeem in decennia. In veel landen is door wetgevende- en toezichthoudende autoriteiten gewerkt aan reparatiewetgeving, onder andere op het gebied van kapitaal, liquiditeit, risicomanagement en consumentbescherming. In reactie hierop hebben veel bedrijven hun compliancefuncties versterkt en is compliance geëvolueerd tot een volwaardig onderdeel van het jaarverslag en de agenda van het bestuur. Een terechte ontwikkeling, die om een moderne compliancefunctie vraagt. Door efficiënt gebruik te maken van interne resources en expertise kunnen complianceafdelingen zich ontwikkelen van een van oorsprong juridisch gedomineerde discipline tot een brede risicofunctie die sterk verankerd is binnen alle geledingen van de onderneming.

  1. Nieuwe werkelijkheid in toezichtland

In een snel veranderende en globaliserende wereld met toenemende regulering staan organisaties voor de uitdaging om te voldoen en blijven voldoen aan de overvloed aan complexe wet- en regelgeving onder strengere supervisie van de toezichthoudende autoriteiten. Het grote volume nieuwe regelgeving, het uitgebreide toepassingsbereik en de relatieve snelheid van collectieve implementatie vergen een proactieve houding van ondernemingen. Koplopers zijn Europa en de Verenigde Staten. Enkele in het oog springende initiatieven vanuit Europa zijn MiFID, de AIFMD, UCITS, CRD IV, Basel III, Solvency en EMIR.[2] Tegenhangers in de Verenigde Staten zijn onder meer FATCA, de omvangrijke DFA en IORP.[3] Een grote hoeveelheid aanvullende voorstellen staan nog op de rol en het einde van de hervorming lijkt nog niet in zicht. Hoewel een breed scala aan thema’s de revue passeert, ligt het accent van de nieuwe regelgeving op het bevorderen van transparantie, beheerst risicobeleid en een stabiele financiële sector. Deze ontwikkeling loopt parallel met de proactieve houding van toezichthouders. Denk aan de wijzigingen met de komst van de Europese bankenunie. Meer dan voorheen krijgen banken te maken krijgen met on-site toezicht, waarbij een groep toezichtexperts voor kortere of langere tijd langsgaat bij een instelling om ter plekke onderzoek te doen. De inspectieteams zullen met meer focus diepgaand onderzoek doen op deelonderwerpen.

Hoewel grotere instellingen gewend zijn aan dergelijke inspecties kan de impact voor kleinere partijen relevant zijn; zij moeten rekenen op één bezoek in de twee à vijf jaar. Instellingen zijn de afgelopen jaren dan ook aanmerkelijk kwetsbaarder geworden voor de gevolgen van non-compliance, waarbij het sanctiebeleid aanmerkelijk strenger is geworden.[4] Uit recent onderzoek van DNB komt naar voren dat financiële instellingen op het gebied van hun risicobeheersingsbeleid vooruitgang hebben geboekt.[5] Zo wordt er een meer evenwichtige afweging gemaakt tussen risico’s en rendement en is de risicomanagementfunctie de afgelopen jaren versterkt. Ook staat het onderwerp risicobeheer prominent op de agenda van het management en de interne toezichthouders. De nieuwe werkelijkheid in toezichtland stelt eisen aan financiële instellingen op gebieden als corporate governance, risicobereidheid, solvabiliteit, stressscenario’s, operationeel risico, technologie en informatiesystemen, en de bedrijfscultuur. Meer dan voorheen wordt binnen de bestuurskamer het belang onderkend van een robuust risicobeheersings- en een solide compliancebeleid. Een ontwikkeling die gelijke tred houdt met de toename in handhavingsmaatregelen door toezichthouders en opsporingsautoriteiten. Ook bestuurders worden niet ontzien. In situaties waarin is nagelaten afdoende maatregelen te treffen ter voorkoming van non-compliance kunnen zij, naast civielrechtelijke aansprakelijkstelling, worden geconfronteerd met administratiefrechtelijke maatregelen, bijvoorbeeld doordat zij worden afgekeurd als bestuurder, maar ook met strafrechtelijke sancties. Met name in de Verenigde Staten en het Verenigd Koninkrijk zijn dergelijke sancties in aantal en omvang exponentieel toegenomen en ook Nederlandse bedrijven ondervinden hiervan de consequenties.[6] Enerzijds vanwege hun internationale activiteiten, anderzijds ten gevolge van de intensievere internationale samenwerking tussen toezichthouders en opsporingsautoriteiten.

  1. Gevolgen voor compliance officers en juristen

De toename in complexe regelgeving legt een steeds grotere druk op compliancemedewerkers en juristen. Blijkens een recente survey van Thomson Reuters besteedt ongeveer een derde van de compliance georiënteerde medewerkers minimaal een volledige werkdag in de week aan het volgen en analyseren van regelgeving.[7] In het verlengde hiervan heeft Deloitte vastgesteld dat bedrijven in een breed scala van sectoren nieuwe en/of strengere wet- en regelgeving als voornaamste reden zien voor het hebben van een sterke compliancefunctie en regulatory compliance zien als een centraal onderdeel van de bedrijfsstrategie.[8] Om te kunnen begrijpen hoe bedrijven hier invulling aan geven is het van belang om het begrip regulatory compliance nader te definiëren. In het kader van deze bijdrage wordt hieronder verstaan: het naleven van vereisten die van toepassing zijn op de activiteiten van ondernemingen als gevolg van regelgeving, wettelijke bepalingen, industriestandaarden en interne eisen.

De grote hoeveelheid richtlijnen, uitwerkingsmaatregelen, nationale wetten, algemene maatregelen van bestuur en handleidingen (guidelines) van autoriteiten legt een toenemend beslag op afdelingen die zich bezighouden met financiële regelgeving, zoals compliance. Een complicerende factor hierbij is dat de introductieschema’s van de diverse typen regelgeving vaak parallel lopen, waardoor bedrijven genoodzaakt zijn meerdere grote implementatieprojecten naast elkaar te initiëren.

Het opbouwen van een ervaren, kwalitatief hoogwaardige compliancefunctie is een belangrijke voorwaarde voor een robuust compliancesysteem. Het wekt dan ook geen bevreemding dat bedrijven, (semi-)overheidsinstanties en toezichthoudende autoriteiten druk doende zijn hun in-house compliancevaardigheden te verhogen. De inhoudelijke kwaliteit van de complianceafdeling is van steeds groter belang, mede gelet op de wereldwijde beweging richting principles-based regelgeving. Anders dan in het verleden streven wetgevende- en toezichthoudende autoriteiten er tegenwoordig naar om regelgeving te ontdoen van onnodige detaillering. Nieuwe regelgeving bevat vooral basisprincipes waarbij van ondernemingen wordt verwacht dat zij zelfstandig een oordeel vormen hoe een en ander het best binnen hun organisatie kan worden geïncorporeerd. Toezichthoudende autoriteiten stellen zich terughoudend op ten aanzien van het verstrekken van guidance. In plaats daarvan stellen zij middels onderzoeken (terugkijkend) vast of een onderneming al dan niet compliant is. Hierin schuilt een reputatiegevaar, aangezien boetebesluiten, maar tegenwoordig ook aanwijzingen van toezichthouders, voor publicatie vatbaar zijn.[9] Mogelijk verklaart de combinatie van bovenstaande feiten waarom DNB, in het eerder gememoreerde onderzoek, compliance als zorgpunt kwalificeert. Naast de kwaliteit van de afdeling is het evenzeer van belang dat de compliancefunctie goed is ingebed in de organisatie. Van een complianceafdeling wordt vandaag de dag verwacht dat zij tot in de haarvaten van alle organisatieonderdelen doordringt. De compliancefunctie, al dan niet in combinatie met de juridische afdeling, dient een essentieel onderdeel van het primaire proces te zijn en dient voldoende geëquipeerd te zijn om trends en thema’s binnen de diverse typen wet- en regelgeving te identificeren, de relevantie en impact hiervan te analyseren en hierop tijdig te anticiperen. Steeds meer ligt het accent op het analyseren van nieuwe regels en trends, het lobbyen om onbedoelde c.q. ongewenste gevolgen te minimaliseren, het vertalen van de uit nieuwe regelgeving voortvloeiende vereisten in interne normen, gedragsregels, beleid en procedures, de communicatie hiervan richting medewerkers en het borgen van de naleving. Een en ander betekent dat een organisatie over het juiste compliance- en juridisch personeel dient te beschikken. Persoonlijke vaardigheden, deskundigheid, senioriteit, maar ook de diversiteit binnen de compliance- en juridische teams spelen hierbij een belangrijke rol. De vraag naar hoogwaardige expertise op het gebied van financiële regelgeving neemt toe, waardoor het voor een instelling steeds lastiger wordt om voldoende geëquipeerde professionals aan te trekken.

  1. Werken op basis van thema’s

4.1       Uitgangspunt

Door optimaal gebruik te maken van interne resources, informatiebronnen en reeds aanwezige expertise binnen een bedrijf, kan worden bereikt dat een onderneming aantoonbaar en gecontroleerd aan wet- en regelgeving voldoet en blijft voldoen. Voor veel ondernemingen, althans zo is mijn ervaring, is dit echter een uitdaging. Veelal is dat te wijten aan de nadelen die kleven aan, wat ik noem, de regelgevinggedreven projectaanpak. Ik doel hiermee op het feit dat implementatieprojecten vaak gekoppeld zijn aan een specifieke nieuwe of gewijzigde regelgeving, waarbij voor ieder type regelgeving (zoals MiFID, AIFMD of FATCA) een apart project in het leven wordt geroepen. Gelet op de toename van nieuwe regelgeving, leidt deze aanpak ertoe dat juridische en complianceafdelingen genoodzaakt zijn steeds meer tijd (in mijn ogen onnodig veel tijd) in te ruimen voor projecten. Bijkomend probleem voor mondiale ondernemingen is hoe te voldoen aan meerdere, soms tegenstrijdige regelgeving geïmplementeerd door verschillende regelgevende instanties. Niet vreemd dus dat de toegenomen hoeveelheid complexe nieuwe regelgeving en de daaraan gerelateerde implementatieprojecten een steeds zwaardere wissel trekken op de compliance- en juridische afdelingen. Juristen en compliance officers nemen in de regel een prominente rol in bij regelgevinggedreven implementatieprojecten. Zij zijn betrokken in vrijwel alle schakels van dergelijke trajecten. Het start met de analyse van aankomende regelgeving, gevolgd door de deelname aan een of meerdere project teams, resulterend in het formuleren van intern beleid en het geven van trainingen richting het personeel. De ‘tsunami’ aan nieuwe regelgeving wordt vaak als boosdoener aangewezen, echter de wijze waarop een bedrijf hierop anticipeert is evenzeer bepalend. Door op de juiste wijze gebruik te maken van interne resources en expertise zal een onderneming beter in staat zijn om nieuwe regelgeving in een vroeg stadium te signaleren en de implicaties ervan op waarde te schatten en kan het belangrijke input vormen voor strategische beslissingen.

4.2       Praktijkvoorbeeld

Ik zal het voorgaande illustreren door middel van een praktijkvoorbeeld. In het voorbeeld heeft een financiële instelling een drietal ontwikkelingen geïdentificeerd die naar verwachting relevante impact zullen hebben op haar organisatie en de wijze van dienstverlening. Het betreft wijzigingen op het gebied van privacy, zorgplicht en cliëntidentificatie. In het voorbeeld besluit het management van de onderneming een privacyproject te starten. Enige maanden later wordt separaat een MiFID-project opgezet, gevolgd door een apart FATCA-project. Hier ligt meteen het gevaar van inefficiëntie op de loer. Er ontstaan drie separate projecten met elk eigen teamleden, vergaderingen en rapportages. Ieder team maakt separaat van elkaar impact assessments, plannen van aanpak en implementatieplannen. Wanneer het ontbreekt aan goede afstemming tussen de drie teams, zal er overlap ontstaan in aandachtsgebieden.

Neem onderwerpen als bewaarplicht en dossiervorming; ongetwijfeld thema’s die naar voren zullen komen binnen alle drie de projecten. Hoewel er binnen de verschillende typen regelgeving zeker gemene delers te onderkennen zijn, zullen deze in het voorbeeld niet snel worden onderkend. De kans is groot dat de drie projectteams bij hun analyses en implementatieplannen vooral gefocust zullen zijn op de deelgebieden waarvoor zij verantwoordelijk zijn gesteld. Bij het opstellen van intern beleid, het doorvoeren van aanpassingen in bestaande documenten en systemen en het inrichten van nieuwe werkprocessen, documentatie en systemen zullen zij weinig tot geen oog hebben voor regelgeving die buiten hun eigen scope valt. Indien dit het geval is zullen de thema’s bewaarplicht en dossiervorming binnen de drie gremia separaat van elkaar worden behandeld. Naast suboptimaal gebruik van interne resources, brengt deze aanpak een reëel risico op non-compliance met zich mee. Het is denkbaar dat een beleidsbeslissing van project A in een later stadium teniet wordt gedaan door een actie van project B (denk aan het inkorten van een bewaartermijn). Ook kan zich de situatie voordoen dat een door project B ontwikkeld proces strijdig is met een door project A vastgestelde restrictie (bijvoorbeeld het grensoverschrijdend delen van cliëntgegevens terwijl een verbod geldt). Bovendien vergroot deze aanpak de kans op overlap in intern beleid. Zo zullen in het voorbeeld naast elkaar een aantal policies worden ontwikkeld. Een policy voor MiFD, een andere voor privacy en een derde voor FATCA. Naar verwachting zullen de drie policies een aantal gemeenschappelijke thema’s behandelen maar zullen de projectgroepen elk een eigen invulling hiervoor hebben en aanpassingen willen doorvoeren in documentatie, werkprocessen en systemen.

Terugkerend naar de thema’s dossiervorming en bewaartermijn zal het voor de hand liggen dat elk projectteam aanpassingen zal doorvoeren in de cliëntquestionnaire, het (digitale) cliëntdossiers en het archiefbeleid. In het scenario dat de projectteams hun blikveld hebben beperkt tot hun eigen scope zullen zij geen tot weinig aandacht hebben voor eventuele gecombineerde oplossingen. In het voorgaande schuilt het gevaar van overmatige beleidsvorming, hetgeen een compliancerisico op zichzelf is. Het leidt tot afkalvend draagvlak bij medewerkers en het overzicht raakt zoek. Enigszins gechargeerd, ziet de medewerker door de bomen het bos niet meer. Bij de uitvoering van zijn dagelijkse werk moet hij voortdurend nieuwe vereisten in acht nemen, aanvullende handelingen verrichten of heeft hij te maken met gewijzigde systemen en documenten. Ik zal hieronder aantonen dat een themagedreven aanpak veel van deze problemen voorkomt.

4.2       Voordelen van een themagedreven methodiek

De ‘nieuwe werkelijkheid in toezichtland’, waarin een toenemend aantal financiële wetten (grotendeels) parallel dienen te worden geïmplementeerd, vraagt om een andere projectaanpak. Ik noem dit de thema gedreven methodiek. Startpunt van deze aanpak is een uitvoerige analyse van (naderende) regelgeving met als doel gemeenschappelijke thema’s te identificeren op basis waarvan organisatie breed actiepunten kunnen worden vastgesteld. Anders dan in het voorbeeld is bij deze methodiek niet de regelgeving zelf maatgevend voor de inrichting en uitvoering van implementatietrajecten.

In plaats daarvan wordt dit bepaald op basis van te onderscheiden thema’s binnen de diverse typen regelgeving. Het voordeel hiervan is dat aan elkaar gerelateerde onderwerpen kunnen worden toegewezen aan een projectgroep, bestaande uit leden die specifieke kennis van en/of ervaring met dit deelgebied hebben. Wanneer bijvoorbeeld een projectgroep zich bezighoudt met onderwerpen zoals dossiervorming, bewaartermijnen en informatiedeling ligt het voor de hand om in ieder geval frontoffice- en archiefmedewerkers te betrekken, terwijl het voor een projectgroep met een focus op varianten van rapportages voor de hand ligt om collega’s met een achtergrond in finance of accounting te betrekken. Deze aanpak leidt tot een efficiënt gebruik van de binnen een bedrijf reeds aanwezige informatiebronnen, expertise en resources. Doordat de projectgroepen multidisciplinair zijn samengesteld met ter zake kundige projectleden is het eenvoudiger om per thema een sluitende gapanalyse te maken waarbij de bestaande praktijk binnen een bedrijf wordt vergeleken met de vereiste (toekomstige) standaard op basis waarvan de actiepunten worden bepaald. De projectgroep heeft de mogelijkheid en het mandaat om de thema’s op consistente wijze te combineren in intern beleid, werkprocessen, systemen en interne controlemechanismen. Het voordeel hiervan is dat kan worden gekozen voor regelgeving overstijgende oplossingen. Terugkerend naar het voorbeeld, kan er, in plaats van drie afzonderlijke policies, gekozen kunnen worden om de thema’s dossiervorming, privacy en informatiedeling terug te laten keren in een allesomvattende client policy. Eenzelfde aanpak is denkbaar ten aanzien van interne documentatie zoals de cliëntquestionnaire, de inrichting van systemen zoals het systeem voor client-relationshipmanagement en de toegangsrechten tot zulke systemen.

  1. Randvoorwaarden

5.1       Algemeen

Voor het succesvol implementeren van een solide regulatory-complianceraamwerk dient aan een aantal randvoorwaarden te zijn voldaan. Ik noem er in dit kader een aantal die specifiek van belang zijn voor het succesvol implementeren van nieuw/gewijzigd beleid. In mijn beschouwing ga ik uit van een internationaal opererende (groep) onderneming(en).

5.2       Managementcommitment

Allereerst is het van cruciaal belang dat er binnen de groep voldoende draagvlak is voor het onderwerp regulatory compliance. Het bestuur en senior management dienen de juiste voorwaarden te scheppen. Er dient adequaat budget beschikbaar te worden gesteld, gepaste prioriteit aan projecten te worden gegeven en voldoende capaciteit te worden vrijgemaakt binnen de organisatie. Op bestuursniveau dient de verantwoordelijkheid voor regulatory compliance duidelijk te zijn belegd bij een van de bestuursleden die de (wereldwijde) eindverantwoordelijkheid draagt.

Een overtuigend argument dat ik zelf hanteer, is het feit dat statistisch onderzoek uitwijst dat een sterke compliancecultuur ook strategische concurrentievoordelen met zich brengt.[10] Naast een heldere toon aan de top is nauwe betrokkenheid van het lijnmanagement evenzeer van belang. Lijnmanagers staan het dichtst bij het uitvoerend personeel in de verschillende jurisdicties en zullen in de regel goed op de hoogte zijn van lokale compliance-uitdagingen.

5.3       Solide compliancefunctie

Voorts is het van belang een structuur in te richten waarbij op lokaal niveau compliancefuncties in de diverse jurisdicties rapporteren aan een centrale compliancefunctie op groepsniveau. Op deze niveaus kan een klimaat worden gecreëerd waarin verschillen in regelgeving en cultuur tussen landen tijdig worden onderkend en geadresseerd. Hierdoor kan worden voorkomen dat in een bepaald land handelingen plaatsvinden die aldaar volkomen legaal en cultureel geaccepteerd zijn, terwijl deze in andere landen tot hoge boetes kunnen leiden. Dit is van belang gelet op de extraterritoriale werking van sommige typen regelgeving (denk aan de Foreign Corrupt Practice Act en de UK Bribery Act). Internationaal georiënteerde bedrijven zouden kunnen overwegen om een zogenaamde ‘Global Regulatory Compliance Manual’ op te stellen. Op deze wijze kan worden gestreefd naar een situatie waarin alle medewerkers binnen een groep, ongeacht hun locatie, werken conform organisatiebreed gedeelde basisprincipes.[11] Een uniform raamwerk als hierboven geschetst, maakt het aanmerkelijk eenvoudiger om nieuwe of gewijzigde regelgeving te incorporeren in bestaand intern beleid. Enerzijds vanwege de overzichtelijkheid van het centraal ontwikkelde beleid, anderzijds vanwege het internationaal uniforme karakter van veel nieuwe regelgeving. Bovendien biedt een uniform raamwerk goede mogelijkheden om een universele ‘compliancebeleving’ binnen de groep te bereiken. Zo kunnen trainingen internationaal worden uitgerold met aandacht voor local flavour en kan ervoor worden gekozen om medewerkers uit verschillende landen bijeen te brengen met als uiteindelijk doel het besef bij te brengen dat de medewerker naast de wet, evenzeer het interne beleid dient na te leven.

5.4       Effectieve communicatie

Goede interne communicatie en effectieve training van het personeel zijn kritische succesfactoren voor het bereiken van een gewenst niveau van regulatory compliance binnen een onderneming. Een duidelijke compliance awareness binnen een bedrijf verkleint de kans op onoorbaar gedrag door medewerkers, verliezen ten gevolge van civielrechtelijke aansprakelijkstelling, strafrechtelijke sancties of administratiefrechtelijke boetes en/of maatregelen. Frequente doelgerichte training en effectieve informatiedeling zijn in dit kader essentieel. Veel winst kan worden behaald wanneer compliancegerelateerde documenten terug worden gebracht tot de essentie. Goed voorbeeld is het Compliance Manual.

Wanneer dit document qua taalgebruik helder is en qua inhoud bondig, zal de gemiddelde werknemer veel beter in staat zijn om vast te stellen wat er van hem of haar in een bepaalde situatie wordt verwacht en hiernaar ook handelen. Complianceafdelingen hebben de plicht het de medewerkers in dit kader zo makkelijk mogelijk te maken. Zij moeten weten waar zij aan toe zijn. De kunst zit hem er dan ook in om ogenschijnlijk ingewikkelde materie terug te brengen tot de kern. Een uniform regulatory-complianceraamwerk biedt ook een goed aanknopingspunt om interne werkprocessen goed op elkaar te laten aansluiten. Het kan als kapstok of referentiekader dienen voor een groep brede visie op de administratieve organisatie en interne controle (AO/IC). De in het vorige hoofdstuk beschreven ‘nieuwe kijk op regelgeving’ leent zich hier uitstekend voor, aangezien het als uitgangspunt heeft de veelheid aan regelgeving zoveel mogelijk terug te brengen tot gezamenlijke thema’s. Een belangrijk bijkomend voordeel van deze aanpak is dat het, door de bundeling van thema’s, eenvoudiger zal zijn om meerdere typen regelgeving in een en dezelfde training aan de orde te laten komen.

5.5       Overtuigende training

Qua trainingen verdient het de voorkeur een tweesporenbeleid te volgen. Reguliere trainingen voor een breed publiek handelend over de interne basisprincipes (zoals vastgelegd in het compliance manual), met daarnaast trainingen op maat die specifiek zijn toegesneden op bepaalde afdelingen of groepen medewerkers. Laatstgenoemde vorm van training biedt bij uitstek de mogelijkheid om (door middel van praktijkvoorbeelden) nader in te gaan op vragen als hoezeer bepaalde wettelijke vereisten doorwerken in de dagelijkse activiteiten van een (groep) medewerker(s). Denk bijvoorbeeld aan zorgplicht, cliënt identificatie en dossiervorming. Hierbij is het van belang om naast het doceren van informatie, het doseren van informatie niet uit het oog te verliezen. Compliance officers hebben nogal de neiging om te streven naar een zo volledig mogelijke kennisoverdracht met het gevaar dat hun toehoorders het spoor bijster raken. Het is dan ook van belang de informatiedeling tijdens trainingen te beperken tot datgene wat relevant is voor het aanwezige publiek. Beleidsdocumenten zijn levende ‘organismen’ die meegroeien met de onderneming en het regulatoire landschap rondom de onderneming. Beleid is aan verandering onderhevig en met de toename van regelgeving neemt de frequentie van wijzigingen verder toe. Communicatie richting medewerkers is in dit kader van essentieel belang. Een goed hulpmiddel voor effectieve communicatie is het samenvatten van wijzigingen in beleid in een duidelijke nieuwsbrief. Daarnaast kan ervoor worden gekozen om gewijzigde en/of nieuwe tekst in bestaande beleid uit te lichten (bijvoorbeeld door gedurende een bepaalde periode de relevante tekst te onderstrepen). Met deze aanpak wordt voorkomen dat medewerkers documentatie in zijn geheel opnieuw moeten lezen. Het vergroot de bereidwilligheid onder medewerkers om kennis te nemen van de wijzigingen. Verder zullen medewerkers beter in staat zijn om wijzigingen in de context te plaatsen.

5.6       Gestructureerde monitoring

Sluitstuk van een succesvol implementatietraject is het periodiek monitoren en testen van de naleving van (wijzigingen in) het interne beleid. Hierdoor kan worden vastgesteld of een en ander effectief is neergedaald in de werkprocessen van het bedrijf, of het voldoende wordt begrepen door de medewerkers en (uit)gedragen door het management. Eventuele verbeterpunten, gesignaleerd tijdens het monitoren, worden gerapporteerd aan het lijnmanagement en, waar nodig, aan het hoger management. Ook hier leidt de ‘nieuwe kijk op regelgeving’ tot meer efficiency, aangezien het monitoren kan worden ingestoken op eerder geïdentificeerde thema’s in plaats van, zoals nu vaak het geval is, individuele typen regelgeving.

  1. Conclusie

In deze bijdrage heb ik de voordelen beschreven van een thema gedreven methodiek voor het implementeren van nieuwe regelgeving. Ik noem dit de ‘nieuwe kijk op regelgeving’. Ten gevolge van deze methodiek zal het aantal regelgevinggedreven implementatieprojecten binnen een bedrijf (kunnen) afnemen. Hetzelfde geldt voor de interne regeldruk. Gezamenlijke onderwerpen binnen meerdere typen regelgeving kunnen op efficiënte wijze worden gebundeld en met een kleiner aantal projecten worden geadresseerd. Uiteindelijk vertaalt zich dit in beter geïntegreerd beleid. Deze methodiek kan worden voortgezet bij interne trainingsprogramma’s. Thema’s kunnen worden gekoppeld aan specifieke functies en/of afdelingen die een bepaalde verantwoordelijkheid op dit terrein hebben. Daardoor kunnen zij specifiek op hen toegespitste training krijgen. Bovendien zijn er voordelen voor het implementatietraject zelf.[12] Binnen een afdeling zullen vaak een of meerdere medewerkers kennisvoorsprong hebben opgebouwd ten gevolge van zijn/hun rol binnen een eerder project inzake het thema. Hierdoor worden zogenaamde champions binnen een organisatie gecreëerd, die een belangrijke rol kunnen spelen bij het overtuigen van collega’s over het nut en/of de voordelen van bepaalde wijzigingen in beleid en werkprocessen. Het is mijn ervaring en vaste overtuiging dat de hiervoor beschreven aanpak, gekoppeld aan een proactieve houding ten aanzien van nieuwe regelgeving, ertoe zal leiden dat een onderneming beter in staat is om aantoonbaar compliant te zijn en te blijven.

[1] Mr. F.J. Pijnse van der Aa is specialist op het gebied van het financiële toezichtsrecht en treedt op in de hoedanigheid van advocaat, interim manager of consultant.

[2] Markets in Financial Instruments Directive (en Regulation), Alternative Investment Fund Managers Directive, Undertakings for Collective Investment in Transferable Securities Directive, Capital Requirements Directive, Solvency Directive en European Market Infrastructure Regulation.

[3] Foreign Account Tax Compliance Act, Dodd–Frank Wall Street Reform and Consumer Protection Act en Institutions for Occupational Retirement Provision Directive.

[4] Denk aan Ballast Nedam, KPMG, SBM Offshore en Rabobank.

[5] Nieuwsbericht DNB, ‘Nieuwsbrief Banken’,8 mei 2014.

[6] Gibson Dunn becijfert dat het totale bedrag aan boetes in 2013 2,5 maal groter was dan in 2004.

Webcast Challenges in Compliance and Corporate Governance, 2015.

[7] Thomson Reuters, Cost of Compliance Survey, 2014.

[8] Deloitte, Corporate Compliance Benchmark, 2014 en 2015.

[9] Verwezen wordt onder meer naar de brief van DNB https://www.rabobank.com/nl/images/DNB-brief.pdf.

[10] LRN Corp., Ethics & Compliance Leadership Survey Report 23, 2013.

[11] Specifieke (aanvullende) vereisten die eventueel voortvloeien uit lokale wet- en regelgeving kunnen worden vastgelegd in een aanvullende policy of addendum.

[12] Het kan zijn dat de medewerker onderdeel vormde van het project zelf of heeft gefunctioneerd als klankbord voor de projectgroep.