Steeds meer organisaties stellen een compliance officer aan. Men is het er over eens dat de compliance officer een spilfunctie in de organisatie is. Maar wat zijn nu precies de taken, bevoegdheden en verantwoordelijkheden van de compliance officer?
Er zijn meerdere definities van Compliance. Een veelgebruikte is de definitie: het toezien op de naleving van wet- en regelgeving. In het licht hiervan kun je ook de vertaling zien van het werkwoord: to comply with, dit betekent "overeenstemmen met".
In het kader van deze definitie heeft de compliance officer de rol om toe te zien op de naleving van de wet- en regelgeving. Onduidelijk in deze rolomschrijving is enerzijds de vraag wat toezien op naleving inhoudt. Betreft het toezien op naleving het uitvoeren van inspectie gericht op de vraag of de regels worden toegepast? Het is de vraag of je het bevorderen van de bekendheid van de wet- en regelgeving binnen deze rolbeschrijving dient te zien. Anderzijds is het onduidelijk en een issue van vele discussies wat de afbakening is van wet- en regelgeving. Hoe breed de compliance officer zijn rolopvatting dient te zien, wordt in deze definitie niet duidelijk gemaakt.
Een beter bruikbare definitie is de volgende: Compliance gaat over de vertaling van wetten en (interne) regels naar gewenst (normconform) organisatiegedrag.
In het licht van deze definitie heeft de compliance officer de rol van het bevorderen van compliance gericht gedrag en het ervoor zorgen dat non-compliant gedrag voorkomen wordt. Ook in deze definitie is niet precies duidelijk wat de afbakening van de rol van de compliance officer is. Wel expliciteert deze definitie het belang van gedrag van medewerkers en organisatiegedrag. Aan deze aspecten wordt door steeds meer partijen, waaronder toezichthoudende instanties, meer belang gehecht.
Vele artikelen gaan in op de historie van de compliance officer in Nederland. In eerste instantie zijn het de banken geweest die tot aanstelling van een compliance officer zijn overgegaan. Later zijn andere financiele instellingen overgegaan, zoals verzekeraars, trustkantoren en pensioenfondsen en ook niet-financiele instellingen als ziekenhuizen. Thans is sprake van de ontwikkeling dat bijvoorbeeld in het onderwijs tot aanstelling van compliance officers wordt overgegaan.
De compliance officers vervullen vaak een intermediaire functie tussen de toezichthouders en het management van organisaties in die zin dat zij het aanspreekpunt zijn bij toezichtvragen, bij bezoeken en onderzoeken. Daarnaast is compliance en daarmee ook de compliance officer vaak ook object (onderwerp) van onderzoeken. Bij onderzoeken wordt beoordeeld of de kwaliteit van de compliance en de compliance officer van voldoende niveau is. Het gaat bij de beoordeling van de compliance officer om de elementen als autoriteit en gezag, alsmede de expertise en vaardigheden van de compliance officer.
Voor de meeste onder toezicht staande financiële instellingen is het beschikken over een compliance officer een harde wettelijke norm. Deze norm is vastgelegd in de Wet op het financieel toezicht. Over het algemeen wordt gesteld dat een instelling die niet beschikt over een compliance officer onmogelijk kan voldoen aan de vereisten met betrekking tot het beschikken over een integere bedrijfsvoering.
Het taakgebied, waar de compliance officer zich op richt, is welhaast in iedere organisatie verschillend. Dit taakgebied hangt veelal af van de historie en achtergrond van de organisatie. Ook zien we dat het taakgebied afhangt van de achtergrond van de compliance officer en de visie van het verantwoordelijke (top)management van de instelling. Wat leidend zou moeten zijn bij de prioriteitstalling, is de vraag waar de waar de compliance risico's het grootst zijn.
De eerste stap voor de compliance officer is het uitvoeren van een risicoanalyse om de compliance risico’s scherp voor ogen te krijgen. Belangrijk is dat de compliance officer bij de uitvoering van de risicoanalyse er voor zorgt dat het management voldoende involved (betrokken) is. Het gaat om de juiste tone at the top. Deze eerste actie dient ertoe te leiden dat de belangrijkste risico's in kaart zijn gebracht (het compliance risico universum), dat een prioritering van risico’s heeft plaatsgevonden en dat ook de belangrijkste controls in beeld zijn (de key controls). Eventuele compliance risico's die nog niet door controls zijn afgedekt, zijn zogeheten compliance rest risico's. De compliance officer adviseert of en zo ja welke beheersmaatregelen (controls) ingezet moeten worden om de restrisico's tot een acceptabel niveau te mitigeren.
Zoals gezegd, er is (nog?) geen blauwdruk voor de taakgebieden waar de compliance officer zich op richt. Wel kan gezegd worden dat de compliance officer zich in het algemeen richt op de wetten en regels die het primaire proces met zich meebrengen. In mindere mate, of vaak in zijn geheel niet, richt de compliance officer zich op arboregels en dergelijke. Als belangrijkste argument geldt dat de compliance risico's op deze gebieden als laag worden ingeschat. Daarbij komt dat de compliance officer, door beperkte capaciteit, zich veelal richt op de kernrisico's voortvloeiende uit het hoofdproces van de organisatie. Zo houdt een compliance officer van een bank zich vaak bezig met het voldoen aan zorgplichteisen bij het verstrekken van hypotheken.
De wetten en regels waar de compliance officer, zich op basis van een risicoanalyse kan richten is:
- gedragsregels uitgevaardigd door de organisatie zelf (zoals interne gedragscodes en beliefs)
- financiële toezichtsregelgeving
- regels ter voorkoming van belangenverstrengeling
- regels ter voorkoming van misbruik van voorwetenschap (het monitoren van de privé beleggingstransacties (van de werknemers))
- regels ter voorkoming van witwassen en financiering van terrorisme.
De compliance officer houdt zich bezig met de volgende taken:
- het geven van training en voorlichting op het gebied van compliance en integriteit
- het uitvoeren van compliance onderzoeken
- bevorderen van compliance gericht gedrag
- kwaliteitszorg.
In grote organisaties is er sprake van een functiescheiding tussen deze twee taken. Dit houdt voornamelijk verband met de verschillen in competenties die deze twee taken van de compliance officer vragen. In het eerste geval dient de compliance officer over voldoende didactische vaardigheden te beschikken om de mensen in de organisatie te leren in compliance gericht gedrag. De compliance officer dient het management en medewerkers in de organisatie op te leiden en te trainen in relevante wetten en regels. De compliance officer dient vaak ook bekwaam te zijn in de organisatie en facilitering van een vorm van dilemmatraining. De compliance officer stelt een (meer-)jarenplan op hoe hij of zij compliance gericht wil bereiken of instand wil houden. Deze programma's dienen te worden goedgekeurd door het bestuur of de toezichthoudende instantie.
In de tweede situatie is het belangrijk dat de compliance officer over voldoende onderzoeksvaardigheden beschikt. Hieronder vallen luisteren, oordeelsvorming, analytisch vermogen, en communicatieve (mondelinge en schriftelijke) vaardigheden.
In het derde geval is het van belang dat de compliance officer voldoende affiniteit heeft over gebieden van bedrijfskunde en veranderkunde. Vaak wordt een compliance officer ook gevraagd om te adviseren over het sanctiebeleid bij overtredingen. In kleinere organisaties komt het ook voor dat, bij de afwezigheid van een sanctiebeleid, de compliance officer case-by-case adviseert over een sanctie bij overtredingen.
In de vierde situatie is de compliance officer de spilfunctie die adviseert over de kwaliteitszorg van organisaties. Bij bijvoorbeeld schoolgemeenschappen is dit een steeds meer voorkomende rol voor de compliance officer.
Een goede positionering van de compliance officer is in het kader van good corporate governance van groot belang. De compliance officer vervult immers een onafhankelijke rol. Deze rol kan de compliance officer enkel adequaat uitvoeren als zijn of haar onafhankelijk optimaal is gewaarborgd. Dit is te waarborgen door de compliance officer rechtstreeks te positioneren onder de voorzitter van de Raad van Bestuur. Om zijn onafhankelijkheid te borgen is een periodieke rapportagelijn naar het toezichthoudende orgaan van de organisatie, bij voorbeeld de Audit & Compliance Committee. Bij aanstelling of ontslag van de compliance officer wordt de Audit & Compliance Committee geconsulteerd. Bij ontslag van de compliance officer dient de compliance officer bevraagd te worden door het ACC op de reden voor het ontslag. Voorkomen dient te worden dat een kritische compliance officer wordt ontslagen, zonder dat de toezichthoudende organen van de 'echte' reden op de hoogte zijn. Er zijn echter geen wettelijke eisen die de verhouding tussen een toezichthoudend orgaan en de compliance officer regelen. In bijvoorbeeld de financiële sector is men wel bezig met het opstellen van good of best practices die ervoor dienen te zorgen dat de onafhankelijkheid van de compliance officer optimaal is geborgd.
In meerdere artikelen wordt geschreven dat de compliance officer de luis in de pels is of dient te zijn van het management: de compliance officer is als het ware het geweten van het management. Dit adagium wordt steeds minder breed gedragen. Dit betekent niet dat de compliance officer in specifieke dossiers niet een kritisch tegengeluid kan laten horen. De compliance officer dient zich, in de huidige tijdsgeest, steeds meer te ontwikkelen als integrity officer. In deze rol/functie is de compliance officer betrokken bij het bevorderen van een integriteitsbewuste cultuur. Hieronder wordt over het algemeen verstaan een bedrijfscultuur waarin de belangen van verschillende stakeholders zorgvuldig worden afgewogen, waarin consistente besluitvorming plaatsvindt en waarin verantwoording over besluiten wordt afgelegd.