Meer dan de letter van de wet – De moderne compliancefunctie

De compliancefunctie is een essentiële schakel in het waarborgen van een beheerste en integere bedrijfsvoering. Afgaand op de oorspronkelijke definitie van ‘compliance’ draait de functie om het naleven van regels en het voldoen aan (wettelijke)vereisten. Bedrijven en organisaties wijzen hiervoor een persoon of functie aan met de juiste vaardigheden en expertise, van oudsher meestal die van een jurist, om ervoor te zorgen dat er geen regels worden overtreden en dat men te allen tijde klaar is voor inspecties of audits.

Tegenwoordig is de compliancefunctie echter meer dan het nalopen en afvinken van wetten en vereisten. Er wordt ook verwacht dat zij bijdraagt aan maatschappelijk verantwoord ondernemen, sociale veiligheid, integriteit en de cultuur van de organisatie.

Een te nauwe blik op compliance leidt tot het nu en dan nalopen van lijstjes van vereisten, met beperkte grip op naleving en een laag bewustzijn van de meerwaarde die de functie kan bieden. Het denken over compliance zou moeten verschuiven: van het afvinken van wettelijke vereisten en meldingen naar interne voorlichting, bewustwording en het bevorderen van integriteit en maatschappelijke verantwoordelijkheid.

In dit artikel gaan we in op het belang van de compliancefunctie, waarom deze breder en waardevoller is dan de naam doet vermoeden, en hoe zij optimaal gepositioneerd kan worden binnen de organisatie.

De essentie van de compliancefunctie
Voor verzekeraars is de compliancefunctie verplicht op basis van Solvency II. Ook voor banken, trustkantoren en beleggingsondernemingen is de compliancefunctie verplicht vanuit wet- en regelgeving. Hiernaast wordt het belang van compliance als onderdeel van het bestuur ook benadrukt in de Corporate Governance Code. Met de komst van IORP II[1] zijn de verplichte sleutelfuncties ook bij pensioenfondsen geïntroduceerd, maar de compliancefunctie is daar niet in opgenomen.

De Compliance Officer (CO) wordt vaak beschouwd als een ‘tweedelijnsfunctie’ en een sleutelfunctiehouder. In het artikel van vorige week kwam het Three Lines Model dat in veel financiële instellingen gehanteerd wordt ter sprake. De CO is daarin een sleutelfunctie bij het mandateren en delegeren rondom beheerste en integere bedrijfsvoering. Hiermee bestaat de CO, naast de verplichte sleutelfuncties, toch op basis van IORP II.

De CO heeft in de kern een adviesrol die toeziet op continue naleving van wet- en regelgeving én van het interne beleid. Daarnaast bevordert zij integer gedrag dat aansluit bij de visie, diensten en cultuur van de organisatie. Er zijn drie essentiële domeinen in het werkveld van de CO:

Regulatory Compliance – naleving van wet- en regelgeving
Integrity Compliance – integriteit, ethiek en gedrag
Business Compliance – producten en diensten in relatie tot de eerste twee domeinen en de eigen principes en visie

Traditioneel wordt de CO vaak beperkt ingezet op integrity compliance (naleving gedragscode en behandeling integriteitsincidenten) en regulatory compliance (toetsing van besluitvorming aan wet- en regelgeving, vooral bij banken en verzekeraars). Op alle drie de domeinen is winst te behalen als compliance niet alleen wordt gezien als de vraag: ‘Hoe voldoen we aan de wet?’ maar ook als: ‘Hoe dragen we bij aan integere besluitvorming en bedrijfsvoering?’

Een integraal complianceprogramma koppelt de strategie van de organisatie aan het organisatieprofiel, de (wettelijke) kaders en alle drie de domeinen van compliance, inclusief de bedrijfscultuur. Door strategie direct mee te nemen bij het opstellen van zo’n programma, gaan strategie, doelstellingenrealisatie en innovatie hand in hand met compliance en versterken zij elkaar.

Rol in de keten
Idealiter is de CO betrokken in drie fases: vooraf (beleidsbepaling), tijdens (knelpunten signaleren) en achteraf (monitoring en rapportage). Zo kan de CO, vanuit het zogenaamde tweedelijns denken, als challenger kritische vragen stellen en besluiten toetsen. Dit hoeft uiteraard niet meteen volledig te worden ingevuld; een ingroeimodel kan aansluiten op de volwassenheid van het vakgebied en de organisatie zelf.

Een risico is dat compliancevraagstukken, zoals ethische afwegingen, door medewerkers worden gezien als uitsluitend de taak van de CO. In werkelijkheid zou iedereen vragen moeten stellen aan de CO, net zoals de CO vragen stelt aan verschillende afdelingen. Zo wordt compliancefunctie een gezamenlijke verantwoordelijkheid voor integere bedrijfsvoering en blijft het een waardevolle adviesrol.

Compliance en cultuur
Een belangrijk doel van management waar compliance een cruciale rol in kan spelen is het bevorderen van integriteit, zodat medewerkers zich vrijuit kunnen uitspreken zonder angst voor negatieve gevolgen. Bewustzijn over compliance en het belang ervan geeft medewerkers ook het besef dat het waard is om tijd erin te investeren en om het goed te doen. Bijvoorbeeld structuren met machtsongelijkheid en afhankelijkheidsrelaties moeten altijd goed in het oog worden gehouden, machtsmisbruik kan hierin snel ontstaan (zie hiervoor ook onze eerdere publicaties met dank aan Jan Struijs).

Hard controls door meldingsprocedures en vertrouwenspersonen kunnen machtsmisbruik tegen gaan, maar voor een medewerkers die zich ongehoord of onjuist behandeld voelt, is een formele melding vaak net een brug te ver. Tegen de tijd dat er een melding wordt gemaakt is er meestal al veel schade geleden. Soft controls zijn daarom minstens zo belangrijk.

Dit zijn minder tastbare elementen die verweven moeten worden met de bedrijfscultuur en leiderschapsstijl. Het bestuur moet het voortouw nemen; leidinggevenden dienen waarden uit te dragen die laten zien dat medewerkers gewaardeerd worden en meetellen. Voorbeelden van soft controls zijn structureel ruimte maken voor tegenspraak of het geven van kennissessies over feedback bieden en ontvangen, ook op integriteitsgebied. Zo krijgen medewerkers vertrouwen om een eigen mening te vormen en te delen, zonder vrees voor repercussies.

De sterke schouders van compliance
Een ideale CO is assertief en durft naar voren te stappen om feedback te geven.
In de visie van prof. dr. Rob van Eijbergen, hoogleraar integriteit, moeten de ‘sterke schouders’ van compliance minimaal staan onder deze thema’s:

Psychopathologie van de bestuurders
Afhankelijkheid van personen
Groepsdruk en ongezonde boardroom dynamics
Sociale veiligheid

Problemen op één of meer van deze vlakken raken vaak de integriteit en compliance van de organisatie. De CO moet de onwenselijke situatie signaleren en bespreekbaar maken. In dit domein is een achtergrond in psychologie of sociologie van grotere waarde dan een rechtenstudie. De compliancefunctie is dan ook niet meer enkel weggelegd voor gespecialiseerde juristen, maar een brede en uitdagende functie waar diverse achtergronden en specialisaties van waarde kunnen zijn.

De T-shaped compliance functionaris
Een T-shaped medewerker heeft diepgaande kennis van een vakgebied (verticale lijn) én brede kennis van andere disciplines (horizontale lijn). In veel sectoren is de compliancefunctie nog in handen van juristen, maar uitsluitend een juridische bril is onvoldoende.

De drie domeinen bij elkaar vragen om juridische, sociale en bedrijfskundige expertise, aangevuld met kennis van risicomanagement en psychologie. Die brede blik is belangrijk. Daarmee kan de CO gedrag en cultuur analyseren en verbeteringen voorstellen.

Wat is de relevantie van de compliancefunctie?
Een geïntegreerde en toegankelijke compliancerol versterkt de beheerste en integere bedrijfsvoering (inclusief het besluitvormingsproces) door dicht bij de organisatie te opereren. Enkel een gestandaardiseerde aanpak werkt in de praktijk niet. Deze ‘license to operate’ is essentieel om de organisatie te behoeden tegen financiële en reputatierisico’s en het ondersteunt de geloofwaardigheid en continuïteit van de organisatie. Waar risicomanagement breed naar verschillende risico’s kijkt, kan compliance zich meer focussen in de diepte op compliance- en integriteitsrisico’s.

Leren van andere sectoren
Andere sectoren hebben andere gedragsnormen en waarden en hebben zich te houden aan andere wetten en regels die beter passen bij hun organisaties. Door te kijken hoe de compliancefunctie elders is ingericht, kunnen organisaties waardevolle ideeën opdoen. Wat in de ene sector werkt, kan ook in een andere relevant zijn. Als u teruggaat tot de kern, ziet u vergelijkbare oplossingen en compliance-uitdagingen voor heel verschillende soorten organisaties; van pensioenfondsen en publieke omroepen tot financiële instellingen en zorginstellingen.

Dit geldt zeker voor nieuwe technologieën zoals AI. Het gebruik hiervan kan veel tijd besparen en nieuwe inzichten opleveren, maar brengt ook veiligheids- en ethische vraagstukken met zich mee. Sectoren waar AI al een grotere rol speelt, of waar strengere veiligheids- en privacy-eisen gelden, kunnen waardevolle lessen bieden over de toepassing ervan.

Samenvattend
De drie domeinen in het werkveld van de CO zijn niet limitatief, maar wel cruciaal. Samen geven ze de waarde van compliance als sleutelfunctie weer – of deze nu wettelijk verplicht is of niet.

De centrale vraag: Is uw compliancefunctie niet alleen wettelijk in orde, maar ook een versterkende factor voor de integriteit en toekomstbestendigheid van uw organisatie?

[1] https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016L2341

Over AethiQs

Hallo! Wij zijn AethiQs, jouw Relevantieadviseur
Elke bestuurder neemt beslissingen te midden van toenemende complexiteit. Vraagstukken van uiteenlopende aard vragen om keuzes en beleid. Daarbij moet je rekening houden met afhankelijkheden, onzekerheden en de belangen van een uitdijende groep stakeholders. Maar tellen al die afzonderlijke beslissingen nog wel bij elkaar op? Dragen ze bij aan het bestaansrecht en het voortbestaan van jouw organisatie?

Wij adviseren bij fundamentele vraagstukken
Wees eerlijk. Wat is nu de relevantie van jouw organisatie? En over 5 jaar? 10 jaar? Dat is een hele fundamentele vraag. Een vraag die vaak uit zicht raakt in de dagelijkse dynamiek van een organisatie.

Het is dé centrale vraag achter alles wat AethiQs doet. Wij werken voor maatschappelijk relevante organisaties. Wij helpen hen relevant te zijn en te blijven. Wij noemen dat Relevantiewaarde. We gaan daarbij altijd terug naar de kern. Samen met onze klanten bepalen we wat de basis is voor de continuïteit én de geloofwaardigheid van hun organisatie. Zodat ze van daaruit kunnen beslissen, besturen en bouwen aan een relevante toekomst. Die van jouw deelnemers nu en de deelnemers voor de toekomst.

Vanuit onze liefde voor relevantie
Wij doen dat niet alleen vanuit onze actuele kennis, maar meer nog vanuit 3x liefde: voor onze klanten, voor de vakgebieden waarin we actief zijn, en voor al onze collega’s, onze Relevantieadviseurs. Met onze lenigheid van geest kijken we altijd over sectoren en vakken heen. Want waarom zou wat in de ene sector werkt ook niet in de andere kunnen werken? Als je teruggaat tot de kern, zie je vergelijkbare oplossingen voor hele verschillende soorten organisaties. Van pensioenfondsen tot publieke omroepen, van zorginstellingen tot financiële instellingen. Voor al deze organisaties geldt dat je alleen relevant kunt blijven als het duidelijk is wat jouw bestaansrecht is, vandaag en morgen. We heten niet voor niets AethiQs. Het goede doen, en dat goed doen.

Meer van AethiQs

Risk in Focus 2026 – De belangrijkste risico’s voor Europa volgens auditors

Aangeboden door AethiQs
Invaarbeschikking binnen: het invaren kan beginnen

Aangeboden door AethiQs
Microsoft Copilot in de pensioensector:

Aangeboden door AethiQs