Risk & Compliance: snelle opkomst en nieuwe uitdagingen

augustus 30, 2019
KPMG

Als de algemene opvatting klopt dat compliance in Nederland ‘nog in de kinderschoenen staat’, dan is het wel een kind dat héél snel heeft moeten opgroeien. Want wie begin jaren negentig in de boardroom de term ‘compliance’ liet vallen, kon vooral rekenen op vragende blikken. Wat is er veranderd? En hoe kunnen organisaties voldoen aan strengere regels zonder aan wendbaarheid in te leveren? Voordat we die vragen kunnen beantwoorden, moeten we eerst even terug in de tijd.

In de financiële sector was zelfregulering tot ver in de jaren tachtig het devies. De oprichting van de Stichting Toezicht Effectenverkeer (STE), de voorloper van de Autoriteit Financiële Markten (AFM), vormde in Nederland de eerste poging om de effectenhandel van overheidswege te reguleren. De bevoegdheden van de STE werden in 1992 vastgelegd in de Wet toezicht effectenverkeer, dat onder meer bedrijfsleiders verbood effecten te kopen in bedrijven waarin zijzelf actief zijn.

Aangejaagd door de toegenomen complexiteit en globalisering, verschoof het zwaartepunt in de financiële sector in die periode van zelfregulering naar overheidstoezicht. Vanwege nieuwe wetgeving werd compliance binnen organisaties steeds belangrijker. Hoewel een compliancefunctie nog niet wettelijk verplicht was gesteld, verschenen in die tijd bij financiële instellingen al Nederlands eerste ‘compliance officers’. In 2001 werd de Vereniging voor Compliance Officers opgericht.

Compliance werd noodzaak

Maar de grote omslag kwam datzelfde jaar met het faillissement van de Amerikaanse energiegigant Enron, dat winstcijfers manipuleerde en via schimmige constructies belasting ontdook. In de jaren daarna stond corporate governance wereldwijd in de aandacht. In de VS de Sarbanes-Oxley-wet aangenomen, die beursgenoteerde bedrijven regels oplegde voor de interne controles en financiële rapportering. In Nederland werd in 2004 de Corporate Governance Code opgesteld en volgde in 2007 de Wet op het financieel toezicht (Wft), waar onder meer de Wet toezicht effectenverkeer in opging.

In de Wft werd voor het eerst een ‘onafhankelijke en effectieve compliancefunctie en onafhankelijke auditfunctie’ verplicht gesteld voor bepaalde financiële instellingen. Ondanks dat ondernemingen buiten de financiële sector niet onder die verplichting vielen, is de compliance officer sindsdien breed geïntroduceerd, en zijn compliance en integriteit bittere noodzaak geworden voor elke organisatie. Sneller dan ooit tevoren kan het niet voldoen aan wetgeving tegenwoordig een boete beteken.

Nieuwe technologieën

Compliance staat niet in de Van Dale, maar wordt door het Nederlands Compliance Instituut (opgericht in 1999) gedefinieerd als ‘het bevorderen van en het doen toezien op de naleving van externe en interne regels die relevant zijn voor de integriteit van de organisatie’. Normen en regels die een organisatie zélf stelt, ‘horen daar uitdrukkelijk bij’, voegt het instituut daaraan toe.

Gelijktijdig met de opkomst van striktere wet- en regelgeving was er nog een andere monumentale ontwikkeling gaande die de wereld zou veranderen. De opkomst van internet, data en nieuwe technologieën brachten additionele risico’s en complexiteit met zich mee op het gebied van compliance, en ook weer nieuwe wetgeving, zoals in 2018 de General Data Protection Regulation (GDPR). Ook zijn toezichthouders en justitie in de achterliggende jaren actiever geworden. Met diverse miljoenenschikkingen als gevolg.

Zo zijn we in een wereld beland waarin GRC enerzijds een exacte wetenschap lijkt te worden (organisaties verliezen overzicht, besteden compliance uit aan gespecialiseerde bureaus), en anderzijds méér moet zijn dan sec het afvinken van een lijstje (het toegenomen belang van integriteit).

Continue risicoanalyse

In elk geval staat vast dat het inzichtelijk maken en beheersen van risico’s onontbeerlijk zijn voor elke organisatie van enige omvang. Problemen daarbij spitsen zich doorgaans toe op twee gebieden: hoge kosten en het ontbreken van actueel inzicht. Controles worden veelal periodiek (dagelijks, wekelijks, maandelijks) en handmatig uitgevoerd, waardoor ze veel tijd en geld kosten, en ook nog eens foutgevoelig zijn. Met alle risico’s van dien.

In plaats van een periodieke monitoring, vragen de huidige overheidseisen om een continue monitoring. Dit geeft actueel inzicht en stelt organisaties in staat om snel te kunnen bijsturen. De grootste uitdaging is de implementatie. Hoe kom je tot een efficiënt GRC-beleid waarin continue risicoanalyse en monitoring optimaal zijn gewaarborgd?

Automatische controles

De oplossing Sofy GRC van KPMG is opgezet met een duidelijk doel voor ogen: interne audits versimpelen én verbeteren. Sofy GRC is een cloud-based platform dat organisaties realtime inzicht geeft in de mate van compliance op alle terreinen. Of het nu gaat om GRC, access management, datamanagement, procesmonitoring of finance, Sofy GRC stelt bedrijven in staat om continu een vinger aan de pols te houden en op basis daarvan de juiste beheersmaatregelen te nemen.

Sofy GRC brengt de kennis en ervaring van KPMG samen met alle relevante internationale wet- en regelgeving. Daardoor krijgen organisaties niet alleen helder zicht op de mate van compliance (de feiten), maar ook op de achterliggende context. Sofy Suite is onder meer in staat tot het aandragen van oplossingen en alternatieven wanneer het systeem non-compliances of conflicten signaleert. Door de compliancefunctie grotendeels te automatiseren neemt het inzicht en de betrouwbaarheid toe, terwijl de kosten afnemen.

Compliance nog in de kinderschoenen? Met Sofy GRC is de staat van volwassenheid bereikt. Maar dan wel zonder die vereiste jeugdige flexibiliteit te hebben verloren.

Meer weten over Sofy GRC?

Vraag een demo aan