Uw ondernemerschap en innovatie gesmoord door compliance?

Godert Jan van Manen — Tue, 30 Sep 2008 12:28:00 GMT

Compliance is niet meer weg te denken uit de huidige wereld van banken, verzekeraars, vermogensbeheerders en pensioenfondsen. Ook breidt zich ook steeds verder uit naar andere sectoren én rechtsgebieden.

Veel instellingen in de financiële sector hebben een haat-liefdeverhouding met compliance. Elke zichzelf respecterende instelling heeft de wet- en regelgeving en eigen interne regels scherp op het netvlies. Ze zijn vertaald in de administratieve organisatie en daarnaast in overeenstemming gebracht met de bedrijfsvoering, processen en procedures. Al deze regels komen de bureaucratie van een organisatie natuurlijk niet ten goede. Veel instellingen worstelen met de implementatie en jagen wanhopig het gevoel achterna ‘in control’ te moeten komen, zonder goed na te denken over kosten en baten.
Compliance raakt aan drie niveaus van juridische kaders: institutionele, tactische en operationele juridische kaders. De institutionele juridische kaders bevatten de regels die betrekking hebben op de vorm en de aard van de organisatie. Voor een NV gelden nu eenmaal andere regels dan voor een stichting. Tussen private, publieke en hybride organisaties zijn ook duidelijke juridische verschillen. Verschillen die in de institutionele juridische kaders zichtbaar kunnen worden gemaakt.

Het tactisch juridische kader bevat de regels die betrekking hebben op de structuur en de formele sturing van de organisatie. Gedacht kan worden aan statutaire bepalingen, procuratieregels, ‘chinese walls’* en andere eisen die samenhangen met de bestuursstructuur, hiërarchische verhoudingen en de scheiding van verantwoordelijkheden, taken en bevoegdheden in de organisatie.
Je zou kunnen stellen dat al deze regels het ondernemerschap en de innovatie smoren van de instellingen. Uiteindelijk gaat het om geld verdienen, maar helaas zijn nog veel bestuurders in Nederland druk bezig het ‘braafste jongetje van de klas’ te zijn of in elk geval te worden. Aan de andere kant ‘schipperen’ bestuurders met de compliancy regels, want als er door te handelen in strijd met de regels iets misgaat, wil hij niet geconfronteerd worden met de juridische en financiële consequenties, om nog maar te zwijgen van de imagoschade.

Het operationele juridische kader omvat alle regels die van toepassing zijn op het feitelijke handelen door de medewerkers van de organisatie. Raakt compliance ook aan die regels? En hoe borg je, als bestuurder, ook de naleving van die regels? Want ook de naleving daarvan is van belang voor de aansprakelijkheid, financiële risico’s en het imago van een onderneming.
Kunnen we tegen deze achtergronden met een gerust hart stellen dat Nederlandse bestuurders in control zijn? Nee, toch niet. Ten eerste is compliance nog te institutioneel van aard. Vooral gericht op de structuur, de sturing en de controle dus. Voorlichting en opleiding zijn afgeleid van die oriëntatie en de implementatie is een technocratische aangelegenheid.

Terwijl juist het niet naleven van de tactische en operationele juridische kaders merkbaar effect hebben. Het is alleen dat de risico’s die daarin besloten liggen moeilijker te detecteren en te beheersen zijn. Bovendien zijn het risico’s die buiten de invloedsfeer van de compliance officer liggen. Het zijn managers in de lijnorganisatie die zich daarom moeten bekommeren. Maar de noodzakelijke tijd daarvoor ontbreekt, temeer omdat die wordt besteed aan institutionele compliance, omdat daarop immers afgerekend wordt.
Verder ligt de nadruk op het hier en nu, en slechts een beetje op morgen. Nieuwe regel? Naleven! En de vraag naar het nut en de noodzaak van de wijze waarop compliance vorm krijgt, raakt steeds verder op de achtergrond. Institutionele compliance is dus geen garantie voor een hoog niveau van naleven. Laat staan om te durven stellen dat bestuurders in control zijn.

Ook bestuurders in andere sectoren, zoals de zorg, de woningmarkt en het vastgoed, hebben of krijgen een haat-liefdeverhouding met compliance. Want wijzigingen in de vorm van het bestuur, het toezicht en de verantwoording hebben hun weg al gevonden naar veel organisaties in deze sectoren.
Ook het aantal rechtsgebieden dat onder de reikwijdte van compliance wordt gebracht, neemt toe. Dat heeft voor een deel te maken met de toename van het aantal (nieuwe) regels. In de praktijk blijkt dat het aanstellen van een compliance officer voor veel bedrijven reden is om de naleving van alle regels te institutionaliseren. Dit vanwege de complexiteit van de juridische kaders die steeds verder toeneemt. De absolute omvang, de veelheid van instanties die regels opleggen en de snelheid waarmee regels worden gewijzigd, is ook een reden voor het institutionaliseren. En wie is er beter dan een compliance officer in staat om het overzicht op al die geldende regels te houden en - belangrijker nog - deze te vertalen in de dagelijkse gang van zaken? Maar is dit terecht? Mogen we bijvoorbeeld van een compliance officer bij een bancaire instelling verwachten dat hij ook kennis van zaken heeft van rechtsgebieden die buiten de scope van de regels voor financiële dienstverlening vallen? Bijvoorbeeld over arbeidsomstandigheden?

Belangrijker is dat compliance ook invloed heeft op de cultuur van een organisatie. Het verlangen tot naleven en de angst om niet over de schreef te gaan, maakt organisaties responsief. Dit type organisaties levert aardige prestaties maar geen topprestaties en dat heeft effect op het rendement. Toegegeven, reactief zijn ze niet, maar pro-actief of zelfs transitioneel, daarvan is echt geen sprake. Juist de organisaties die risico’s durven nemen, mee gaan met de stroom en ook rekening houden met wat anderen daarvan vinden, kortom innovatief zijn, mogen in staat worden geacht om topprestaties te leveren. Een beslissende voorsprong te nemen en zich te onderscheiden. Daarin is ook plaats voor compliance.

Kortom; Zie compliance als een (noodzakelijk) hulpmiddel, maar let op een evenwicht tussen de regels en het spel van ondernemen!

* Onder 'Chinese walls' wordt verstaan een samenstel van regels, dat beoogt dat koersgevoelige informatie, bekend bij een of meer werknemers werkzaam in een bepaald bedrijfsonderdeel niet bekend raakt bij werknemers werkzaam in andere bedrijfsonderdelen van die organisatie.

Auditing Basics voor Oracle

Godert Jan van Manen — Fri, 28 Dec 2007 16:37:00 GMT

" Helaas draaien er nog veel implementaties van Oracle zonder gebruik te maken van de standaard beschikbare audit tools. In andere omgevingen, waar dit wel het geval is, worden de verkeerde keuzes gemaakt. Dit Whitebook gaat dieper in op de maatregelen die u kunt treffen om uw installatie te beschermen tegen ongeautoriseerde toegang. Het biedt een handreiking naar een aantal bekende zwakheden in een Oracle omgeving en geeft een set van maatregelen die u kunt treffen om dit te voorkomen of in elk geval sneller te detecteren. "

Om het hele verhaal te lezen, klik hier verder:
http://www.whitehorses.nl/

"We hebben een firewall, dus onze beveiliging is geregeld!"

Godert Jan van Manen — Fri, 28 Dec 2007 16:35:00 GMT

" Hoewel security experts weten dat er meer is dan een goed ingerichte firewall, IDS/IPS omgeving en ACL lijsten, schijnen veel managers toch nog de illusie te hebben dat hun ICT netwerk hiermee veilig is. Natuurlijk helpt een firewall, maar 100% beveiligen is onmogelijk of in ieder geval een erg kostbare zaak en heeft toch echt meer voeten in de aarde. Door beveiliging op een integrale wijze aan te pakken kunnen de onderkende risico's met minder kosten worden afgedekt."

Om het hele artikel te lezen, klik hier verder:
www.security.nl

Security Articles

Uw ondernemerschap en innovatie gesmoord door compliance?

Auditing Basics voor Oracle

"We hebben een firewall, dus onze beveiliging is geregeld!"