Afstand of samenwerking?

Uit het three lines model kun je afleiden dat er de nodige afstand dient te zijn tussen de complianceafdeling en internal audit. Compliance helpt bij het managen van risico’s, waarna audit checkt of dit goed gebeurt.

Als ethics & compliance officer streef ik echter naar een warme relatie met audit. We hebben namelijk hetzelfde doel: het beschermen van de reputatie van de organisatie. Allebei proberen we te waarborgen dat de belangen van de verschillende stakeholders goed tegen elkaar worden afgewogen. We houden ons ook allebei bezig met de preventie en detectie van problemen.

Doordat ik vaak relatief kleine complianceafdelingen in grote internationale bedrijven aanstuurde, zag ik audit nog weleens als mijn ogen en oren in de landen waar ik zelf niet zo vaak kwam. Daarom trainde ik nieuwe auditors vaak persoonlijk om ervoor te zorgen dat ze de compliancerisico’s konden herkennen. Vóórdat audit afreisde naar een land had ik vaak een gesprek met het auditteam, waarbij ik aangaf waar ik me zorgen over maakte. Elk kwartaal bespraken we samen de openstaande actiepunten op het gebied van compliance en jaarlijks leverden we input op elkaars risk assessments. Uiteraard maakten we daarbij wel elk onze eigen afwegingen.

Nu wilde het wel eens voorkomen dat mijn intuïtie klopte en dat audit wat vond in de richting die ik had aangegeven. Tot mijn verbazing werd ik dan soms verantwoordelijk gehouden voor het probleem. Regelmatig heb ik moeten uitleggen dat compliance niet verantwoordelijk is voor de daadwerkelijke compliance, maar dat wij enkel adviseren en monitoren en helpen bij het ontwerp van het complianceraamwerk, bij de training en de communicatie. Je zou er bijna wat minder openhartig van worden.

In mijn verdere carrière heb ik ook eigenaardige varianten gezien in de rolverdeling. Zo had ik een klant waar audit de third-party due diligence uitvoerde. Dat vind ik een typische complianceactiviteit. Hoewel het ook regelmatig door de business zelf wordt gedaan – vaak met voorspelbare uitkomsten. Ook kwam ik een situatie tegen waarin audit de insider-tradingregeling uitvoerde, waarna compliance checkte of audit dat goed had gedaan. Er zijn ook organisaties waar het hoofd audit ook het hoofd compliance is. En hoewel dit eigenlijk niet past in het three lines model: soms werkt het in de praktijk nog best aardig.

In toenemende mate zie ik nu een kruisbestuiving tussen de twee vakgebieden. Om omkoping en corruptie te voorkomen besteed ik bijvoorbeeld de nodige aandacht aan de beheersingsmaatregelen rond declaraties, de controle van facturen, de goedkeuring van uitgaande betalingen, et cetera. Dit ligt traditioneel meer op het gebied van audit. Sinds kort zie ik ook een omgekeerde ontwikkeling. Zo besteedt compliance al jaren aandacht aan gedrag en cultuur. Inmiddels zijn er ook organisaties waar gedrag- en cultuuraudits worden uitgevoerd.

Er staan ons nog meer interessante ontwikkelingen te wachten. Er zit Europese en nationale wetgeving in de pijpleiding waarbij bedrijven verantwoordelijk worden gehouden voor zaken als arbo-omstandigheden en de naleving van milieuwetgeving in de supply chain. Wetgeving op het gebied van sustainability reporting treedt in werking. Financiële dienstverleners moeten deze aspecten gaan meenemen in hun precontractuele informatie. Zowel compliance als audit zal expertise moeten opbouwen met betrekking tot deze onderwerpen.

Tot slot ben ik – eerlijk gezegd – ook een beetje jaloers op audit. De rapportagelijn en de positie van de interne auditor is sinds jaren vastgelegd in corporate governance codes. Dat moet nu ook eens gebeuren voor de positie van de ethics & compliance officer! Samen zijn wij namelijk een belangrijke voorwaarde voor duurzame waardecreatie.