Opinie
19 November 2019 | 12.39
Roderik Bolle
Roderik Bolle
Deel dit artikel

Compliance-tsunami: de illusie van veiligheid

Ons favoriete toverwoord en wat mij betreft één van de grootste risico’s voor de komende jaren: de krankzinnige wereld van het doorschuiven van verantwoordelijkheden, van het afbakenen van eigen verantwoordelijkheden, maar vooral van het doen voorkomen dat risico’s verdwijnen door compliance. If anything, verschuiven en verplaatsen risico’s zich slechts en worden ze groter omdat niemand verantwoordelijk meer wil zijn.

Compliance-tsunami: de illusie van veiligheid

Almaar strengere regels

Accountants moeten controleren langs almaar strengere, interne compliance-regels; banken mogen in hun beleggingsoplossingen steeds minder afwijken van de door de eigen compliance officer opgeworpen certificeringskaders, in almaar dikkere contracten die door almaar meer advocaten gecheckt moeten worden. Stichtingen moeten steeds meer informatie aanleveren om nóg zekerder te kunnen zijn van de herkomst van het vermogen (dat soms al tientallen jaren bij diezelfde bank staat).

Almaar meer informatie

Iedereen eist almaar meer informatie op, bedoeld om almaar minder verantwoordelijkheid te dragen als er in de toekomst onverhoopt toch iets niet zou kloppen. Alleen al de kostenstijgingen voor het instandhouden van dit circus vormen volgens mij een prachtig budget waar we jaarlijks ook iets écht goeds mee zouden kunnen doen. Ik heb mij de vraag al vele malen gesteld: ‘op welke verdenking of vraag, is de huidige compliance-tsunami ook alweer het antwoord?' We zwemmen één richting op en het matigen - laat staan terugdraaien - van de groei van de compliance-industrie is mij in elk geval volslagen onduidelijk.

Aan de bak voor AVG

Met de invoering van de AVG vorig jaar moesten vooral de fondsenwervende instellingen écht aan de bak om aan te tonen dat ze hebben nagedacht over hoe om te gaan met data privacy-gevoeligheden, het eenvoudig opvragen én oprecht verwijderen van gegevens als donateurs daarom vragen. En verder het benoemen, beschrijven én inrichten van werkprocessen die er op toezien dat iedereen in de organisatie voorzichtig is met het mogelijk lekken van privacygevoelige informatie. En natuurlijk het melden bij de autoriteiten dat er mogelijk gelekt zou kunnen zijn, met alle represailles die daarop kunnen volgen.

Walhalla voor regelmakers én -bewakers

U voelt hem al aankomen: dit is natuurlijk a compliance officer’s dream: dikkere service level agreements met softwareleveranciers, nóg meer pogingen om toekomstige aanvallen op servers als probleem neer te leggen bij de datacenters, nóg minder kansen om zomaar mensen te interesseren voor uw goede doel (want u kunt dat niet meer ongevraagd vragen). Erkenningen en certificeringen om aan te tonen dat u een goed goed doel bent. Een echte data privacy officer in uw gelederen wanneer u informatie opslaat die voorbijgaat aan standaard NAW-gegevens. Het is een waar walhalla voor regelmakers en regelbewakers. En mocht er onverhoopt toch iets misgaan, dan is natuurlijk géén van de partijen om uw organisatie heen daar voor verantwoordelijk – leest u het contract er maar op na!

Meer kosten, minder bestedingen

En wie betaalt die compliance-tsunami? Jawel, uw goede doelenbudget natuurlijk. Want banken zien zich genoodzaakt kosten van toezicht en compliance te verhogen; accountants zien de kosten voor de span of control over de jaarrekening toenemen; uw datacenter zal voor de extra certificeringen, NEM-normeringen, SOC 1- én 2-audits en rapporten ook iets meer moeten vangen per klant; de data privacy officer zal een nieuw contract nodig hebben en nagenoeg niet meer te ontslaan zijn vanwege zijn of haar belang voor de organisatie; bestuurders worden lastiger te vinden… Kortom, de netto resultante van al die inspanningen is helaas óók dat een donateur een nieuwe 'strijkstok' ziet ontstaan waar veel aan blijft hangen: de toezichts- of compliance-strijkstok. Dus: minder netto euro’s naar het goede doel… was dat dan wel de bedoeling?

Wijsheid en moed

Bestuurders van goede doelen hebben al hun wijsheid, maar vooral ook de moed hard nodig om verantwoordelijkheid te blijven nemen; het doel niet uit het oog te verliezen en hun organisatie te runnen, zoals zij als donateur van diezelfde organisatie dat zouden hopen: met focus op processen, oog voor risico’s, maar vooral met hart en passie voor het doel.


Raad & daad

Ook overweldigd door de compliance-tsunami? Orchestra helpt u met raad en daad. Neem contact met ons op voor nader advies en ondersteuning: contact@orchestra-contact.com

Over de auteur: Roderik Bolle is directielid van Orchestra. U kunt rechtstreeks contact met hem opnemen: klik hier

Gerelateerde artikelen