Bedrijven moeten zich aan de regels houden. Maar wanneer je te maken hebt met honderden werknemers, tienduizenden woningen en huurders, kan dat soms knap lastig zijn. Hoe houd je als organisatie grip op de compliance van wet- en regelgeving en risico’s? CorporatieGids Magazine sprak daarover met Yeo-Ju de Marée-Jo, Compliance Officer bij Eigen Haard.

Yeo Ju de Maree JoVoordat Yeo-Ju als Compliance Officer in dienst trad bij Eigen Haard, was ze in dezelfde functie actief in de banksector. “Het grote verschil is dat bij een bank compliance een formele plek heeft en al zeker zo’n twintig jaar doorontwikkeld is. Ik weet nog dat toen ik in 2004 begon bij een internationale bank, we vooral bezig waren met het afvinken of we compliant waren en met het opstellen van beleid en procedures. De doorontwikkeling van compliance bij banken heeft ook te maken met een ander groot verschil, namelijk dat banken commercieel zijn. Alles draait daar om geld, terwijl woningcorporaties geen winstoogmerk hebben.”

Turbulente tijd

Toch ziet Yeo-Ju ook zeker overeenkomsten tussen compliance bij banken en woningcorporaties. “Omdat alles draait om targets, omzet en winst, is de verleiding om het systeem te misbruiken bij banken groot. Zowel voor bankiers als de consument. Dat misbruik wil je voorkomen omdat vertrouwen de basis is van het hele financiële stelsel, en daarmee het fundament vormt van het maatschappelijk systeem. Woningcorporaties hebben eveneens te maken met maatschappelijk kapitaal en is een maatschappelijke rol toevertrouwd. Het bewaken van die rol en het voorkomen van misbruik is enorm belangrijk. Net als de financiële sector heeft de sociale sector ook een turbulente tijd achter de rug. Alle schandalen hebben geleid tot een inbreuk op het imago, strakkere wet- en regelgeving en een afgenomen vertrouwen tussen corporaties, overheid en huurders. Het is daarom belangrijk om terug te grijpen naar de kern van sociale huisvesting. Corporaties kunnen in dat opzicht van banken leren. De financiële sector loopt voorop in de ontwikkelingen qua compliance, integriteit en ethiek. Door de voor de corporaties relevante stappen te volgen, kan het fundament voor integriteit verder gebouwd en versterkt worden.”

Geest van wetten en regels

Yeo-Ju noemt de essentie van compliance ‘je gedragen in overeenstemming met de geest van wetten en regels’. “Het gaat erom dat je voorkomt dat je betrokken raakt bij handelingen die tegen de wet ingaan of maatschappelijk onbetamelijk zijn, en dat je hiermee integere bedrijfsvoering waarborgt. Overigens vallen ook andere risico’s dan maatschappelijk onbetamelijk onder integere bedrijfsvoering, zoals corruptie, belangenverstrengeling of inbreuk op privacy. Vooral met dat laatste heb ik mij beziggehouden bij Eigen Haard.”

Compliance laten doordringen

Binnen Eigen Haard is er gebouwd aan een goed fundament voor integriteit, legt Yeo-Ju uit. “Maar iedereen in deze sector weet hoe belangrijk onderhoud is. Aandacht voor compliance en integriteit van werknemers en bestuurders is als het goed onderhouden van een gebouw. De uitdaging is om dit door te laten dringen tot alle lagen van de organisatie door risico’s te bespreken en te analyseren voordat het misgaat.”

“Neem een scenario dat in elk bedrijf kan voorkomen; een werknemer sluist geld weg voor eigen belang. Natuurlijk hebben we vertrouwen in elkaar maar als de kist rot is, gaan de appels rotten. Dus laten we de kist steeds goed inspecteren. Dit kunnen we doen door mogelijke risicoscenario’s te inventariseren, de bestaande beheersmaatregelen in kaart te brengen om te zien of dat voldoende is en waar meer maatregelen nodig zijn. Tegelijkertijd creëert dit een gelegenheid om bepaalde integriteitsissues en dilemma’s bespreekbaar te maken. Als je dit tot een goed gesprek kan leiden, draagt het bij tot bewustwording en een open cultuur.”

Beste jongetje

De grootte van Eigen Haard – ongeveer 56.000 vhe – brengt volgens Yeo-Ju ook nieuwe uitdagingen met zich mee. “Behalve dat Eigen Haard een van de grootste corporaties van Nederland is, hebben wij ook de reputatie pionier en het beste jongetje van de klas te willen zijn. Veel kleinere corporaties kijken eerst naar Eigen Haard en redeneren: als zij het doen, zal het wel goed zitten. Die reputatie willen we behouden. Hoe? In de praktijk hangt goede compliance af van processen en procedures. Of het goed wordt ingericht en toegepast, hangt weer af van zaken als awareness, ervaring en de kennis van medewerkers en managers. Het opleiden en informeren van personeel is dus belangrijk om compliance te borgen. Dit proberen we te bereiken door periodieke trainingen te geven aan managers en medewerkers, maar vooral aan de linking pins – de wetgevingsbeheerders – van elke afdeling.”

Positieve adviezen

Op de vraag of dit betekent dat Eigen Haard-medewerkers compliance inmiddels in plaats van een last als een lust zien, vertelt Yeo-Ju: “Ik merk dat in principe iedereen zich aan de regels wil houden. Alleen wil je als medewerker graag horen: het is prima, ga je gang! Helaas komt het vaak voor dat iets niet kan en dan is compliance een lastpost. Dan is het heel belangrijk hoe je je advies insteekt en meedenkt vanuit de business. Bijvoorbeeld door adviezen positief te formuleren: het kan wél, mits voldaan wordt aan bepaalde eisen. Het liefst willen we aan de voorkant al goede vragen stellen zodat de medewerker zelf de conclusie trekt wat de bedoeling is en dat we ook faciliteren om het beleid en de procedure compliant te maken. Zo gaan medewerkers je zien als partner om hun werk goed te kunnen doen.”

Integraal Risicomanagement

Compliance is binnen Eigen Haard ingebed binnen de afdeling Risicocontrol en Audit (R&A). “Als afdeling hebben wij integraal risicomanagement als doel gesteld. Dat bereiken wij door de samenhang tussen de verschillende risico’s steeds verder te verbeteren. Daarnaast hebben we een nieuwe periodieke rapportagestructuur voor het bestuur en het directieberaad opgezet, waarin we ook rapporteren over de compliance risico’s. Bovendien hebben wij onze interne klokkenluidersregeling herzien zodat de melder dit op een onafhankelijke een geanonimiseerde wijze kan melden en R&A dit onafhankelijk kan onderzoeken.”

“In het kader van risicoanalyses en audits wordt er aandacht besteed aan de compliance en integriteitsrisico’s en is er ook een onderzoek uitgevoerd naar het gedrag en cultuurelementen binnen de organisatie. Waar we naar toe willen, is om dit systematisch te doen. In dit opzicht kunnen we inderdaad afkijken van de financiële sector waar een Systematische Integriteitsrisicoanalyse (SIRA) verplicht is. Dit houdt in ieder geval in dat de instelling deze analyse periodiek uitvoert volgens een vooraf gestelde methodiek. Hierna leggen we de uitkomsten ervan schriftelijk vast en gebruiken het voor compliance monitoring. Dit past bij het doel om risico’s proactief te monitoren in plaats van ad-hoc of reactief te reageren.”

Linking Pins

Een belangrijk onderdeel van compliance noemt Yeo-Ju het voldoen aan de AVG. “Ons beleid is erop gericht om de privacy in de organisatie te beleggen door het aanstellen van linking pins per afdeling als het eerste aanspreekpunt en het Privacy Team voor de complexere vragen. Vorig jaar hebben we Audittrail gevraagd om ons te helpen dit beleid goed te implementeren. Audittrail heeft behalve kennis van het vak ook kennis van de sector. Daardoor hebben ze al een set tools ontwikkeld die meteen inzetbaar is. Zoals ik al eerder zei, hangt de mate van volwassenheid af van de mate van awareness, ervaring en kennis. Deze drie factoren zijn precies waarin Audittrail ons heeft voorzien.”

Menselijke beoordeling

Eigen Haard is momenteel nog bezig met de bouw van het fundament van het compliance risicomanagement. “In een later stadium gaan wij onderzoeken welke software ons hierin kan ondersteunen. Omdat ons team de risico’s integraal en systematisch wil analyseren en beheersen, zou goede software ons daar zeker bij kunnen helpen, en kan een goede data-analyse een SIRA slimmer maken.”

“Daarbij is het wel belangrijk om niet blind te vertrouwen op software bij risicomonitoring,” gaat Yeo-Ju verder. “Een softwareprogramma kan ons bijvoorbeeld helpen om hoge risico’s uit een berg data te filteren. Maar het programma houdt geen rekening met subjectieve indicatoren. Uiteindelijk willen we software gebruiken om gemakkelijk goed inzicht en overzicht te krijgen in de geïnventariseerde risico’s en de mate van beheersing. Waar zijn de grote risico’s en wat zijn de maatregelen? Maar de beoordeling moet uiteindelijk door een mens worden gedaan met aandacht voor menselijke elementen, de rationale, de belangenafweging en de toetsing aan het geheel.”

Integere cultuur en gedrag

Want – zo sluit Yeo-Ju af – risico’s zijn niet statisch. “Zowel interne als externe factoren kunnen ervoor zorgen dat de compliance risico’s voor Eigen Haard veranderen. Zo kan wet- en regelgeving veranderen en kunnen activiteiten uitgebreid worden of nieuwe trends zich aandienen. De maatschappij verandert continu, maar wat onveranderd blijft is dat een integere bedrijfscultuur en integer gedrag essentieel zullen blijven voor de effectiviteit en continuïteit van onze organisatie.”

Bron: Corporatiegids Magazine Foto: Heidi Bogart