ARC (vak)praat met... Bas Mol, Hoofd Compliance & Privacy

6 december 2021

Om de ontwikkelingen in ons vakgebied nauwkeurig te blijven volgen, interviewen wij iedere maand een expert uit de praktijk. In een serie gesprekken met eindverantwoordelijken voor audit, risk en/of compliance en stellen wij de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? Deze maand praten we met Bas Mol, Hoofd Compliance & Privacy bij BPD Gebiedsontwikkeling.

Kun je wat vertellen over BPD; wat zijn de activiteiten van BPD, wie zijn de klanten van BPD, wat is de doelstelling van BPD en wat is jouw rol hierin?

‘BPD Gebiedsontwikkeling is een gebiedsontwikkelaar die als sinds 1946 leefomgevingen realiseert in Nederland en Duitsland. Sinds onze oprichting 75 jaar geleden in 1946 – toen nog onder de naam van Bouwspaarkas Drentsche Gemeenten – heeft BPD inmiddels de bouw van ruim 365.000 woningen mogelijk gemaakt. BPD zet zich in voor inclusieve leefomgevingen met aandacht voor de fysieke, ruimtelijke en sociale dimensie van wonen.  Dat doet BPD vanuit de maatschappelijke overtuiging dat iedereen recht heeft op een fijn en betaalbaar thuis in een prettige leefomgeving. En dat blijven we doen, zodat fijn wonen ook voor de komende generaties mogelijk blijft.’ 

‘BPD richt zich op alle segmenten van de woningmarkt. De doelgroep van BPD is iedereen in Nederland met een woonbehoefte. Wij realiseren dus sociale huurwoningen, maar ook duurdere koopappartementen en alles wat daar tussenin zit. Onze belangrijkste partners zijn gemeenten, provincies en woningbouwcorporaties. Hiernaast hebben we samenwerkingspartners die wij inschakelen om onze projecten te realiseren, denk aan aannemers, architecten en makelaars. De uiteindelijke klanten van BPD zijn de bewoners van onze leefomgevingen.’

‘De afdeling Compliance & Privacy bestaat momenteel uit vier personen, waaraan ik leiding geef. De afdeling levert een bijdrage aan het streven naar een gezond integriteitsklimaat binnen BPD door onder andere compliance- en privacy beleid op te stellen, advies te geven, monitoring werkzaamheden uit te voeren en collega’s te faciliteren en activeren om zo integer mogelijk te handelen.’ 

BPD is een dochterbedrijf van Rabobank. Kun je vertellen of, en hoe, dit van invloed is op de afdeling Compliance & Privacy van BPD?

‘BPD is een zelfstandige dochter van Rabobank. De richtlijnen en eisen die gesteld worden aan compliance en integer handelen, zijn als onderdeel van een bank hoog – en daarmee wellicht hoger voor BPD dan voor andere spelers in ons werkveld. Aan de andere kant is dat ook juist iets dat we zelf graag willen.’ 

‘Uiteindelijk zijn wij als BPD zelf verantwoordelijk voor een beheerste en integere bedrijfsvoering en het managen van onze compliance risico’s. Voor de afdeling Compliance & Privacy is het dus niet persé een nadeel om onderdeel te zijn van een bank. Het past bij BPD dat we als bedrijf onze verantwoordelijkheid willen nemen om op een verantwoorde en betrouwbare wijze ons vak uit te oefenen. Als marktleider zijn we dat ook aan onze stand verplicht. In afstemming met Rabobank bepalen we welke regelgeving en richtlijnen op BPD van toepassing zijn en hoe we dit binnen onze organisatie het beste kunnen inrichten om de compliance risico’s zo klein mogelijk te houden.’

Welke voor- en/of nadelen biedt het om een dochteronderneming te zijn van Rabobank?

‘Zoals gezegd heeft het zeker voordelen dat BPD onderdeel is van een bank. Banken en financiële instellingen hebben de afgelopen jaren laten zien dat zij thema’s als compliance, integriteit en privacy – terecht – heel serieus nemen. De lat ligt daardoor hoog bij Rabobank en daarmee automatisch ook bij BPD, ook omdat we dit als organisatie zelf willen uiteraard.’ 

‘Nadelen zijn er natuurlijk ook wel. BPD is een gebiedsontwikkelaar en dat is een hele andere business dan banken en financiële instellingen. BPD heeft daardoor een heel ander risicoprofiel dan Rabobank en ook de omvang van het bedrijf – 350 medewerkers in Nederland en 350 medewerkers in Duitsland – is anders. Hierdoor zijn veel richtlijnen en eisen van de bank niet een-op-een te integreren binnen BPD – of dat vraagt om andere, meer risk based, oplossingen om de risico’s toch zoveel als mogelijk te beheersen.’ 

‘De druk bij banken (vanuit hun poortwachtersfunctie) met betrekking tot regelgeving neemt toe, met name als je het hebt over KYC (Know Your Customer) gerelateerde onderwerpen. Omdat wij een dochteronderneming zijn van Rabobank voelen wij die druk ook. BPD moet bijvoorbeeld ook voldoen aan de sanctiewetgeving terwijl de risico’s op dit gebied voor ons bedrijf veel kleiner zijn dan voor een bank. Dit soort zaken levert soms flinke discussies op met Rabobank, en omdat de druk op banken hierin in de toekomst verder zal toenemen zullen we die discussies moeten blijven voeren. Natuurlijk komen we daar altijd uit.’

Wat vind jij de belangrijkste taak van de afdeling Compliance & Privacy binnen BPD en hoe geef je hier invulling aan?

‘Compliant zijn met in- en externe wet- en regelgeving en integer handelen is een taak van alle medewerkers binnen BPD. Naast de meer traditionele compliance taken zoals het opstellen van beleid, monitoring, follow-up van incidenten, uitvoeren van risicoanalyses en het rapporteren aan de Managing Board van BPD en aandeelhouder Rabobank, speelt de afdeling Compliance & Privacy uiteraard ook een belangrijke rol als de hoeder én aanjager van integriteit. Belangrijk hierbij is dat er continue aandacht is en blijft voor cultuur en gedrag binnen de organisatie. Wij doen er alles aan om een open cultuur te creëren waarin collega’s vooraf aan de bel trekken en om advies durven te vragen in plaats van dat mensen bang zijn voor mogelijke consequenties, incidenten niet melden en we achteraf de boel moeten repareren.’

‘Om die open cultuur te bereiken, besteden wij als afdeling Compliance & Privacy heel veel aandacht aan de thema’s cultuur en gedrag, bijvoorbeeld door een tweejaarlijks terugkerende integriteitsmeting. Door middel van deze meting krijgen we als afdeling een goed beeld van de cultuur en het gedrag binnen de organisatie. De punten die uit deze meting naar voren komen bespreken we uitvoerig tijdens dilemmasessies. Ook met de directies van de verschillende regio’s worden deze punten besproken en wordt er bepaald welke acties daaraan verbonden worden. Er worden dus gerichte acties gekoppeld aan de uitkomsten van de integriteitsmeting.’

‘Naast de rol van cultuurdrager zie ik het ook als een belangrijke taak van de afdeling om te acteren als katalysator van verandering. Met een snel veranderend landschap van regelgeving, eisen van een aandeelhouder, COVID-situatie en verdere digitalisering en automatisering, kun je eigenlijk stellen dat verandering de enige constante is. Naar mijn mening zouden Compliance afdelingen vaker het voortouw moeten nemen om de veranderingen in organisaties – en daarmee dus ook de cultuur van de organisatie – (mede) vorm te geven. Die zouden vaker in staat moeten zijn om een verandering teweeg te brengen door te signaleren waar verbeteringen in de organisatie nodig zijn en door nog meer dan voorheen te dienen als countervailing power. Nu zijn Compliance afdelingen nog te vaak een eiland binnen een organisatie. Er zou meer verbinding moeten worden gezocht met de rest van de organisatie. Ze hoeven niet alleen restrictief te zijn vanuit de optiek van risicobeheersing, maar kunnen ook proactief zijn vanuit een visie wie je als organisatie wil zijn en waar je naartoe zou willen.’

Wat zijn op dit moment de grootste uitdagingen die spelen bij BPD en op welke manier kan de afdeling Compliance & Privacy bijdragen aan deze uitdagingen?

‘De afdeling Compliance & Privacy maakt binnen BPD een professionaliseringsslag door. We zien dat er door toenemende wet- en regelgeving, toenemende regeldruk van onze aandeelhouder, maar vooral ook door de eigen wens voor een professionele compliance organisatie die aantoonbaar in control is, dat er behoefte is voor een volgende stap. Dit sluit ook aan bij de groeiambitie van BPD. Als gevolg daarvan wordt de afdeling minder gezien als de ‘politieagent’, maar juist steeds meer als sparringpartner voor medewerkers van BPD en countervailing power voor de Managing Board. De afdeling vervult steeds meer een adviserende rol en wordt ook eerder door collega’s betrokken bij vraagstukken. Een goede ontwikkeling als je het mij vraagt, want daarmee ben je veel eerder en veel meer in charge om proactief eventuele compliance risico’s te voorkomen en/of te beperken.’

‘Verder hebben wij hier erg veel aandacht voor de soft controls van de organisatie. Uiteraard is dat een thema dat de laatste jaren prominenter aandacht heeft gekregen binnen het compliance domein, maar ik zie dat we hier bij BPD echt ook het verschil mee kunnen maken. Continue aandacht voor thema’s als aanspreekbaarheid, transparantie en voorbeeldgedrag maken dat deze determinanten voor cultuur ook echt gaan leven binnen de organisatie. Daarmee realiseren we niet alleen meer zichtbaarheid voor de afdeling, maar ook meer bewustwording voor het belang van een goede solide compliance organisatie.’

Hoe zorg je er als afdeling Compliance & Privacy voor dat alle regels, normen, beleid en procedures die je als afdeling implementeert gedragen worden binnen BPD door zowel het bestuur als de medewerkers? 

‘Er is continue afstemming met de Managing Board over de invulling van ons compliance beleid. Zij zijn uiteindelijk de belangrijkste eigenaren van compliance en integriteit binnen BPD en het mandaat – en ook voorbeeldgedrag – van hen is dus belangrijk. Om alle beleid, regelgeving en procedures binnen ons bedrijf tussen de oren te krijgen, zorgen we voor onder andere verplichte e-learnings, aanvullende kennissessies, kwartaalmeetings, blogs en structurele communicatie voor medewerkers.  Het is veelal de kracht van herhaling die telt.’

‘Daarnaast vind ik het erg belangrijk dat we als afdeling goed en helder kunnen uitleggen waarom het zo belangrijk is dat we compliant zijn als BPD. We werken in een sector waar de belangen en de bijbehorende risico’s groot zijn. Juist daarom is het belangrijk om duidelijk te kunnen uitleggen wat onze rol hierin is. Ook gaan we met medewerkers, via onder andere dilemmasessies, het gesprek aan over integriteit en wat er van hen wordt verwacht. Daarom is het ook goed dat medewerkers ons zien als afdeling die hen van advies kan voorzien om de juiste afweging te maken. In de praktijk zien we ook dat collega’s ons steeds makkelijker weten te vinden. Daar willen we de komende tijd verder op voortbouwen.’ 

Wat is jouw visie op Compliance; wat is de kern?

‘Compliance gaat om gedrag en niet om afvinklijstjes, dat is het eigenlijk meteen al in de kern. De definitie van compliance welke ook gebruikt wordt bij de postgraduate opleiding Compliance & Integriteit Management – De naleving bevorderen en handhaven van nationale en internationale regelgeving alsmede de intern opgelegde regels, normen en voorschriften ter bescherming van de integriteit van het bestuur, de medewerkers en de organisatie, met als doel de daaruit voortvloeiende risico’s voor de kerndoelstellingen van de organisatie te beperken – is natuurlijk prachtig, maar kan gewoon worden samengevat in dat ene belangrijke woord: gedrag!’ 

Welke ontwikkelingen zie je op dit moment in het vakgebied Compliance en hoe sta jij tegenover deze ontwikkelingen?

‘In lijn met bovenstaande over de kern van compliance zie ik gelukkig steeds meer voedingsbodem ontstaan voor die benadering. Dat komt onder andere ook door al het monnikenwerk dat Sylvie Bleker (hoogleraar Compliance & Integrity Management VU Amsterdam) bijvoorbeeld voor het vakgebied heeft gedaan. Zij stelt ook heel helder en terecht dat de opeenstapeling van regels voor compliance schijnveiligheid heeft gecreëerd. Veel organisaties focussen niet op de kerndoelstellingen van hun organisatie en het gedrag van hun medewerkers, maar zijn bezig met overleven in een woud aan regels. Het afvinken van procedures en het blindstaren op processen heeft prioriteit, maar de tijd ontbreekt om de naleving te monitoren. En zodra er een incident plaatsvindt, roepen toezichthouders of commissarissen vaak weer om nieuwe regels.’

‘Ik denk dat het vakgebied flink in beweging is en blijft, maar dat er wel een transitie gaande is naar een structureel andere manier van kijken en acteren. Dat vergt verandervermogen en lef, maar ik geloof er heilig in dat je alleen daarmee het verschil kan gaan maken. De ontwikkeling naar (nog) meer aandacht voor het aspect gedrag en het sturen en ondersteunen daarop is in ieder geval zeer interessant.

Wat maakt het vakgebied Compliance interessant voor jou?

‘Ik heb het hiervoor al min of meer genoemd. Juist de gedragsaspecten maken dit vakgebied zo ontzettend interessant. Het cliché luidt natuurlijk ook dat het vakgebied compliance iedere dag anders is – en dat is echt zo – maar vooral de enorme transitie die het vakgebied doormaakt, maakt het pas echt leuk. Er is nog zoveel te ontdekken en zoveel anders te doen. Als je ziet dat compliance van een ‘achterkamer’ en technische, restrictieve rol is geëvolueerd naar een meer strategische vooruitkijkende managementfunctie, de ogen en oren van het management en de katalysator van veranderingen binnen organisaties, in slechts een tijdspanne van 20 jaar. Dan kun je je voorstellen dat er nog vele interessante ontwikkelingen aankomen.’

Contact
Marc van Heese RO RE CIA
Partner
06-52073162