Sietze Hepkema: 'Compliance is een graadmeter voor gezonde organisaties'
29-11-2018 | Interviewer: Charles Honée | Auteur: Emely Nobis | Beeld: Erik van der Burgt
Het gesprek vindt plaats bij advocatenkantoor Allen & Overy in Amsterdam. Daar voelen zowel interviewer als geïnterviewde zich thuis. Interviewer Charles Honée is er partner en advocaat, net zoals Sietze Hepkema dat was tussen 2000 en 2012. Uit die periode kennen ze elkaar, maar het laatste contact dateert alweer van een tijd geleden. In 2012 werd Hepkema als chief governance and compliance officer bestuurder bij maritiem dienstverlener SBM Offshore, waar hij orde op zaken moest stellen na het omkopingsschandaal waarin het bedrijf verwikkeld was, en een aantal problematische projecten. De bijna vier jaar dat hij deze functie vervulde, hebben zijn visie op het belang van compliance voor bedrijven mede gevormd. ‘Het doel van wetten en regels is om de maatschappij te beschermen tegen uitwassen. Als zo’n uitwas zich voordoet en het ligt aan slechte compliance, dan komt de rekening bij jouw bedrijf terecht – en die kan hoog oplopen, nog los van de schade die je de samenleving berokkent. Dat is het negatieve belang ervan. Positief gezien zie ik compliance als een thermometer voor de gezondheid van een bedrijf.’
U bent nu commissaris bij SBM Offshore en in die hoedanigheid lid van de auditcommissie. Hoe zou u compliance willen omschrijven?
‘De term is lastig en spreekt me niet aan, maar er is nu eenmaal geen goed Nederlands equivalent. Het voldoen aan wet- en regelgeving dekt de lading in elk geval niet, dat is te eng. Zoals ik al zei: compliance is een belangrijk aspect van de gezondheid van een bedrijf, naast financiële- en operationele gezondheid en kwesties op het gebied van veiligheid en gezondheid van werknemers. Vaak gaan die zaken trouwens hand in hand. Als je als commissaris ziet dat een bedrijf de statistieken op het gebied van veiligheid, ziekteverzuim en dergelijke heel serieus neemt, dan is er vaak ook oog voor compliance. Blijkt daarentegen bij doorvragen dat mensen nauwelijks kunnen verklaren waarom de cijfers zijn zoals ze zijn, dan weet je dat het dood papier is en dat er waarschijnlijk ook weinig compliance-bewustzijn is. Papier heeft geen enkele waarde als de dingen die zijn bedacht niet worden toegepast. Zeker op momenten dat het erom spant, bijvoorbeeld als er meer vraag is dan capaciteit, zijn mensen geneigd de randen op te zoeken. Maar juist dan komt het erop aan na te leven wat je hebt afgesproken.’
Ik las ergens een vergelijking van compliance met een kleurtekening. De buitenste rand is de weten regelgeving, maar de binnenkant is voor elke organisatie weer verschillend.
‘Precies, dat is eigenlijk het DNA van het bedrijf, en dan doel ik op die 0,2 procent die voor iedereen een beetje anders is. Misschien zou je het onder cultuur kunnen scharen. Om goede compliance te waarborgen, ben ik een groot voorstander van het three lines of defence- model. De eerste lijn, het management, moet zich bewust zijn van de doelen en waarden. De tweede lijn bestaat uit specialisten op het gebied van juridisch, finance, compliance, internal control, cyber security, veiligheid en kwaliteit. Hun taak is het om good practices neer te zetten, procedures uit te rollen en te onderwijzen. Daar kan ook een compliance officer bij zitten, die erop toeziet dat bepaalde basisprincipes goed worden vastgelegd in gedragscodes of procedures. De derde lijn, de interne audit, moet toetsen of de systemen werken en goed worden geïmplementeerd en het terugkoppelen als dat niet zo is. Liefst voordat het misgaat. Alle drie de lijnen zijn belangrijk en het samenspel ertussen is essentieel. Als dat echt in het DNA van het bedrijf is verankerd, heb je enorm veel veiligheidschecks.’
U beschrijft compliance in termen van waarden, cultuur en DNA. Als het over de code gaat, hoor je ook vaak de term integer handelen. U zit in de monitoring commissie corporate governance code, die de herziene code uit 2016 heeft opgesteld. Daarin staat het woord integriteit nergens expliciet vermeld. Zou juist dat geen onderdeel van compliance moeten zijn?
‘Ik maak een verschil tussen integer handelen en integriteit. Integer handelen betekent dat je je objectief houdt aan wat je met elkaar afspreekt over bijvoorbeeld procedures en gedragscodes. Integriteit in de zin van eerlijkheid en transparantie gaat verder: het kan een van de kernwaardes zijn die je als bedrijf bewust omarmt en dan moet je er ook naar handelen. We willen bedrijven echter niet voorschrijven wat hun waarden moeten zijn. Daarom vind ik integriteit voor de code een te duidend woord.’
U had het eerder over ‘dood papier’. Hoe sla je de brug van papier naar handelen als het om compliance gaat?
‘Een afdeling compliance moet veel op de werkvloer zitten en goed uitleggen wat de waarden van het bedrijf zijn, waar en waarom het is misgegaan en wat dan wel best practices zijn. Met name de sensitieve afdelingen en omgevingen van een bedrijf, zoals sales en operationele managers in moeilijke landen, hebben heel veel trainingssessies nodig. Het beste werkt dilemmatraining, waarin je dilemma’s echt als zodanig benadert en erkent dat er verschillende antwoorden mogelijk zijn en er eigenlijk geen goed of fout is. Als je dat met elkaar bespreekt, kun je ook concluderen: we weten niet wat het beste is, maar we spreken wel af hoe we het voortaan gaan doen. Dat vereist dat de compliance officer de mensen in die trainingen benadert vanuit een diep besef van de commerciële realiteit, met begrip voor de moeilijke omstandigheden waarin ze werken. Het is een harde, commerciële wereld en op veel plekken ook een boze wereld. Als je meteen begint te vertellen hoe het moet, terwijl duidelijk is dat je zelf nog nimmer met de voeten in de klei hebt gestaan, komt het niet over.’
Wat moet een compliance officer nog meer in z’n mars hebben?
‘Naast een goede kennis van de regels op het gebied van mededinging, marktverdeling, corruptie, fraude en corporate governance heb je ook een zekere rijpheid en stevigheid nodig om het bestuur van de organisatie zo nodig aan te spreken. Je moet een goed moreel kompas hebben en echt achter de principes en waarden van het bedrijf staan. Dat geldt overigens ook voor de top. Als er geen goed voorbeeldgedrag is en het bestuur uitstraalt dat ze het eigenlijk alleen maar doen omdat het moet, dan zijn werknemers net kinderen die alle signalen van hun ouders oppikken, verbaal en non-verbaal. Dan gaat het nooit lukken.’
Toen u bij SBM Offshore begon, was er sprake van een compliance-probleem. Waar kijk je dan naar en wat verander je als je van buiten zo’n organisatie komt? Wat zijn met andere woorden de ingrediënten voor een goede compliance?
‘Het is vooral belangrijk om niet weer dezelfde fouten te maken, dus je kijkt allereerst naar concrete dingen als de deugdelijkheid van de systemen en processen en de vraag of de three lines of defence goed zijn verankerd. Waar nodig zet je dat strakker neer. Je kijkt ook naar sensitieve afdelingen en sensitieve omgevingen waarin het bedrijf actief is, stuurt waar nodig mensen weg, sluit projecten en probeert te schikken. Op een wat abstracter niveau gaat het om drie dingen. Het eerste is professionalisering. Een deel van cultuurverloedering kan zijn dat de overheersende “diersoort” in een bedrijf alles mag doen wat er gebeuren moet. In dit geval waren dat de ingenieurs, terwijl die niet per definitie goed zijn in human resources, compliance, investor relations of interne audit. Dat kon beter en geloofwaardiger door er vakmensen voor aan te trekken. Omdat het ook ging om de continuïteit van de onderneming zijn we verder beter gaan kijken naar de balans tussen risico en beloning, om de kans te verkleinen dat we weer onderuit zouden gaan. Als derde was het belangrijk om gezamenlijke waarden vast te stellen en vooral om die ook goed uit te leggen. Wat voor een jurist evident is, hoeft dat gek genoeg helemaal niet per se te zijn voor mensen die 20 jaar in een industrie werken, waar bepaalde gewoontes verankerd zijn waar mensen geen vragen bij stellen.’
Stel dat u morgen wordt gebeld voor een soortgelijke klus als bij SBM, zou u het dan anders aanpakken?
‘De hele top was daar vervangen, dus dat was een makkelijk begin. Dat is vaak niet het geval. Achteraf zou ik nog meer mensen hebben laten gaan, hoe onmisbaar ze ook leken voor het bedrijf. Als het je echt menens is met een cultuuromslag, moet je afscheid nemen van een leider die aantoonbaar niet mee wil of kan in de nieuwe cultuur. Daarnaast zou ik nu ook iets minder naïef zijn in onderhandelingen met verschillende overheidsinstanties. Ik heb vertrouwd op het OECD-verdrag dat zegt ‘ne bis in idem’ (letterlijk: niet twee keer voor hetzelfde, red.), wat betekent dat als je voor een set feiten een reële boete betaalt in de ene jurisdictie, je daar niet ook nog eens voor bestraft kunt worden in een andere. In de praktijk wordt dat verdrag niet toegepast.’
Bij SBM heeft u de transitie gemaakt van compliance officer naar lid van de raad van commissarissen (rvc). In de vernieuwde code hebben auditcomissies nadrukkelijk een taak gekregen bij het toezicht op de beheersing van meer dan alleen de financiële risico’s. Is dat geen verantwoordelijkheid voor de rvc als geheel?
‘Uiteindelijk is het toezicht een taak van de hele rvc, maar in dit geval ligt het wat mij betreft toch vooral bij de commissarissen in de auditcommissie. Ik zou verwachten dat met name de voorzitter van de auditcommissie geregeld een-op-een bijeenkomsten heeft met de interne auditor en ervoor zorgt dat die zich volledig gedragen voelt om zaken ter discussie te stellen. De auditcommissie heeft in mijn optiek ook een vraagplicht. Daarmee bedoel ik dat ze niet alleen keurig wachten op de kwartaalrapportages maar ook proactief zijn. Zo moeten ze extra alert zijn op sensitieve onderdelen van het bedrijf. Wordt er met handelsagenten gewerkt? Vraag dan elk half jaar een overzicht van alle agenten en van de commissies die zijn betaald. Check ook goed welke processen er worden gevolgd bij het evalueren, aannemen en wegsturen van die agenten.’
Is de maatschappelijke betekenis van good governance de laatste jaren toegenomen?
‘Het hele onderwerp is er een van voortschrijdend inzicht. Ik vind niet dat je met de maatstaven van nu kunt oordelen over praktijken in de jaren negentig. Dat betekent niet dat je het huis niet moet opruimen, maar ik herinner iedereen er nog maar even aan dat steekpenningen tot 1998 in Nederland aftrekbaar waren van de belastingen. We vonden het blijkbaar niet zo erg. Het hoorde erbij. Dat vinden we anno 2018 niet meer. De Amerikanen hebben het op het gebied van corruptiebestrijding heel lang alleen gedaan: de Foreign Corrupt Practices Act (FCPA) dateert al uit 1984. De OECD moest Nederland in 1998 eraan herinneren om iets meer te doen op dit vlak. Nu zijn we weer 20 jaar verder en is het hele onderwerp door Europa omarmd en lezen we in de krant regelmatig over misstanden en hoge boetes. Dat dat maatschappelijk de aandacht trekt, is begrijpelijk. Is het daarmee een issue van de maatschappij? Ik vind het in de eerste plaats een issue van de ondernemingen zelf en in de tweede plaats van autoriteiten die namens de maatschappij erop toezien dat de regels worden nageleefd en interveniëren als dat niet gebeurt. Maar wij bepalen niet waar de maatschappij zich druk om maakt.’
En andersom? Moeten bestuurders het maatschappelijk oordeel meewegen?
‘Besturen van grote, beursgenoteerde ondernemingen doen er goed aan zich te realiseren dat ze in een maatschappelijk krachtenveld opereren en moeten zich afvragen hoe scherp ze aan de wind willen zeilen. Ook als je helemaal binnen de wet opereert, kunnen je activiteiten maatschappelijk niet aanvaardbaar of zelfs schadelijk zijn.’
Hoe belangrijk is een goede klokkenluidersregeling in dit kader?
‘Ik ben helemaal voor een nationale autoriteit op dit gebied, maar zie dat wel als laatste stap. Bij goede compliance hoort een cultuur waarin je elkaar kunt aanspreken. Het gaat vaak mis als mensen fouten voor zich houden of proberen te bedekken. In hiërarchische structuren – wat veel bedrijven zijn – ligt dat elkaar aanspreken iets minder voor de hand dan in een platte organisatie. Dan kan het helpen als de top expliciet aangeeft ervoor open te staan.
Helaas is de hiërarchie soms zo diep verankerd dat mensen dat toch niet durven of doen. In zulke culturen moet er een integriteitslijn zijn waar je al dan niet anoniem dilemma’s en observaties kunt delen. Die integriteitslijn vind ik het voorportaal van een klokkenluidersregeling. Laat ik duidelijk zijn: wat mij betreft ben je pas een bonafide klokkenluider als je het eerst via die eerste twee lijnen – het bestuur en de integriteitslijn – hebt geprobeerd.’
Interview door Charles Honée. Honée is partner en advocaat bij advocatenkantoor Allen & Overy. Hij interviewt en schrijft voor Management Scope over corporate governance. Dit interview is gepubliceerd in Management Scope 10 2018.