Tijdig voldoen aan veranderende regelgeving: zes kritische vragen

7 juli 2020
Compliance
Toezicht houden op regulatory change

Geeft uw toezichtorganisatie tijdig invulling aan alle relevante nieuwe en gewijzigde wet- en regelgeving? Dit artikel biedt een zestal kritische vragen om het bestuur uit te dagen op de implementatie van effectieve regulatory change. Een analyse door Rob Voster (Senior Manager Risk & Regulatory) en Linda Bloemen (Senior Consultant, Risk & Regulatory) bij KPMG.

Regulatory change

Regelmatig verschijnen er nieuwsberichten dat het organisaties niet is gelukt om tijdig te voldoen aan nieuwe of gewijzigde wet- en regelgeving. Organisaties worden overrompeld door het volume aan ontwikkelingen. Het bijhouden van alle relevante wet- en regelgeving binnen een organisatie is op zichzelf al een uitdaging, laat staan het maken van een beoordeling in hoeverre dit de organisatie raakt, om vervolgens ook nog eens over te gaan tot implementatie en het monitoren daarvan. Hoe kun je als commissaris nagaan of de organisatie in control is bij het managen van regulatory change? Dit artikel schetst een zestal kritische vragen voor commissarissen om bestuurders te challengen op de implementatie van regulatory change binnen de organisatie.

1. Worden veranderingen omarmd?

Veranderingen in wet- en regelgeving vinden wereldwijd en op een ongekende schaal plaats. Omgaan met de hoeveelheid nieuwe wettelijke vereisten levert veel vragen op bij organisaties. KPMG wordt regelmatig verzocht een scan uit te voeren om relevante wet- en regelgeving voor cliënten te identificeren. Wij zien regelmatig dat organisaties pas achteraf reageren op wijzigingen in wet- en regelgeving. Door op tijd te anticiperen en te acteren op wijzigingen in wet en regelgeving, kunnen organisaties als voorloper in de markt concurrentievoordelen behalen en kunnen dure en langzame hersteltrajecten worden voorkomen. De houding van organisatie en bestuur is hierin leidend. Bestaat er binnen de organisatie een proactieve houding en wordt er direct geacteerd bij nieuwe of wijzigingen in wet- en regelgeving en komt dit ook terug in de strategie van de organisatie?

2. Hoe is regulatory change georganiseerd?

‘Regulatory change management’ betreft het managen van wijzigingen in wet- en regelgeving, het identificeren van deze wijzigingen, beoordelen van de impact voor de organisatie en het implementeren en monitoren daarvan. De organisatie dient te kunnen aantonen dat zij in control is. De inrichting van regulatory change binnen een organisatie verschilt. Er is geen one-size-fits-all-benadering. Daarom is het goed om na te gaan of er is nagedacht over de inrichting van regulatory change binnen een organisatie en of de afwegingen daarin helder zijn. De inrichting dient proportioneel te zijn Afhankelijk van bijvoorbeeld de grootte van de organisatie en de sector, kan de verantwoordelijkheid van regulatory change zijn georganiseerd in een groep, meer gecoördineerd worden binnen groepen in een bepaalde business of regio, of als centrale functie worden ondersteund door de business. Past de inrichting bij de organisatie? In het algemeen zal een grote en meer complexe organisatie meer gebaat zijn bij het eerste ‘groepsmodel’, terwijl voor een kleinere organisatie door gebrek aan capaciteit het laatste model - ‘de centrale functie’ - vaak meer voor de hand ligt.

3. Zijn verantwoordelijkheden vastgelegd?

Voor het slagen van een effectieve inrichting van regulatory change, is het van belang dat de rollen en verantwoordelijkheden duidelijk zijn afgebakend en vastgelegd. Deze rollen kunnen worden verdeeld in identificatie en implementatie van wet- en regelgeving, het monitoren daarvan en het rapporteren. Voorts dient bij het vastleggen van de verantwoordelijkheden te zijn nagedacht over het onderscheid tussen de eerste- en tweedelijnsactiviteiten.  De eerstelijnsactiviteiten betreffen de activiteiten van de business en de tweedelijnsactiviteiten bevatten de risicomanagement- en compliance-werkzaamheden ter ondersteuning van de business. Dit onderscheid is binnen organisaties niet altijd even duidelijk. In de praktijk zien we regelmatig dat de coördinatie tussen verschillende rollen en verantwoordelijkheden mist. Het is voor afdelingen verleidelijk om te blijven hangen in hun eigen domein, waardoor bijvoorbeeld de implementatie niet wordt opgepakt. Het is daarom van belang dat de organisatie beschikt over een proces waarin ook aandacht wordt besteed aan de coördinatie tussen de verschillende rollen en verantwoordelijkheden.

4. Wordt een risk-based approach gehanteerd?

Een efficiënte inrichting van regulatory change houdt rekening met een risk-based approach. Deze risk-based approach dient terug te komen in de gehele inrichting van regulatory change binnen een organisatie. Dit begint dus al bij de strategie, de inrichting van regulatory change en de rollen en verantwoordelijkheden, maar dient ook terug te komen in de policies en processen. Denk bijvoorbeeld aan risicoanalyses met betrekking tot klanten, producten en diensten, waarbij een balans dient te worden gezocht tussen enerzijds de materiële waarde voor de organisatie en anderzijds het uiteindelijke risico dat een organisatie echt loopt door veranderingen in wet en regelgeving. Door de veelheid aan wet- en regelgeving komt er veel op organisaties af. Het is de kunst om al bij de identificatie van nieuwe wet- en regelgeving een risk-based approach te hanteren waarin de juiste prioriteiten naar voren komen.

5. Wordt technologie effectief ingezet?

Technologie kan zeer waardevol zijn bij het managen van regulatory change. Denk bijvoorbeeld aan de inzet van artificial intelligence voor de bepaling van relevante wijzigingen en op welk gebied, het digitaliseren van bedrijfsprocessen door middel van robotic process automation, tools die behulpzaam zijn bij het toebedelen van taken binnen de organisatie, standaardisatie door middel van workflows en samenwerking binnen een gezamenlijk platform. Er is veel mogelijk. Voor organisaties kan het waardevol zijn om de mogelijkheden te verkennen en om na te gaan of technologie op dit moment effectief wordt ingezet.

6. Hoe wordt de organisatie geïnformeerd?

Wanneer het gehele traject is doorlopen en wijzigingen in de organisatie zijn geïmplementeerd, is het van belang dat de organisatie daarvan op de hoogte is en gaat acteren naar de nieuwe werkelijkheid. Met de veelheid aan wijzigingen in wet en regelgeving en updates daarover, dient te worden voorkomen dat werknemers ‘verandermoe’ worden. Zijn dergelijke updates gericht aan de gehele organisatie, of wordt al onderscheid gemaakt naar specifieke doelgroepen? De laatste variant is uiteraard effectiever. Ook trainingen kunnen bijdragen aan het snel aanleren van nieuwe werkwijzen. Is er binnen uw toezichtorganisatie nagedacht over efficiënte communicatiekanalen?

Ga op verkenning

Zit het bestuur van uw organisatie achter het stuur? Is de organisatie in control van regulatory change en in staat om proactief te reageren op veranderingen in de sector? En bent u als commissaris op de hoogte? Met bovenstaande zes vragen kunt u op verkenning gaan.

Klik hier voor meer informatie.

Auteurs
Rob Voster (Senior Manager Risk & Regulatory) en Linda Bloemen (Senior Consultant
Risk & Regulatory) KPMG
Sector
Accountancy
Bank- en verzekeringswezen
Bedrijfsleven
Familiebedrijf
Semipubliek
Thema
Compliance
Kennispartner
KPMG

Verder in deze Governance Update

Zen in de boardroom
SRD2-richtlijnen onvoldoende nageleefd
Crisis overschaduwt beleidsagenda
‘Kwetsbaarheid leidt tot nieuwe inzichten’
Cybersecurity en cyberweerbaarheid: ‘Allesbehalve een IT-feestje’
Daniëlle Melis voorzitter Stichting Madurodam
Intelligente transparantie versterkt verantwoording en vertrouwen
Belet of ontstentenis van bestuurders en/of toezichthouders
´Iets meer activisme in boardroom en toezicht mag wel´
Governancenovum: de staatsagent