André: Ik heb nu ongeveer veertig mensen die full direct of indirect reports voor mij in de compliance functies werken. Die veertig mensen maken onderdeel uit van de totale legal department. Het is nu ongeveer honderd man groot.
Jeroen: Ik denk dat er nagenoeg geen bedrijf in Nederland is wat meer aandacht krijgt op dit moment dan dit bedrijf vanuit allerlei angles. Ervaar je dat zelf ook, als één van de mooiste plekken waar een Chief Compliance Officer zou kunnen zitten?
André: Het is een bedrijf vol met uitdagingen. Ja, het is een prachtig bedrijf om te werken.
Welkom bij Compliance Adviseert, met experts, adviseurs, bestuurders en de business bespreken we Risk & Compliance binnen de financiële wereld en alle uitdagingen en dilemma’s die daarbij horen, want voor het juiste en rechte pad bestaat geen navigatiesysteem. Deze podcast wordt mede mogelijk gemaakt door Hyarchis, Osborne Clarke, Deloitte en de Volksbank. Je host is Jeroen Broekema.
Jeroen: Welkom, luisteraars, bij een nieuwe aflevering van Compliance Adviseert. Hartstikke leuk dat je luistert en we hebben vandaag weer een hele interessante gast met een heel interessant onderwerp. We spreken namelijk André Hermsen, de Chief Compliance Officer van ASML. Welkom, André!
André: Dankjewel!
Jeroen: Leuk dat je er bent, en leuk om met jou in gesprek te gaan. We hebben een aantal onderwerpen vastgesteld met jou van tevoren, waar ik het heel graag over ga hebben. Waaronder over export control, één van de interessantste mensen in Nederland om het over dit onderwerp te hebben. Maar voordat we daar naartoe gaan, vind ik het leuk om eerst iets meer over jou te weten te komen. Zou je misschien allereerst jezelf wat nader willen introduceren?
André: Uiteraard! Ik ben André Hermsen, dat hebben we al gezegd. Ik ben 59 jaar oud, ik heb een carrière in finance, een beetje general management en de afgelopen tijd in compliance gehad. In tegenstelling tot vele andere Chief Compliance Officers heb ik geen juridische achtergrond, maar een finance achtergrond. Ik heb Bedrijfseconomie gestudeerd aan de VU, ik heb daar ook de postdoctorale controleursopleiding gedaan. Ik heb heel lang gewerkt bij wat toen nog Koninklijke Hoogovens heette net voor de overname door Tata. Ik ben daar weggegaan, lang bij een Stork-dochter gewerkt, Fokker Services, totdat ik drie jaar geleden de overstap heb gemaakt naar ASML. Ik ben getrouwd met een jurist, ik heb drie kinderen die op het punt staan om uit te zwerven over de wijde wereld.
Jeroen: Mooi! Dat geeft al heel veel leuke zijpaadjes die we kunnen bewandelen. Laten we er een paar kiezen. Allereerst van finance naar compliance, hoe kwam dat zo tot stand? Is dat gegroeid of was dat een beslissing?
André: Dat vond in de categorie ‘gegroeid en lastig te vermijden’. De stap heb ik gemaakt in de periode toen ik bij Stork werkte, Fokker Services. Daar ben ik in 2008 gestart en niet al te lang nadat ik daar gestart ben, kwamen we daar tot de conclusie dat er een aantal activiteiten plaatsvonden waarvan je je de vraag moest stellen of dat wel kon binnen met name de Amerikaanse sanctiewetgeving. Fokker Services is, zoals de naam al zegt, Fokker-gerelateerd. Het levert producten, maar ook repair en engineering activiteiten op. Toen nog vooral de Fokker vliegtuigen, maar ook andere vliegtuigen. Het had de passie om die over de hele wereld te supporten. De hele wereld betekende inclusief de vliegtuigen die in landen vlogen zoals Sudan, Myanmar, maar de meest pijnlijke, Iran. Dat viel onder de Nederlandse wetgeving als een toegestane activiteit, maar aangezien er ook Amerikaanse onderdelen in zitten, zit daar een Amerikaanse sanctie angle aan. Toen het muntje gevallen was dat dat een probleem was, is dat gemeld bij de Amerikaanse autoriteiten, is er een onderzoek gestart door onszelf. Omdat ik nieuw was en senior management binnen het bedrijf, was ik één van de degenen die intern het onderzoek leidde. Natuurlijk samen met externe adviseurs. Van het onderzoek leiden in mijn rol als CFO van die activiteit werd ik gezogen in de case, in het onderzoek, dat de combinatie van die twee rollen ingewikkeld werd. Toen mijn voorgangster Chief Compliance Officer van Fokker Groep en Stork wegging, werd mij de vraag gesteld of ik gezien mijn inmiddels opgedane ervaring niet die rol zou willen gaan vervullen op groepsniveau. Toen ben ik bij Fokker gestopt in de rol als Chief Compliance Officer daar.
Jeroen: Je zei heel nadrukkelijk, “Ik ben geen jurist.” Heb je er aan de ene kant veel aan dat je die finance achtergrond hebt? Heb je aan de andere kant een nadeel dat je die juridische kennis, die heb je natuurlijk wel opgedaan tijdens je loopbaan, maar niet vanuit de educatie hebt meegekregen?
André: Ik heb heel veel voordelen gehad van het feit dat ik een financiële achtergrond heb, omdat je daarmee ook leert te denken in business processes. Je begrijpt de connectie van de processen binnen het bedrijf. En als je wil werken aan een werkend compliance programma, moet je begrijpen waar de maatregelen die je moet treffen ingrijpen op de business processen, om ze effectief te laten zijn. Ik denk dat ik in de implementatie van dat verbeterprogramma heel veel gehad heb aan het feit dat ik als CFO daar al wel een jaar werkte en dus begreep hoe het bedrijf functioneerde. Zeker al in die fase, het hebben van de juridische kennis die op dat vlak zo specifiek is, die kun je je ook eigen maken door je in de casus te verdiepen, je te laten adviseren door externe juristen, in dit geval. Dus ik heb die kennis grotendeels opgedaan on the job, tijdens het onderzoek.
Jeroen: In een pressure cooker omgeving, kan ik me voorstellen? Want alle spotlights staan hierop, natuurlijk.
André: Alle spotlights staan hierop. Want de belangen zijn snel heel groot, de risico’s zijn ook groot, want als je in overtreding bent van de Amerikaanse sanctiewetgeving, dan loop je ook zomaar het risico dat de Amerikanen vinden dat jij zelf een probleem bent. Dus voordat je het weet, kunnen je Amerikaanse leveranciers niet meer leveren. Dus aan die kant zat een risico, misschien was het toen nog niet zo alom bekend, maar zeker nu weten we dat sanctie-overtredingen tot forse boetes kunnen leiden. Dus de financiële exposure is groot, het reputationeel risico wat je als bedrijf loopt, is groot. Dus er zat veel druk op om dit snel en goed te regelen.
Jeroen: Vervolgens ben je dus bij ASML begonnen, dat was een aantal jaar geleden. Ik weet niet hoe lang ongeveer?
André: Dat is inmiddels drie jaar geleden.
Jeroen: Hoe kwam je bij ASML terecht?
André: Mijn Fokker ervaring heeft wel wat langer geduurd. Fokker is in 2015 overgenomen door GKN, een Brits beursgenoteerd bedrijf. Toen was die case nog steeds niet afgewikkeld. Dus compliance was een heel belangrijk thema in de overname. Een gating item voordat ze verder wilden praten, wilde men comfort hebben, dus in die periode heb ik heel veel exposure gehad richting GKN, de overnemende partij. Dat heeft er ook snel toe geleid dat ik een half jaar of een jaar later de stap heb gemaakt om bij GKN de rol te aanvaarden als Chief Compliance Officer. Dat heb ik gedaan tot drie jaar geleden. Drie jaar geleden, dat was vooral de periode waarin die wereld van aerospace flink geraakt werd door de covidcrisis waarbij de noodzaak om allerlei kostenbesparingen door te voeren die ook mijn afdeling zouden gaan raken het voor mij wel ingewikkeld maakte. Ik voel me erg verantwoordelijk voor datgene wat binnen het bedrijf gebeurt, en met minder mensen meer verantwoordelijkheid nemen is een dilemma waar ik me op dat moment niet meer comfortabel bij voelde. Er was nog een heel mooi ander bedrijf in Nederland wat op zoek was.
Jeroen: Dan kwam je bij ASML terecht, als er een bedrijf is wat in de spotlight staat, is het ASML wel, denk ik. Ik denk dat er nagenoeg geen bedrijf in Nederland is wat meer aandacht krijgt op dit moment dan dit bedrijf, vanuit allerlei angles, geopolitiek uiteraard, maar ook gewoon het economisch belang voor Nederland. Het feit dat je front runner bent in de wereld op dit gebied. Ervaar je dat zelf ook als één van de mooiste plekken waar een Chief Compliance Officer zou kunnen zitten?
André: Het is een bedrijf vol met uitdagingen, het is een prachtig bedrijf om te werken. Wat het zo’n leuk bedrijf maakt om bij te werken, is dat het groeit, het zit vol met verschrikkelijk slimme mensen waarvan je heel veel kan leren, ook hele slimme mensen die wat wij vanuit een compliance invalshoek voorstellen toch vaak challengen, ter discussie stellen. Maar wel vanuit een positieve grondhouding. Wij proberen dat te begrijpen. De positieve spirit die in het bedrijf zit, dat is een enorm stimulerende omgeving om in te werken.
Jeroen: Ja, ik kan me dat helemaal voorstellen. Hoe belangrijk is die rol van Chief Compliance Officer? Jij zegt natuurlijk extreem belangrijk, tenminste ga ik daarvan uit. Maar hoe belangrijk is die bij ASML? Met andere woorden, hoeveel aandacht krijg je binnen het bedrijf en met hoeveel mensen doe je dit?
André: Op zich wel een grappige constatering is dat ik nu de Chief Compliance Officer ben, maar die rol bestond een paar jaar geleden niet.
Jeroen: Hoe verklaar je dat?
André: Als je kijkt naar het verleden van ASML, was dat een bedrijf dat vooral bezig was met de technologische ontwikkeling, zorgen dat we het onmogelijke mogelijk maken op technisch gebied. Daar was de hele focus van het bedrijf op. De aandacht van de buitenwereld op het bedrijf was veel minder dan wat het nu is. Export control regelgeving speelde niet of nauwelijks een rol in die periode. Datgene wat men wilde wat vergunningplichtig was, daar kregen we de vergunning toch wel voor. Dat was de setting die er toen was. Dus die dynamiek was er niet. Een klein bedrijf heeft niet per se een Chief Compliance Officer nodig, en ASML is zo snel gegroeid dat dat moment relatief laat gekomen is om die stap te nemen. We hebben de stap geleidelijk gezet. Ik denk dat de komst van Roger Dassen als de CFO heel belangrijk is geweest bij ASML. Die heeft gepusht om compliance op de agenda te krijgen. Ook heel belangrijk is dat ruim twee jaar geleden er een nieuwe general council is gestart bij ASML. Die heeft ook een mindshift cultuurverandering teweeggebracht dat compliance heel belangrijk gevonden wordt en dat de positie van de Chief Compliance Officer gecreëerd moest worden. Het is gegroeid en er zijn nu ook nieuwe mensen in de top van het bedrijf, het belang is volledig onderkend dat compliance goed geregeld moet worden.
Jeroen: Helder. Heb je veel mensen om je heen mogen verzamelen om een team te vormen?
André: Ik heb flink kunnen groeien in het aantal mensen. Misschien is het nog goed om te vertellen, er zijn een paar vakgebieden waar ik en mijn teams ons direct mee bezig houden. Dus ik heb het ook onderverdeeld in een aantal teams die voor mij werken. Belangrijk is export control, een andere groep die aan mij rapporteert, zijn de mensen die met ethics business integrity bezig zijn. Daar valt ook het anti-bribery programma Human Rights onder. En de derde grote groep is het privacyteam, wat zich bezighoudt met de privacy wetgeving wereldwijd. Daaromheen ben ik een groep aan het opbouwen die zich met het verbeteren van compliance processen binnen het bedrijf bezighoudt.
Jeroen: Die groepen die je beschrijft, zijn dat groepen die officieel bijvoorbeeld werken bij legal of bij andere afdelingen die dan bij jou erbij getrokken worden in projecten? Of is het echt de compliance functie?
André: Ik heb nu ongeveer veertig mensen die fulltime als direct of indirect report van mij in de compliance functies werken. En ik kan ook nog – en ik doe dat veelvuldig – gebruikmaken van resources die in de rest van het bedrijf zijn. Maar die veertig mensen maken onderdeel uit van de totale legal department. De totale legal department is nu ongeveer honderd man groot.
Jeroen: Helder. Ik ben nieuwsgierig naar jouw rapportagelijnen. Aan wie leg jij verantwoording af? Met wie praat jij met name en welke lijnen lopen er?
André: De rapportagelijn van mij is naar de general council, de Chief Legal Officer. Die is member van de executive committee. De executive committee is de laag tegen de board of management aan.
Jeroen: Ik kan me voorstellen dat die board of management/executive committee, maar ook de non-executives van jou direct willen horen, “Hoe zit dat nou precies op compliance gebied onderwerp x of y?”
André: Ja. Dus ik heb regelmatig optredens in die executive committee of the board of management. Zeker in de afgelopen periode als er weer nieuwe publicaties zijn over export control met de regelgeving, dat raakt ons. Dus dat wordt uitgebreid besproken. Maar ook general updates over de status van het compliance programma worden met regelmaat gevraagd door de board of management, maar ook door de supervisory board. Daar heb ik inmiddels regelmatig sessies om of over specifieke topics met hen te spreken, maar ook om elk kwartaal een update te geven over wat er speelt op het gebied van compliance.
Jeroen: Toen ik dit gesprek aan het voorbereiden was, dacht ik, “Als ik in jouw rol zou zitten, ik zou ongelooflijk zenuwachtig worden.” Want er zijn zoveel stakeholders die iets vinden van jullie, wat jullie doen. Meestal in hele positieve zin, maar ook wel een beetje angstig, vooral het geopolitieke deel. Is je werk ook heel spannend daardoor? Of is dat meer mijn externe beeld?
André: Ik zal het beeld niet verstoren, het is ook best spannend wat er gebeurt. Want de geopolitieke uitdagingen hebben een impact op ASML. De omvang van het bedrijf en de rol in de industrie maken dat er heel veel partijen zijn die iets vinden van ASML. Over het algemeen wordt er heel positief gekeken naar ASML, maar in de huidige discussies waarbij met name de Amerikaanse overheid heel graag wil dat de mogelijkheden, de capabilities in China beperkt blijven, en ASML daarin ziet als een cruciale speler, levert discussies op die de spanning wel verhogen. Dus onderdeel zijn van dat geopolitieke debat maakt dat het een uitdagende functie is.
Jeroen: Dus mijn beeld hoeft ook niet verstoord te worden wat dat betreft, als ik het zo begrijp. Nog even heel praktisch, we hadden het er in het voorgesprek al even over, even los van alle geopolitieke belangen die er spelen, het bedrijf heeft 260 miljard vandaag de dag aan market cap. Meer dan 40.000 mensen die er werken, heel veel locaties in de wereld, Nederland nog steeds de grootste, begreep ik. Maar je had het net al even over die export controls, daar wil ik heel graag met je over hebben. Even helemaal naar de basis, wat is het eigenlijk, voor mensen die nog nooit gehoord hebben van een export control?
André: Export control gaat er feitelijk over om ervoor te zorgen dat er geen producten of technologie die mogelijk gebruikt zouden kunnen worden voor militaire toepassingen over landsgrenzen heengaan. ASML levert geen producten die een directe militaire toepassing hebben. Dus alle wapenregelgeving is allemaal niet van toepassing. De producten die wij leveren zijn zogenaamd dual use. Dual use wil zeggen dat ze ontwikkeld zijn voor civiele toepassing, maar in potentie zou je er ook iets mee kunnen doen voor militaire toepassingen. Op grond daarvan zijn sommige van onze producten onderhevig aan regelgeving die vereist dat wij een uitvoervergunning hebben voordat we die producten mogen leveren. Die regelgeving ontwikkelt zich, is gebaseerd op internationale afspraken. Wassenaar arrangement is een term die je misschien al weleens hebt gehoord. In het Wassenaar arrangement wordt vastgelegd – Wassenaar is fysiek in Wenen, niet in Wassenaar – welke producten onderhevig zijn aan export control regelgeving. Dat wordt dan in nationale wetgeving vertaald, daarin wordt bepaald wanneer je een vergunning nodig hebt.
Jeroen: Helder.
Dit is Compliance Adviseert.
Jeroen: Even heel praktisch, ik heb geen technische achtergrond, jij ook niet, maar je werkt er al heel lang in, in de defensiehoek wordt natuurlijk heel veel gebruikgemaakt van chips, toch? Bijna in al die moderne wapens heb je chips nodig, ik weet niet of ze allemaal zo geavanceerd hoeven te zijn als dat die van jullie zijn?
André: Het is goed om de positie van ASML in de supply chain te kennen. Wij maken geen chips, wij maken de machines waar die een onderdeel zijn van het productieproces van de chips.
Jeroen: Dus nog een stap daarvoor.
André: We zitten nog een stap daarvoor. Dus ja, in wapens zitten chips, in wapens zitten ook andere producten en die producten zijn wel of niet onderhevig aan diezelfde regelgeving. Maar je kunt niet de link direct leggen tussen als je een chip misschien verkoopt aan een bepaalde partij, dat dat dan een export is naar een wapen.
Jeroen: Helder. Het is niet eens de machine die het wapen maakt, het is de machine die de chip maakt, die chip kan potentieel gebruikt worden in een wapen, maar voor veel meer civiele doeleinden gebruikt wordt. Hebben jullie enig idee of jullie machines die voor chips gemaakt worden ook gebruikt worden in de defensiesfeer? Is dat een belangrijk onderdeel?
André: Nee, in volumes is het geen belangrijk onderdeel. Maar vanuit een risico perspectief is het volume niet zo heel erg belangrijk. Maar zoals je zelf al zei, in wapensystemen zitten chips en die worden gemaakt op machines zoals die van ons en van een beperkt aantal Japanse concurrenten die ASML nog heeft.
Jeroen: Van die wet- en regelgeving, is Amerika ver weg het belangrijkste? Dat is even de eerste vraag.
André: Ja, er zijn eigenlijk twee die echt heel belangrijk zijn. Dat is de Europese regelgeving en de Amerikaanse regelgeving. Ze zijn beide gebaseerd op Wassenaar, maar lopen niet helemaal synchroon in de implementatie. In de Europese regelgeving is het zo ingeregeld dat Nederland ook nog de bevoegdheid heeft om bovenop de Europese regels zelf extra maatregelen in te voeren. Dat is iets wat bijvoorbeeld in het afgelopen jaar heeft gespeeld, dat Nederland in juni aanvullende exportbeperkingen heeft opgelegd op machines die wij maken, op grond van overwegingen die de Nederlandse overheid heeft, maar die verder gaan dan datgene wat in de Europese regels is vastgelegd.
Jeroen: Is het complex?
André: Ja, het is complex en het wordt steeds complexer.
Jeroen: Dit is niet per se een goede maatstaf voor complexiteit, maar om een idee te krijgen, gaat het echt om duizenden en duizenden pagina’s tekst of is het complex omdat dingen met elkaar tegenstrijdig zijn of juist elkaar aanvullen? Of is het weer andere regelgeving die ook weer impact erop heeft?
André: De complexiteit zit hem voor een deel in de omvang van de documenten, maar de complexiteit zit hem ook in de interpretatie van wat er nou precies met die regel bedoeld is. Want export control regelgeving is nooit geschreven op één bedrijf. Dus het beschrijft niet onze productieprocessen en onze technologieontwikkeling, het beschrijft wat de overheden verwachten en wij moeten dat doorvertalen naar, “Hoe zorgen we er dan voor dat wij in onze processen voldoen aan datgene wat in die regelgeving verwacht wordt?” Daar zit een groot deel van de complexiteiten.
Jeroen: Helder. Maken jullie dan ook heel veel gebruik van externe kennis die jullie erbij betrekken als het over hele specifieke technische dingen gaat in die wet- en regelgeving?
André: Wij zouden met de groei van het aantal mensen wat we zelf hebben, die is er ook op gericht om zelf de kennis in huis te hebben, om die analyses altijd goed te kunnen doen. Maar omdat de belangen zo groot zijn, werken we samen met outside council die ons dan adviseert of onze interpretatie goed is, c.q. gevraagd of ongevraagd met advies komt over hoe wij dingen zouden moeten interpreteren.
Jeroen: Kun je mij meenemen in wat die risico’s nou precies zijn? Want ik kan er allemaal ideeën bij hebben, maar je noemde eerder al financieel risico, reputatierisico. Kun je eens schetsen wat de risico’s zijn als je dit hele export control verhaal niet goed op orde hebt als organisatie?
André: Een aardig voorbeeld is datgene wat bij mijn vroegere werkgever gebeurd is, wat de aanleiding was waarom ik in deze rol ben terechtgekomen. Als je niet goed beseft welke regels van toepassing zijn, en je vanuit een passie betrokken bent met het leveren van in dat geval vliegtuigonderdelen aan iedereen die een vliegtuig heeft, omdat je zo betrokken bent bij de luchtwaardigheid van de hele vloot die daarmee rondvliegt, dat je vergeet dat Amerikaanse parts niet naar zo’n partij toe mogen. Die casus is uiteindelijk na zes jaar discussie en onderhandeling en juridische touwtrekkerij gesetteld waarbij we twintig miljoen boete hebben betaald en nog een veel groter bedrag hebben uitgegeven aan juridische kosten om op die manier tot een overeenstemming te komen.
Jeroen: Dan heb je het over financieel risico, daarmee natuurlijk ook reputatierisico, want het is allemaal negatieve press, neem ik aan.
André: Ja.
Jeroen: Is er ook nog een risico rondom liability van bestuurders in deze?
André: Dat hangt er erg van af in welke juristics je in de problemen terechtkomt. Met name de Amerikaanse overheid heeft steeds meer de guidelines dat ze er moeite mee hebben als – in hun ogen – wangedrag van het bedrijfsleven afgedaan wordt met alleen een financiële boete.
Jeroen: Helder. Dat is een perfecte brug naar wat ik hierna wilde vragen, namelijk: wat ze vaak noemen de extraterritorial reach van de VS, die schijnt heel erg sterk te zijn, en daarom ook mijn eerdere vraag of Amerika daarin het meest leidend is. Ik kan me voorstellen, als het gaat om sanctioneren, dat daar wel de grootste zorg of de aandacht zit. Of onderschat ik dan bijvoorbeeld Europa of Japan of een ander land?
André: Nee, dat onderschat je niet. Het risico zit met name aan de Amerikaanse kant. En die extraterritorial reach, dat weet ik niet, die gaat ver en gaat ook steeds verder. Eén van de dingen die in de afgelopen periode is veranderd, is dat een aantal producten die we produceren en in Nederland maken die voorheen uitsluitend onder Nederlandse wetgeving vielen, dat daar nu Amerikanen wetgeving hebben gepubliceerd, dat als er maar één Amerikaans onderdeel in zit, dat het dan een Amerikaans product is.
Jeroen: Wat altijd zo is, denk ik, want er zijn zoveel onderdelen hierbij betrokken.
André: Ja, dus voor een aantal producten, als we die naar China leveren, naar een bepaalde groep klanten in China, hebben we een Amerikaanse vergunning nodig die je dan vervolgens niet gaat krijgen. Op het moment dat je wel zou leveren, kom je in dat soort scenario’s terecht waar ik het net over had. Die gaan gepaard met heel veel vervelende consequenties.
Jeroen: The stakes are high! Het geopolitieke deel, hoe voorkom je nou dat je daar te veel speelbal van wordt? Want ik kan me voorstellen, dit is nog echt wet- en regelgeving, maar er worden ook steeds weer nieuwe dingen bedacht door politici omdat wat jullie maken zo cruciaal is voor een heel groot gedeelte van de toekomst van de economie, zou ik durven stellen. Hoe doe je dat? Hoe pak je dat aan? Kun je ons meenemen hoe dat werkt zonder dingen te delen die je niet wil delen?
André: Door de omvang en de belangrijkheid van het bedrijf is er ook wel een manier om met overheden te communiceren. We zijn niet alleen maar on the receiving end van nieuwe wet- en regelgeving, maar we kunnen informatie aanleveren. Dat wil niet zeggen dat wij mee kunnen schrijven aan wet- en regelgeving die er komt, maar wat bijvoorbeeld wel kan is zorgen dat wij de juiste informatie bij overheden aanleveren, dat wij zorgen dat die goed geïnformeerd zijn en niet uit een te eenvoudig wereldbeeld besluiten tot beperkingen die eigenlijk onterecht zijn, c.q. die consequenties hebben, maar men aan de overheid eigenlijk ook niet op zit te wachten. Legt ASML heel veel beperkingen op de machines die je mag leveren aan bepaalde klanten en bepaalde landen? Voor je het weet, leidt dat tot een chiptekort en we hebben een aantal jaar geleden meegemaakt wat daarvan de consequenties zijn.
Jeroen: Informatie aanleveren, dat noemen ze vaak government affairs. Zo noem ik het maar even, een ander woord zou ook nog lobbyen kunnen zijn. Maar betekent het dat jullie dan ook teams hebben op die cruciale plekken zoals Den Haag, Brussel, Washington?
André: Ja.
Jeroen: Dat ze constant aan het schakelen zijn met de ambtenaren, met de overheid en politie?
André: Gelukkig niet al te veel met de politie.
Jeroen: Politici. Sorry, zei ik politie?
André: Dat team is misschien nog wel harder gegroeid dan de compliance functie in de afgelopen vijf jaar. Dus we hebben inderdaad governant affairs vertegenwoordiging in Den Haag, in Brussel, in Washington. Maar ook in alle landen waar we in grote mate actief zijn. Dus we hebben overal wel iemand zitten die de contacten met de overheid kan overhouden en als het gaat over topics die mij raken, die mijn verantwoordelijkheidsgebied raken, dan trekken we daar samen in op.
Jeroen: Veel van de luisteraars zijn ook werkzaam in de financiële sector. Werk je ook nog samen met banken omdat er bepaalde transacties gedaan moeten worden met landen die misschien voor de banken weer lastig zijn vanuit hun poortwachtersrol?
André: Heel weinig. Omdat wij weinig zaken doen met landen die vanuit een sanctieperspectief gevoelig liggen. Er is contact geweest in de periode dat de Rusland sancties werden aangescherpt. Maar de business die ASML in Rusland deed, was misschien 0.001% van de totale portefeuille. Het was meer, “Misschien gaat er ooit iets ontwikkelen in Rusland, dus we hebben daar wat mensen rondlopen om dat te exploren.” Dus het afwikkelen daarvan zijn dan dingen die je inderdaad goed moet afstemmen. En we hebben weleens contact met banken als we denken dat een bepaalde medewerker van ons iemand is die op een lijst staat, inderdaad. Dat zijn de interacties die we hebben.
Jeroen: Helder, duidelijk. Eén van de andere onderwerpen waar jij je mee bezighoudt, wat je eerder ook aangaf naast de export control, wat volgens mij een heel groot gedeelte van je tijd opmaakt, is privacy. Waar raakt privacy jouw werk allemaal?
André: We zijn geen bedrijf wat een enorme exposure heeft op privacy omdat we niet heel veel externe klantendata hebben. Maar we hebben 40.000 mensen, van die 40.000 mensen hebben we heel veel privacygevoelige informatie en we moeten goed regelen dat het delen van dat soort informatie voldoet aan de eisen die de AVG stelt. Maar die ook in andere landen met vergelijkbare, maar niet identieke wetgeving van ons vragen.
Jeroen: Steeds meer wet- en regelgeving gaat over dat je ook je hele supply chain goed in beeld hebt op allerlei gebieden. Of het nou op digital resilience is of op het gebied van mensenrechten of op het gebied van andere ESG’s, is dat voor jullie niet ook een enorme uitdaging? Het is een beetje een suggestieve vraag, maar omdat jullie juist zo werken in zo’n heel ecosysteem met allerlei honderden of duizenden toeleveranciers?
André: Zeker. Dus wij doen ook due diligence op de partijen waar wij zaken mee doen. Zowel downstream als upstream. Naarmate ESG-verantwoordelijkheden zich verder ontwikkelen, human rights in toenemende mate belangrijk wordt, worden dat soort elementen ook toegevoegd aan de due diligence onderzoeken die we doen op onze businesspartners.
Jeroen: Dat is ongelooflijk ingewikkeld, toch? Want je hebt duizenden en duizenden partijen waarmee je werkt. Dat is even een aanname van mij, maar dat lijkt me zo?
André: Ja. Voor een deel moet je dat ook baseren op contractuele afspraken met onze toeleveranciers dat zij zich houden aan dezelfde regels als waar wij ons aan gebonden voelen.
Jeroen: Helder. Je zei het al even, één van de aspecten van privacy zijn die 40.000 mensen. Jullie hebben natuurlijk veel informatie in je bedrijf, wat heel gevoelig is, vertrouwelijke informatie. Dan moet je al die mensen goed doorlichten voordat ze bij jullie mogen beginnen, kan ik me voorstellen?
André: We zijn geen defensiebedrijf waar we mensen van tevoren aan een screening kunnen laten onderwerpen bij de agencies. Zo werkt dat bij ons niet. Een onderzoek wat je zou kunnen doen als bedrijf zonder dat wij proberen te kopiëren wat een military intelligence agency zou doen. Dus er vindt wel iets van een background check plaats. Uiteraard checken wij of iemand op een sanctielijst staat, bijvoorbeeld. Dat soort obvious stappen worden gezet. Maar ook daar moet je erg oppassen dat je niet de grens overschrijdt van wanneer iets in de discriminatiehoek terechtkomt.
Jeroen: Dat lijkt me best een spanningsveld, want ik kan me voorstellen dat je bepaalde landen misschien wel zou willen uitsluiten of mensen die heel dicht tegen bepaalde overheden aan zitten of hebben gezeten. Ik kan me voorstellen dat het ook wel spanning oplevert met zo’n discriminatiebeginsel.
André: Dat heb je misschien gezien, we hebben dit jaar ook de krant gehaald omdat er beschuldigingen geuit werden dat wij bij ons aannamebeleid mensen met een bepaalde nationaliteit niet te werk stelden. De realiteit is dat we dat heel genuanceerd moeten doen. De nuance zit hem in het feit dat inderdaad Amerikaanse export control wetgeving vraagt dat wij mensen met een bepaalde nationaliteit geen toegang geven tot Amerikaanse technologie. Die wetgeving is extraterritoriaal van toepassing, dus we kunnen hem niet negeren. Dat hebben we ook goed weten uit te leggen aan het College voor de Rechten van de Bescherming van de Mens en die hebben dat ook bevestigd dat een hele genuanceerde toepassing van die Amerikaanse wetgeving uitermate verdedigbaar is.
Je luistert naar Compliance Adviseert.
Jeroen: Ik wil het ook graag met je hebben over regelingen rondom klokkenluiden of informatie naar boven brengen, naar jou toe brengen, naar de Chief Compliance Officer als mensen dingen horen waarvan ze zeggen in het bedrijf, “Dit zou jij moeten weten.” Dat kan van alles zijn, op elk gebied. Hoe hebben jullie dat georganiseerd? Is daar nog iets wat je kan delen, waar mensen die hiernaar luisteren van kunnen leren?
André: Ik denk dat de meeste grote bedrijven dat op een vergelijkbare manier hebben ingeregeld, maar ik noemde net het business integrity team, dat is ons ethics office. Dat ethics office managet ook het mijlpunt. Dus medewerkers die iets willen melden wat ze niet via de koninklijke weg – leidinggevende of collega’s – kwijt kunnen, kunnen ze altijd anoniem melden op dat extern gehost mijlpunt. Al die meldingen komen in mijn team terecht. Mijn team volgt een gedegen proces om goede triage te doen over wat de aard van de melding is en daarmee, indien zinvol en noodzakelijk, een onderzoek te starten. We zijn heel expliciet dat dat ook op een manier gebeurt waar we richting de melder duidelijk over zijn dat wij dat niet zullen doen en dat onze policy ook heel duidelijk is dat dat niet mag gebeuren. Dus het is niet alleen een guideline voor de ethics office, het is duidelijk afgesproken in de code of conduct, “Als je wat te melden hebt, step forward en meld het.” Het is een belangrijk principe dat je dan ook volledig beschermd bent voor datgene wat je dan te melden hebt.
Jeroen: Je hebt uiteindelijk ook een cultuur daarbij nodig die mensen vertrouwen geeft, zoals je ook al schetst, zodat ze dat kunnen doen zonder dat ze daarvoor afgestraft worden. Maar ik neem aan dat jullie elke nationaliteit in de wereld bij jullie hebben werken. Het zijn waarschijnlijk meer dan honderd landen om overal talent vandaan te halen. Ik zie je knikken, dus volgens mij is dat een ja. Maar dat betekent dat er heel erg veel verschillende culturen naar binnen worden gebracht, wat natuurlijk aan de ene kant iets prachtigs is, het is heel erg divers daardoor met heel veel verschillende achtergronden. Maar het lijkt me ook lastig om daar één cultuur van te smeden. Ook vanuit een Chief Compliance Officer oogpunt is cultuur natuurlijk cruciaal voor dit soort dingen.
André: Ja. Dat we de compliance mindset voorop willen zetten, dat proberen we inderdaad in te voegen in de cultuur van het bedrijf. De cultuur van het bedrijf is wel heel erg gericht op samenwerking, op care en collaborates en challenge zijn de drie thema’s die het bedrijf wel verbinden. Zeker onder de care, van één van de drie C’s, valt dit prachtig.
Jeroen: Ik dacht, “Het zal wel care, challenge, cooperate en compliance zijn.” Maar die vierde C mag er nog niet bij, blijkbaar. Zeker omdat je ook nog eens een keer op zoveel locaties werkt, wat doe je allemaal om de compliance mindset onder de aandacht te brengen van al deze mensen op zoveel verschillende locaties met zoveel verschillende culturen en achtergronden? Wat kun je allemaal doen?
André: Het is natuurlijk heel belangrijk dat we mensen op die locaties hebben. Dus in de groei van het team en de aanpalende functies hebben we erg ingezet of zorgen dat we ook presence hebben op alle locaties. Het is heel veel training, inclusief training waarbij je mensen face to face ziet. Dus natuurlijk hebben we de ruimte en ook door de omvang van het bedrijf kunnen we het ons veroorloven om flink te investeren in goede computer-based training, e-learning. Maar dat is nooit volledig effectief. Je moet het competeren met face to face training, maar het helpt ook enorm als het topic van compliance regelmatig benoemd wordt door de CEO, dat het ook van bovenaf ondersteund wordt.
Jeroen: The tone at the top.
André: The tone at the top is belangrijk en ASML heeft het afgelopen jaar veel energie gestoken in zorgen dat die boodschap uitgedragen wordt.
Jeroen: Ik ben nog benieuwd om met je te spreken over de rol van de Chief Compliance Officer in de organisatie. Want waar zit die in de optimale situatie, wat jou betreft? Waar zit die rol eigenlijk, even los van ASML? Sommige mensen zeggen, “Hij moet eigenlijk in de board zitten”, anderen zeggen, “Het moet eigenlijk onafhankelijk aangesteld worden door de non-executives.” Waar denk jij dat die het meest effectief tot zijn recht komt? Zonder hier te solliciteren naar een rol in de board van ASML, want dat bedoel ik niet. Het gaat me echt om waar die rol het beste tot zijn recht komt.
André: Ik denk dat het heel belangrijk is dat er directe toegang is tot de board en de non-executives, of de supervisory board in onze structuur, en dat het twee kanten opgaat. Ik moet de vrijheid kunnen hebben om daar met hen te kunnen spreken, maar andersom moeten zij ook het kunnen uitstralen dat ze weten wat er speelt op het gebied van compliance. Als die two-way communications al missen, wordt de plek in de organisatie heel erg belangrijk. Wat enorm geholpen heeft in ons geval is dat er een Chief Legal Officer in het general council benoemd is die dit heel erg belangrijk vindt. Die heeft een plek in de executive committee en als company secretary ook in de board. Dus die zit overal bij. En daarmee heb ik via haar eigenlijk permanente toegang en missen wij gezamenlijk niks. Ik kan je ook modellen voorstellen, dat was in mijn oude rol het geval, ik rapporteerde aan de CEO en er zat geen Chief Legal Officer tussen.
Jeroen: Eigenlijk zeg jij – in mijn woorden – access naar de eindverantwoordelijke is het allerbelangrijkste. Dat je directe toegang hebt en dat je daar ook gehoord wordt en serieus genomen wordt, daar gaat het om.
André: Ja.
Jeroen: Even los waar die dan formeel hangt, dat is dan minder relevant.
André: Ja.
Jeroen: Oké. Ik vond het heel interessant, we hadden een kort voorgesprek een tijdje geleden en toen zei je iets in de trant van, “Het is bij een organisatie waar ik werk zoals ASML minder them versus us zoals je dat meer zou ervaren in de financiële sector.” Ik weet niet of je dat nog bekend voorkomt, dat we het daarover hadden. Maar ik ben wel benieuwd, als het klopt, waar het dan in zit. Want dat is wel interessant om eens te weten.
André: Them versus us, wij zijn niet de business prevention department. We zijn niet een uitermate bureaucratisch geheel wat probeert om elke transactie op elk detailniveau te analyseren. Ik zei het net al, we hebben ongeveer veertig man rondlopen in de compliance functie. Je praat over hele andere aantallen dan in de bancaire sector waar het percentage compliance officers op de totale populatie echt een andere verhouding is dan de één op duizend die er bij ons is. De mindset is ook heel erg: we moeten proberen te begrijpen wat de regels van ons verwachten en daar dan gezamenlijk aan voldoen. Ik denk ook dat er een andere mindset is van de regulators. Natuurlijk verwachten de regulators dat wij volledig compliant zijn met wet- en regelgeving, maar niet dat de interactie tussen de regulators in de bancaire wereld heel anders is dan dat die in ons geval is.
Jeroen: Dus eigenlijk gaat die op twee niveaus op, richting de toezichthouder, maar ook intern. Tussen de verschillende lijnen van defense, zoals wij in de financiële sector vaak zeggen. Als ik jou zo beluister, is er heel veel werk aan de winkel aan de ene kant, maar aan de andere kant lijk je – zo breng je het in ieder geval – heel goed onder controle te hebben. Waar zitten voor jou de belangrijkste uitdagingen?
André: De belangrijkste uitdaging zit hem in niet alleen uitdragen wat vanuit de compliance regelgeving van de organisatie verwacht wordt, maar ook zorgen dat we heel goed ingevoerd dat we ook kunnen monitoren. Dat het gaat zoals we afgesproken hebben dat het gaat. Bijvoorbeeld op export control gebied kun je dat heel goed doen door heel veel zaken te automatiseren in je SAP/EAP-implementatie of in de technologiesystemen, maar even goed. Maar het is best lastig om dat water dicht te krijgen, maar wel heel belangrijk om dat water dicht te krijgen. Dus daar zit een flinke uitdaging in, om al die systemen steeds up-to-date te houden met datgene wat er verwacht wordt vanuit de wet- en regelgeving.
Jeroen: Dan bedoel je heel concreet dat er weer een heel stuk wet- en regelgeving aan dat direct weer toegepast wordt en ook daadwerkelijk gecheckt wordt of het overal geïmplementeerd wordt, moet ik het zo zien?
André: Ja, zeker. Een ander deel van de uitdaging die we hebben als bedrijf is dat we inmiddels werken met 42.000 mensen. Die hebben allemaal hele goede intenties, maar daar zit altijd het risico in met een dergelijke omvang van mensen dat er een keer een rotte appel doorheen gaat. Je hebt het risico van onbedoelde fouten van mensen. Daar zit het risico met name op, op export control vlak. De andere werkgebieden hebben ook risico’s, maar die zijn net iets makkelijker te managen, de exposure is net iets minder groot dan op export control gebied.
Jeroen: Dat zijn de twee dingen waar jij wakker van zou kunnen liggen. Zijn er nog andere dingen waarvan je zegt, “Daarvan zou ik kunnen wakker liggen”?
André: Je weet niet wat je niet weet. Dat is hetgeen waar we permanent over aan het nadenken zijn. Wat gebeurt er wat wij niet zouden willen?
Jeroen: Doe je dat heel actief, dat jullie echt een brainstormsessie houden? Neem je daar de tijd voor? Want je bent natuurlijk superdruk, om echt na te denken, “Wat zou er nu kunnen gebeuren wat we echt totaal niet verwachten op dit moment?”
André: Het doen van goede risk assessment is wel een cruciaal onderdeel van een goedwerkend compliance programma. Dus ja, dat gebeurt. Bijvoorbeeld naar aanleiding van incidenten die je bij andere bedrijven ziet gebeuren.
Jeroen: Brand bij de buren is altijd het meest interessante om te bekijken.
André: Ja, maar ook wel in de wetenschap dat brand bij de buren, als die geblust wordt en er een rapport van de brandweer komt, een settlement gepubliceerd wordt over een anti-bribery case of een export control case, dan is dat vaak ook een manier van regulators om te communiceren wat zij belangrijk vinden. Dus het is wel belangrijk om die goed te lezen.
Jeroen: Ja, dat kan ik me voorstellen. Voor de rest slaap je volgens mij vrij goed, als ik het zo hoor?
André: Ja, ik heb daar nog nooit heel veel last van gehad dat werk mij uit mijn slaap houdt. Ik moet zeggen, het geldt voor mijn team, maar het geldt ook voor de compliance teams die ik bij andere bedrijven zie werken. Over het algemeen weinig resources, veel verwachtingen, hoge druk, dus ik zie mensen weleens worstelen met de work-lifebalance.
Jeroen: Dat is bij jullie niet anders, waarschijnlijk?
André: Dat is niet anders.
Jeroen: Het doet mij altijd denken aan bijvoorbeeld de strafrechtketen waar er ook altijd meer werk is. Dat geldt natuurlijk voor veel banen, maar zeker in deze hoek. Je kunt altijd nog meer doen. Het is moeilijk om grenzen te bepalen, je kunt altijd nog meer controleren en nog meer steekproeven nemen, nog meer educatieprogramma’s opzetten, you name it. Het houdt natuurlijk nooit op. Het is een niet-afgebakende rol die je hebt. Als je bij jullie in de commercie zit, kun je zeggen, “We willen een bepaalde target halen en zoveel machines verkopen of zoveel omzet realiseren”, en als je dat haalt, is het heel duidelijk. Het kan ook altijd meer, maar dan heb je het in ieder geval gehaald. Dat is bij jullie natuurlijk heel onduidelijk, je wil vooral geen grote problemen.
André: Ja, je wil geen grote problemen en je wil de kleine problemen goed kunnen managen. De functie is ook het meest succesvol als er niets opvallends gebeurt. Dus geen nieuws is goed nieuws, dat is hier echt van toepassing.
Jeroen: Briljant, prachtig! We hebben alle gasten bij Compliance Adviseert altijd dezelfde vraag gesteld op het einde: heb je bepaalde tips voor mensen die in compliance werken? Dat kan in de financiële sector zijn of compliance breed, maar heb je tips voor die mensen? Het mogen starters zijn of mensen die zoals jij al lang in het vak zitten, het maakt niet uit, maar heb je tips?
André: Voor diegenen die al in die functies zitten sowieso het compliment dat je een goede keuze hebt gemaakt. Als ik terugdenk aan mijn start heb ik in mijn vrienden en bekenden kring heel vaak moeten uitleggen waarom ik een glansrijke finance carrière overboord gooide om zoiets dufs te gaan doen.
Jeroen: “Waar begin je aan, André?”
André: Het heeft ook nog zin wat we doen, uiteindelijk wil ik het niet te soft maken, maar je werkt wel aan iets wat een groter doel dient dan alleen zorgen dat je lijstjes afvinkt. Wat een hele belangrijke tip op compliance gebied is, is “Probeer het niet alleen uit te vinden.” Netwerken is verschrikkelijk belangrijk en gebruik de kennis die anderen hebben. Natuurlijk kun je duur betaald advies inwinnen bij een advocatenkantoor over wat je moet doen, maar er zijn zoveel anderen in een vergelijkbare industrie of andere industrieën die ook graag ervaring en kennis met elkaar delen. Ik heb het in de aerospace wereld ervaren, daar is het goed ingeregeld. Er is heel veel te leren van elkaar en gezamenlijk kom je veel verder dan dat je zelf probeert te begrijpen wat nou precies de bedoeling van die ene zin in die wet is.
Jeroen: Bedoel je met netwerken de kennisoverdracht, maar ook netwerken binnen de organisatie, bijvoorbeeld bij jullie binnen de organisatie dat je weet hoe de hazen lopen, dat je met veel meer mensen praat en dingen opvangt?
André: Ja, want een compliance afdeling die in een ivory tower aan het werk is, gaat niet effectief zijn. Dus internet werken en zorgen dat je weet wat speelt binnen het bedrijf is heel zinvol. Als eenling is dat lastig, maar als je meerdere mensen hebt, moet je zorgen dat die op meerdere locaties zitten in meerdere afdelingen, echt embedded in het bedrijf. Maar het is ook heel erg belangrijk om met je peers bij andere bedrijven samen te werken en gezamenlijk goed te begrijpen wat nou de impact van wet- en regelgeving is. Het is helemaal niet gek om een keer een vraag te stellen aan iemand anders, “Kun je even met me meedenken? Hoe lees jij dit?”
Jeroen: Mooi! Ontzettend interessant wat je allemaal hebt gedeeld. Voordat ik je daarvoor ga bedanken, heb jij nog iets waarvan je zegt, “Jeroen, dat hadden we echt moeten bespreken” of “Dat wil ik nog toevoegen aan dit gesprek”?
André: Ik dacht dat je me zou gaan vragen over allerlei spannende cases waar ik niets over zou kunnen zeggen.
Jeroen: Ik had al zo’n vermoeden dat er een bepaalde dingen waren waar ik maar beter niet over kon beginnen. Maar heb je er één die wel deelbaar is?
André: De vertrouwelijke dingen blijven natuurlijk vertrouwelijk, Jeroen. Maar ik heb niets toe te voegen aan wat we gezegd hebben.
Jeroen: Ik wijs er nu naar, ik heb zo meteen een klein bedankje voor je dat je ook als Chief Compliance Officer van ASML gewoon mag aannemen volgens je eigen policies. In ieder geval heel erg veel dank voor alle tijd die je in Compliance Adviseert hebt gestoken en ik ben erg benieuwd om jou en het bedrijf te gaan volgen de komende jaren. Dankjewel!
Je luisterde naar Compliance Adviseert. Deze podcast werd mede mogelijk gemaakt door Hyarchis, Osborne Clarke, Deloitte en de Volksbank. Meer weten of een reactie achterlaten? Dat kan op onze LinkedIn. Als je ons daar volgt, ben je bovendien altijd op de hoogte van nieuwe afleveringen. Natuurlijk zijn we je zeer dankbaar als je een review achterlaat en meer mensen vertelt over deze podcast. Vergeet ook niet te kijken naar de andere podcasts op ons kanaal. Er zit vast iets tussen dat je aanspreekt. Bedankt voor het luisteren!