Transcriptie: Hanzo van Beusekom – Het vak van toezichthouder

Luister de aflevering via: https://www.complianceadviseert.nl/hanzo-van-beusekom-het-vak-van-toezichthouder

Welkom bij Compliance Adviseert, met experts, adviseurs, bestuurders en de business bespreken we Risk & Compliance binnen de financiële wereld en alle uitdagingen en dilemma’s die daarbij horen, want voor het juiste en rechte pad bestaat geen navigatiesysteem. Deze podcast wordt mede mogelijk gemaakt door Hyarchis, Partner in Compliance en Deloitte. Je host is Jeroen Broekema.

Jeroen: Dag luisteraars, welkom bij een nieuwe aflevering van Compliance Adviseert. Deze week met Hanzo van Beusekom, bestuurslid van de Autoriteit Financiële Markten, de AFM. Welkom, Hanzo!

Hanzo: Dankjewel! Fijn om hier te zijn.

Hanzo van Beusekom over het vak van toezichthouder

Jeroen: Erg leuk dat je de tijd neemt en ik vind het extra leuk omdat wij elkaar een keer eerder hebben gesproken. We gaan het vandaag hebben over wat goed toezicht is. We hebben elkaar eerder gesproken bij onze zuster podcast, Leaders in Finance. Daar bespraken we alles over jou, wat je belangrijk vindt en wat jou drijft, hoe jouw loopbaan is geweest, maar ook bijvoorbeeld hoe jij jouw tijd in Nieuw-Zeeland hebt doorgebracht. Voor mensen die dat interessant vinden, dat is de 52ste aflevering van Leaders in Finance. We zullen die ook in de show notes opnemen. Dus even voor de helderheid, wat we vandaag gaan bespreken is: wat maakt nou een goede toezichthouder? Dat lijkt misschien een simpele vraag of mensen denken, “Dat is een hele grote vraag”, ik denk dat laatste, in ieder geval. Voordat we het erover gaan hebben, Hanzo, ben ik ook wel benieuwd, jij werkt al heel lang in toezicht, wat trekt jou nou zo aan in het zijn van toezichthouder?

Hanzo: Dankjewel, ik ben nu inderdaad twintig jaar professioneel in het toezicht bezig in allerlei verschillende rollen, en ik vind het nog steeds ongelooflijk interessant en ik ga elke dag met heel veel plezier naar de AFM toe om toezichthouder te zijn en toezichthouders te leiden en toezichthouders op te leiden. Wat ik er interessant aan vind, is dat je op een kruispunt van belangen zit. Dus een AFM houdt zich bezig met zorgen dat financiële markten bijdragen aan duurzaam financieel welzijn, dat consumenten beschermd worden, dat de kapitaalmarkt goed blijft draaien. En die botsing van die verschillende belangen naar die verschillende partijen, dat is elke dag weer fascinerend om te zien hoe dat gaat. Het is een heel moeilijk spel en het zijn lastige puzzels, het zijn grote belangen, en ik vind het fantastisch om daar met een groep mensen aan bij te dragen om te zorgen dat Nederland goed blijft draaien en ook Europa goed blijft draaien. Dus ik doe dat met heel veel plezier, Jeroen.

Jeroen: Ja, dat straalt ervan af. Want die complexiteit noem je, het is ongelooflijk complex en dat heeft natuurlijk met die belangen te maken. Maar kan je dat speelveld kort schetsen, welke belangen dan allemaal op elkaar inwerken?

Hanzo: Ja, dat kan. Ten eerste, toezicht is niet alleen financieel toezicht, natuurlijk. Het is op allerlei verschillende plekken in de maatschappij. We hadden het er net even over hoe je hier komt, op deze plek. Of met de trein, zoals jij, of met de auto, zoals wij. Op dat moment heb je heel veel toezicht gepasseerd. Dus jij hebt allerlei treintoezichthouders gepasseerd, je hebt allerlei mensen die ervoor zorgen dat dat ding veilig blijft rijden, dat het niet botst op een andere trein. Ook dat zijn allemaal vormen van toezicht. Als je, ondanks de duurzaamheidsissues, toch nog in een vliegtuig stapt, heb je een hele berg toezicht die ervoor zorgt dat je veilig opstijgt, goed door de douane komt voordat je opstijgt en daarna weer veilig landt. Dat is ongelooflijk belangrijk en dat mag ook wel een keer gezegd worden, dat er in heel Nederland tienduizenden toezichthouders zijn die ervoor zorgen dat allerlei publieke waardes gewaarborgd worden. Dankzij toezicht kan je veilig in een lift stappen, dankzij toezicht kan je veilig eten bij restaurants, dankzij toezicht daalt het aantal verkeersslachtoffers in de meeste landen. Daarom heeft toezicht een hele belangrijke functie in de Nederlandse maatschappij. De tweede vraag die daarachter zat is: waarom is dit nou zo complex? Dat kan je zien aan de hand van een voorbeeld. Eén van de stukken waarvoor ik verantwoordelijk ben is het toezicht op accountants, daar komen een hele hoop belangen bij elkaar. Belangen van uitgevende instellingen die aandelen uitgeven, die gecontroleerd moeten worden, de boekhouding door accountants. Vervolgens heb je de belangen van de accountants zelf, je hebt de politiek die er iets van vindt, je hebt in dit geval ook nog de kwartiermakers. Dus je zit echt in een heel lastig speelveld, een knooppunt van belangen, die allemaal samen proberen te werken om de kwaliteit van de financiële verslaggeving en van de accountancy stap voor stap beter te maken. Het is fascinerend om te zien hoe dat speelveld en dat systeem in elkaar zit en hoe je in kan grijpen en drukpunten kan vinden in dat systeem, of hefboompunten kan vinden, waarmee je de kwaliteit stap voor stap kan verbeteren. Dat is één voorbeeld uit de portefeuille van de AFM, we hebben daarnaast natuurlijk nog kapitaalmarkten, we hebben daarnaast nog financiële dienstverleners en asset managers om nog een paar andere velden te geven.

Jeroen: Dat is wel mooi hoe je dat beschrijft, met de auto of met de trein, we passeren allerlei toezichthouders. Het is natuurlijk vaak zo, alles wat goed gaat, daar hoor je natuurlijk niet al te veel over. Zeker niet in de media. Maar er gaat dus ongelooflijk veel goed, als ik dat zo mag begrijpen, want we zijn hier allebei gekomen. Maar het gaat er dus om, als het dan niet goed gaat, dan weet je ook meteen wat goed toezicht is. Kan je eens schetsen, heel lastig, maar wanneer is toezicht nou goed?

Hanzo: Ja, dat is een ongelooflijk ingewikkelde vraag. Ik ben er een boekje over aan het schrijven, dus de lange versie ga je nog een keertje krijgen, Jeroen. Ik denk dat er kenmerken zijn van goed toezicht. Als ik het heel snel uit schets, is het alle toezichthouders over de hele wereld, of je nou voedsel- en warenautoriteit bent of inspectie voor de gezondheidszorg en jeugd, alle toezichthouders stellen publieke waardes centraal. Als je dat niet doet, ben je geen goede toezichthouder. Dus dat is de eerste randvoorwaarde die je kan zien. De publieke waarde kan verschillen. Dus als je voedsel- en warenautoriteit bent, gaat het over veilig voedsel en als je inspectie gezondheidszorg en jeugd bent, gaat het over veilige zorg of toegankelijke zorg. Overigens, de meeste toezichthouders hebben niet één publieke waarde, maar verschillende, die ook soms onderling kunnen botsen. Maar je hebt een publiek doel en dat is anders dan een privé doel of een privaat doel. Dus het gaat je niet over winstmaximalisatie, het gaat niet over marktaandelen, het gaat over iets wat de maatschappij nodig heeft. Dat moet je echt beseffen als goed toezichthouder. Dat is het eerste. Het tweede wat echt nodig is, is dat je goed doorhebt wat de risico’s zijn en wat de aard en de omvang van de risico’s zijn waar je toezicht op hebt. Dat klinkt een hele makkelijke vraag, maar onder toezichthouders is er al 20-30 jaar, of misschien wel langer, een debat over, “Wat is eigenlijk een risico?” Daar willen we jou en je luisteraars niet mee gaan vermoeien, maar hier komt mijn definitie: alles wat afbreuk doet aan jouw publieke waarden, dat is een risico. Dus als jij voor voedselveiligheid bent, dan is dat jouw publieke waarde. Elke gedraging, set van omstandigheden of onderdeel van de context die ervoor zorgt dat de voedselveiligheid afneemt – om dat voorbeeld even verder te duwen – dat is te zien als een risico. Wat je vervolgens als goed toezichthouder moet doen is dat je alle risico’s die je ziet goed moet zien, begrijpen en aanpakken. Dus je moet er een soort methodologie mee maken waarbij je ze tijdig kan zien, grondig en goed kan begrijpen en effectief kan interveniëren. Als je dat doet, en vervolgens nog als sluitstuk je er ook over verantwoordt, want uiteindelijk krijg je publieke middelen van de maatschappij of je krijgt een wetgevingskracht of je krijgt financiële middelen, als je die hele cyclus die ik beschrijf goed doet – dus het zien, begrijpen en aanpakken van belangrijke problemen – en je daar publiekelijk over verantwoord, dan ben je een goed toezichthouder.

Jeroen: En als we het operationaliseren voor de Autoriteit Financiële Markten, in ieder geval de eerste twee, de publieke waarden centraal stellen en het risico beheersen, zou je dat eens met mij willen doen? Wat zijn nou de publieke waarden die centraal staan? Zijn er inderdaad, zoals je net suggereerde, bij jullie ook tegenstrijdige publieke waarden?

Hanzo: Ja, dat kan. Dus wij zijn voor duurzaam financieel welzijn, we zijn voor eerlijke en transparante financiële markten, dat staat voor ons centraal. Dus je ziet ons heel veel doen op het gebied van transparant maken van informatie zodat consumenten en professionele partijen betere keuzes kunnen maken. Dat is echt in het hart van het AFM en als het goed is, kan je elke AFM’er ‘s nachts wakker maken en kan hij die drie tot je opdreunen. Straf en ontslag als het niet lukt.

Jeroen: Dat is duidelijk!

Hanzo: Ja, precies! Dus dat is de kern, maar tegelijkertijd, als je heel veel toezicht hebt of zorg voor scherp toezicht op die manier die ik net beschreef, hoe makkelijk of hoe moeilijk is innovatie dan eigenlijk? Dus als je ook bent voor een levendige, krachtige financiële sector en die ook belangrijk vindt, dan kan je natuurlijk zeggen, “Duurzaam financieel welzijn, eerlijke en transparante financiële markten, dat kan weleens innovatie hinderen.” Dus daar zie je dat onze manier schuurt. Hetzelfde is, wij beschermen allerlei consumenten, bijvoorbeeld op de hypotheekmarkt om een voorbeeld te geven. Dat betekent dat NIBUD stelt een maxima, wij houden daar toezicht op, op de loan to value en de loan to income. Hoeveel mag je lenen ten opzichte van je inkomen of de warde van je huis? Dat zorgt er natuurlijk ook voor dat het soms moeilijker is om een huis te kopen, zeker met de hoge huizenprijzen. Dus ook daar zie je weer dat toezicht niet goed of fout is, het is navigeren, laveren door een heel moeilijk speelveld van belangen.

Jeroen: En jouw definitie: “Alles wat afbreuk doet is een risico”, dus wat zijn dan allerlei vormen van risico’s? Je kan natuurlijk een hele lange lijst maken, gok ik. Maar kan je eens een aantal voorbeelden geven voor mij en de luisteraars wat dat allemaal kan zijn vanuit jullie perspectief?

Hanzo: Ja. Dan pak ik even niet accountants, want die hadden we net. Ik pak even de kapitaalmarktenkant. Daar zijn wij voor robuuste infrastructuur en integer handelsgedrag, dus dat is een subonderdeeltje van die hoofd publieke waarde die ik net schetste. In dat onderdeel betekent het dus dat wij willen dat op elk moment van de dag, en soms ook de nacht, de infrastructuur van de kapitaalmarkt blijft draaien, dat er prijzen afgegeven kunnen worden, dat er risico’s beprijst kunnen worden en dat je niet zo’n grote crisis krijgt zoals we nu op dat moment in Amerika zien. Dat betekent dat die infrastructuur van de verschillende effectenbeurzen en financiële instrumentenbeurzen heel erg robuust moeten zijn. Als daar risico’s zijn, bijvoorbeeld cyber risico’s, dan is dat voor ons een risico. Om een voorbeeld te noemen, een kans dat een grote beurs gehackt wordt, dat zou iets zijn wat ons heel erg zou raken en waar we dus ook met verschillende beurzen en platformen over in gesprek zijn. Dat is er eentje, dus dat is robuuste infrastructuur. Een andere is integer handelsgedrag, stel dat wij met z’n allen een effecten uitgevende instelling zouden zijn, wij zijn een beursfonds, en wij weten hoe de koers zich waarschijnlijk gaat ontwikkelen omdat wij weten dat we een fantastisch jaar hebben gehad het afgelopen jaar. Wij zouden daarop kunnen gaan handelen, wij vertellen, “Doe dat niet zelf”, want we zijn daar iets te snugger voor. Dus we geven die informatie aan een bekende en die bekende gaat handelen. Dat is hopelijk zichtbaar in onze systemen. We hebben heel veel data over de beurs, we kunnen elke transactie zien en terugdraaien. Aan dat draadje zouden wij kunnen gaan trekken en dat is een andere vorm van risico waar de AFM op let. Dit laat ook zien dat de aard en de omvang van deze risico’s fundamenteel anders zijn. De ene is een soort structureel infrastructuurrisico, komt niet heel vaak voor, maar als het voorkomt heb je wel echt een heel groot probleem. Dan dondert de beurs in elkaar. Dan kan ik me waarschijnlijk wel gaan melden bij de minister en bij de Tweede Kamer. De andere is iets wat helaas veel vaker voorkomt, vrees ik, maar waar de individuele impact niet zo heel erg groot is. Bij de ene is de kans vrij klein en de impact heel groot, bij de andere is de kans vrij groot en de impact wat kleiner. Daar moet je ook andere manieren van zien, begrijpen en aanpakken en verantwoording voor hebben voor het ene risico dan voor het ander risico. Ook dat is een mooi antwoord op je vraag van waarom ons vak interessant is. Het heeft heel veel verschillende manieren en typen van risicobeheersing in zich.

Jeroen: Ik begin wel enthousiast te worden van toezicht.

Hanzo: Kom bij de AFM werken, het is hartstikke leuk!

Jeroen: Ik wilde ook nog met je dat derde punt wat je aanhaalde bespreken: zien, begrijpen, aanpakken en later verantwoorden. Ik wilde het met name met je hebben over dat zien. Heel lang geleden heb ik bestuurskunde gestudeerd, dan hadden we zo’n boek van Allison en Zelikow, het ging over de Cuba crisis. Dan lieten ze zien, je had drie verschillende brillen op en je kreeg drie verschillende verhalen. Wat eigenlijk maar één verhaal was, maar drie totaal andere wijzen van kijken. Betekent dat dat jullie met jullie 600-700 mensen ook andere zienswijzen hebben wat je eigenlijk ziet? Even los van hoe je het gaat begrijpen en gaat aanpakken, want dan heb je hetzelfde verhaal, maar even alleen het zien?

Hanzo: Zien is ongelooflijk ingewikkeld. Daar kan je veel over vertellen. Soms is het zo’n Hitchcock verhaal van ‘the dog that didn’t bark’, en soms gaat het ook om het signaal wat je niet krijgt. Je kan net zoveel informatie hebben als de onderwerpen waar je heel veel informatie over krijgt, het feit dat je ergens veel klachten over krijgt betekent niet zeker dat het een groot en belangrijk probleem is. Dat betekent dat je er veel klachten over krijgt. Het kan best zijn dat er daarnaast andere dingen zijn waar je geen klachten over krijgt, denk bijvoorbeeld aan witwassen. Dus daar moet je als toezichthouder actief naar op zoek gaan om dat te gaan vinden. Dat is iets heel anders dan een consumentenproduct wat hapert, want daar gaan mensen over bellen en klagen. Als je pinpas niet meer terug komt, uit de tijd dat we vroeger nog pinden, daar komen veel klachten over binnen. Dus dat is wat je ziet. Het tweede deel van je vraag ben ik kwijt, hoe was dat ook alweer?

Jeroen: Dat er met name veel vormen van interpretaties zijn van wat je dan eigenlijk ziet.

Hanzo: Ja, verschillende lenzen, dat klopt. Dat is super belangrijk, dat is één van de redenen waarom het belangrijk is dat er een diverse populatie van mensen werkt bij de AFM, mensen met een economische, juridische, psychologische, criminologische, filosofische, et cetera, achtergrond. Omdat ieder van ons zijn eigen lens ook van nature bouwt en je hebt die verschillende lenzen nodig om naar de werkelijkheid of naar het toezichtprobleem te kijken. Soms doen we dat ook bewust, soms zeggen we ook, “We wisselen nu even van lens.” En ook als bestuur vragen we dat regelmatig, “Hoe ziet het eruit vanuit een strikt juridisch perspectief?” Dus dan krijg je de vraag: mag dit of mag dit niet volgens de wet? Je kan kijken naar een psychologisch perspectief, dus dan ga je nadenken, “Degene of de instelling die dit doet, weet die niet hoe het moet? Wil die het niet of kan die het niet?” Je krijgt een weten-willen-kunnen-achtige reden. Of je kan kijken naar een soort maatschappelijk perspectief, “Hoe erg wordt dit gevonden in de maatschappij?” Dus dat is een heel ander type lens en we wisselen regelmatig van lens, naast dat mensen hun eigen professionele lens meenemen.

Jeroen: Dat is heel mooi uitgelegd! Nog een andere vraag over dat zien, heel praktisch gezien, je wil graag dingen zien achter die muren van organisaties. Je krijgt toch vaak papier, terwijl je altijd hoort, dingen die je echt wil weten moet je ook vaak informeel horen. Dus hoe zie je dingen terwijl je niet echt in die organisatie zit?

Hanzo: Super goede vraag en ook een mooie link naar Compliance Adviseert. De compliance officer is hier een cruciale schakel voor de AFM, een belangrijke bron van informatie. Compliance en toezichthouders kunnen elkaar hier heel goed versterken. Dus dat is een belangrijke manier om te zien. Dat is een goed punt waar je op duidt: toezichthouders hebben vrij veel macht en middelen, maar ook een enorme informatieachterstand. Ik kan niet precies zien wat er onder de 8.000-9.000 onder toezicht staande instellingen van de AFM speelt en wat er gebeurt. Ik heb die ambitie overigens ook niet. Dus ik moet de belangrijke dingen tijdig zien. Compliance officers, die natuurlijk hun eigen onafhankelijke positie hebben en niet voor de AFM werken, maar wel wettelijk verplicht en moreel verplicht zijn om met ons samen te werken, kunnen een belangrijke bron van informatie zijn. Andere bronnen van informatie – we hadden het er net al even over – zijn signalen. Dus de AFM krijgt enige duizenden signalen per jaar, dat kunnen bezorgde consumenten zijn, maar het kunnen ook effectenhandelaren zijn of effectenhandelsplatformen zijn. We hadden het net al even over handel met voorkennis, als je dat ziet gebeuren op jouw platform, ben je gewoon wettelijk verplicht om dat te melden bij de AFM. Hetzelfde geldt voor compliance officers van handelshuizen, dat is een ander type signaal. Dus dan krijg je enige duizenden signalen, we krijgen heel veel datastromen. Ik had het er al even over, elke order, maar ook elk oordeel, elke transactie wordt doorgestuurd naar de AFM. Dus die kunnen we allemaal zien. In toenemende mate zijn er ook aan de retail kant, aan de asset management kant en bij de accountancy toezicht allerlei vormen van rapportages waarmee mensen informatie sturen naar de AFM. Dus het zijn signalen, rapportages, informatie van compliance officers, internationaal netwerk, alle andere dingen die je je kan bedenken, gewoon hypothesevorming in je eigen huis. Want je moet continu nadenken, “Hoe zorg je ervoor dat mijn informatiepositie die niet zo goed is en niet goed zal worden toch een stukje beter wordt zodat ik de belangrijke problemen zal zien?”

Dit is Compliance Adviseert.

Jeroen: Uiteindelijk is een deel van het toezicht gewoon het naleven van regels, er zijn regels waaraan je moet voldoen. Ik snap dat er heel veel andere delen zijn, we komen straks nog over cultuur te spreken. Maar het naleven van regels, wat hebben jullie allemaal in huis om ervoor te zorgen dat ze worden nageleefd? Want ik kan me zo voorstellen, zeker als Nederlander, dat er ook wel regels zijn die gewoon niet worden nageleefd en dat wil je toch eigenlijk niet?

Hanzo: Er worden vrij veel regels niet nageleefd. Er zijn heel veel regels, niet alleen in de financiële sector, maar in het algemeen zijn er veel regels die niet worden nageleefd. Dat is een goede vraag, daar zou je een hele podcast aan kunnen wijden. Want dit kan je weer in verschillende bakjes onderbrengen. De eerste vraag die je zou moeten stellen als je hier iets aan zou willen doen is, “Waarom worden de regels niet nageleefd?” Dus als je niet begrijpt waarom dat zo is, heeft al de rest niet zo heel veel zin. Een makkelijk voorbeeld, ik loop door rood bij het stoplicht, dus ik leef de regel niet na. Je zou eerst moeten kijken naar: weet ik niet of dat een regel is? De kans is niet groot. Is het voor mij onmogelijk om de regel na te leven, kan ik het niet of wil ik het niet? Dus in dit geval is het waarschijnlijk een beetje willen. Gegeven dat het willen is kan je weer na gaan denken, “Welk instrument uit de tas kan ik halen om ervoor te zorgen dat iemand het wel gaat willen?” Dan ga ik jou een folder geven, een voorlichting met, “Pas op met het door rood te lopen.” Of je kan zeggen, “Nee, ik ga de andere kant op, ik ga naar handhaving en ik ga gewoon boetes opleggen”, et cetera. Dan moet je er ook over nadenken, “Wat is eigenlijk de pakkans en wat is eigenlijk het effect?” Ik heb een boete gekregen voor het door rood lopen, ga ik dan meer of minder door rood lopen? Ik gebruik even deze analogie met een heel simpel voorbeeld, omdat jij vroeg, “Hoe werkt dat nou eigenlijk bij de AFM?” Op precies dezelfde manier, alleen niet met door rood te lopen maar met een meer technische, juridische regel. Bijvoorbeeld iemand komt te laat met zijn transactierapportage of er is te veel overcreditering in het hypothekenportfolio van een specifieke financiële instelling of informatie bij een accountantscontrole is te dun en wij vinden dat te mager. Dat zijn drie totaal verschillende voorbeelden waar we op dezelfde weten-willen-kunnen manier zijn gaan nadenken, “Wat is de beste manier om ervoor te zorgen dat er meer naleving komt?” En dat kan alles zijn, van een goed gesprek naar helemaal aan de onderkant van de handhavingspiramide tot een norm-overdragend gesprek dat altijd mythische proporties heeft in de markt van Rotterdam wat er gebeurt tot een formele waarschuwing en een waarschuwingsbrief. Dan krijg je een toezicht assistent en dat is vervelend want dat moet je weer gaan opbiechten bij de volgende keer dat je getoetst wordt als bestuurder. Tot en met aan helemaal het topje van de handhavingspiramide zie je dingen die af en toe gebeuren, het intrekken van een vergunning of zeggen van, “Sorry, Jeroen, we hebben het nu vijf keer met je geprobeerd, dit werkt gewoon niet. Ga maar een andere functie doen. Ga een podcast maken of zo.”

Jeroen: Dat voorbeeld spreekt me heel erg aan. Waar ik nieuwsgierig naar ben, het verschil tussen regels waarvan eigenlijk iedereen weet, 99,9% van de mensen weet, “Dit is gewoon fout”, ik begrijp dat als jij handelt met voorkennis en je wordt er zelf heel rijk van, dat dat niet oké is, ook moreel. En je hebt gewoon regels, die hebben niet per se zoveel met moraliteit te maken, maar omdat ze dat vanuit algemeen belang willen.

Hanzo: Ja, klopt. En je hebt gewoon regels die twintig jaar geleden heel goed waren, maar ook niet meer heel erg passen bij de huidige maatschappij, dus die ook nog eens een vorm van achterstallig onderhoud zijn. Dus het is er nog, het is nog een regel, maar niemand weet meer precies waarom. En als je heel eerlijk bent, het helpt ook niet heel erg. Het komt in een volle portfolio van gradaties voor, en waar je nu op botst – al zo vroeg in de podcast, Jeroen – is één van de fundamentele toezichthouder afwegingen, waar je een beetje op hint: hoe dicht moet je als toezichthouder bij je wettelijke mandaat blijven? Moet je in die cirkel blijven van dingen die door de wet verboden zijn? En overigens, zelfs als je binnen die cirkel blijft, mag je daar zelf als toezichthouder onderscheid in maken, van “Deze regel vind ik echt wel belangrijker dan die regel”? Moet ik net zo hard rennen achter een administratieve verplichting als achter een voorkennis zaak? “Sorry, je bent een week te laat met je rapportage van je transacties”, versus “Je hebt nu voor de derde keer gehandeld met voorkennis.” Moet ik die naast elkaar zetten? Of mag ik daar onderscheid in maken? Daarnaast zijn er ook dingen die niet wettelijk verboden zijn, maar die we misschien wel schadelijk vinden. Mag je daar als toezichthouder eigenlijk iets mee? Dan zit je naast de strikt wettelijke interpretatie van je mandaat. Dit is een debat wat al twintig jaar loopt. Ik zal je zo vertellen hoe ik erover nadenk. Maar als je hier meer over wil lezen, zijn er een paar prachtige boeken van Malcolm Sparrow hierover verschenen. Het laatste en dunste is volgens mij drie jaar geleden uitgekomen, Foundations of regulatory Design, dat moet je hebben. Daar staat dat heel mooi. Theodor Kockelkoren heeft trouwens ook eens een keer een mooi boek geschreven, Toezichthouder als beroep. Dat gaat over dit dilemma.

Jeroen: Het is mooi dat we het toch over het mandaat hebben, wat ik heel boeiend vind is het voorbeeld van de Europese Centrale Bank die heel actief is op duurzaamheidsgebied, waarvan sommige mensen zeggen, “Los ervan of ik het goed of niet goed vind – en de meeste mensen zeggen dat ze het heel erg goed vinden – ik vind het niet bij het mandaat van de ECB horen.” Dat voorbeeld komt heel vaak terug.

Hanzo: Ja, dat speelt bij ons ook. Een voorbeeld bij ons is bijvoorbeeld crypto. Dus wij hebben geen mandaat in de strikt juridische zin op dit moment voor crypto. Dat gaat veranderen met wet- en regelgeving die uit Europa komt, dus binnenkort hebben we het wel. Op dit moment kan de AFM niets doen, al zouden we willen, voor crypto. Betekent dat dus ook dat je je daar helemaal buiten moet houden? Nee, wij denken daarover na, we doen onderzoek, we agenderen dit bij de politiek en we maken lawaai in de media van, “Pas op met crypto.” We zijn hier best wel actief mee bezig op allerlei verschillende manieren, maar als je nu gaat kijken, “Wat staat er in wet- en regelgeving over crypto?” Helemaal niets, nada, want het is niet gedefinieerd als een financieel product. Dus het valt niet onder de Wwft. Je zou alleen nog kunnen zeggen, “Elementen van crypto zijn een vorm van oplichting en jullie treden toch ook op tegen boiler rooms?” Ja, dat kan, maar het is geen financieel product, dus het hoort bij de ACM, wat dat betreft. Dus strikt juridisch genomen zegt iedereen, “Je hebt niets te doen met crypto.” Stel dat wij ons op dat standpunt hadden gesteld de afgelopen… Hoe lang gaat crypto mee? Vijf of tien jaar als je bij het begin zat. Dat zou iedereen toch best wel raar gevonden hebben, als wij ons nooit uitgelaten hadden over de fin-fluencers, als we ons nooit uitgelaten hadden over de risico’s van crypto’s, als we er nooit onderzoek naar hadden gedaan. Als het dan in elkaar gedonderd was, nog meer dan wat het tot nu toe gedaan heeft, dan had iedereen toch ook wel gezegd, “Waar is de AFM eigenlijk?” Dus met dat mandaatprobleem heb je iets heel grappigs en soms ook cynisch en lastig. Van tevoren roept iedereen, “Blijf heel strikt bij je mandaat want wettelijk gegeven, democratische processen, grondwettelijk verankert, zorg dat je in die bol blijft van alles wat illegaal is en hou je aan het strikt wettelijk mandaat.” Ex post roept iedereen altijd, “Waar was de toezichthouder? Waarom heb je je niet breder opgesteld?” Dan mag je in de Tweede Kamer gaan uitleggen, “Crypto was niet gedefinieerd als een financieel product.” Dat is best wel een harde cel.

Jeroen: Heb je dan niet het gevoel dat je het uiteindelijk altijd verkeerd doet als toezichthouder? Want als je niks doet, hou je exact conform in het mandaat. Doe je wel wat, dan zit je misschien ergens in…

Hanzo: Dat dilemma heb je best wel vaak. Crypto is een voorbeeld, maar er zijn er wel meer. We hebben het in het verleden gehad met woekerpolissen. De AFM had niet veel mandaten bij unit-linked beleggingsverzekeringen in de jaren 2000. Bijna nul, maar een heel dun haakje. En achteraf roept iedereen, “Waar was de AFM bij woekerpolissen, het grootste financieel schandaal van Nederland?” Ik zou niet willen zeggen da we het nooit goed doen, Jeroen, dan wordt het een soort zielig huilverhaal. Het is gewoon heel lastig navigeren tussen die verschillende belangen, maar als je teruggaat naar je eerste vraag, dat is natuurlijk ook wat het leuk maakt. Dus ik vind het helemaal niet erg. Ik vind dat je als toezichthouder – ik had je nog een mening beloofd – onderscheid mag maken tussen de aard van de wettelijke overtreding, wat erger is en wat minder erg is, zodat je dus mag zeggen, “Ik geef wat minder aandacht aan administratieve overtredingen die weinig schadelijk zijn en ik geef meer aandacht aan overtredingen die ik ernstig vind.” Daar kun je onderscheid in maken. Je moet voorzichtig zijn, je moet niet rucksichtslos zijn, ik vind ook dat je je mag bemoeien met zaken die aanpalend zijn aan je mandaat. Hoe verder van je mandaat weg, hoe voorzichtiger je moet zijn. En als je dat doet, moet je dat vrij transparant doen. Natuurlijk kan je niet een wettelijk handhavingsinstrumentarium gaan inzetten uit het bestuursrecht op stukken waar je geen mandaat hebt. Dus je kan geen boetes gaan opleggen voor crypto, maar je kan er wel aandacht voor vragen, je kan het agenderen, je kan ermee naar de Tweede Kamer, je kan op de trommel slaan. Je kan ronde tafels organiseren en allerlei andere dingen doen. Maar als je dat doet, moet je dat ook wel netjes vertellen aan iedereen, “Dat ga ik doen.” Zodat als het Ministerie van Financiën of andere stakeholders echt vinden dat dit een slecht idee is, dat ze je ook kunnen bijsturen. Want ook wij zijn uiteindelijk onderdeel van een democratische rechtsstaat. Het is niet de bedoeling dat toezichthouders helemaal zelf maar een beetje gaan bedenken wat er vandaag schadelijk is en morgen niet. Dat zou wat ongemakkelijk worden.

Jeroen: Een rogue toezichthouder lijkt me niet ideaal. Een andere grote complicerende factor in jouw werk en überhaupt in het werk van het zijn van toezichthouder lijkt mij dat je altijd tijd te kort hebt. Nu heb je dat in mijn werk ook, dat heb je overal, denk ik, wat je ook doet. Maar jij zou ook makkelijk in plaats van 600-700 mensen misschien wel 3.000 mensen in dienst kunnen hebben. Met die regels kun je genoeg controleren, er zijn altijd meer onderwerpen, dus je hebt altijd te maken met potentieel meer wat je kan doen en je moet constant nee zeggen, daar komt het op neer.

Hanzo: Dat klopt. Je weet door de andere podcast dat ik veel de wereld rondgereisd ben langs verschillende toezichthouders, aflevering 52 van Leaders in Finance. We kunnen nu op het vliegtuig stappen en naar een andere toezichthouder gaan, maakt niet uit welke sector, dat maakt geen fluit uit. Voedsel en warenautoriteit, gambling, milieu, en daar botsen we op een toezichthouder van een organisatie van een bepaalde omvang, die gaat het druk hebben. Dat is logisch, die gaat te veel risico’s hebben. Als je die cyclus volgt waar we het even over hadden, zien, begrijpen en aanpakken, als je een beetje een knip voor de neus waard bent met zien, dan heb je te veel risico’s. Dat kan niet anders. Ook dat werd in die andere podcast uitgelegd van dat schoolpleinvoorbeeld. Je hebt er gewoon te veel, iedereen heeft er te veel. Dat is oké, want dat betekent dat je scherp moet gaan kiezen waar je je toezicht op wil houden en waar niet. Dus dat je aan je publieke waarden gaat afmeten, “Dit vind ik belangrijk en dit vind ik minder belangrijk.” Dat is een lastige afweging want die risico’s – voor zover je ze al ziet – komen niet met een labeltje aan hun oor, van “Deze is belangrijk en deze is onbelangrijk.” Dus er zit heel veel onzekerheid in, dat betekent ook dat je als toezichthouder er verstandig mee moet omgaan. Het zijn niet alleen verschillende pakjes naar aard en omvang, dat voorbeeld dat we hadden over handel met voorkennis versus het niet meer functioneren van de beurs. Het zijn ook andere bakjes met tijdshorizon. Sommigen zijn heel urgent en sommigen komen pas op de midden termijn, sommigen pas op de langere termijn, van sommigen weet je heel zeker dat ze er zijn. Van sommige risico’s veel minder zeker. Gaat quantum computing leiden tot een vorm van handel met voorkennis? I don’t know. Zou ik het leuk vinden als één of twee mensen van de AFM erover na gaan denken? Ja, eigenlijk best wel. En wat gebeurt er als er verschillende handelsalgoritmes met elkaar gaan interacteren? Het zijn een soort quasi levende evoluerende beestjes aan het worden die in een grote bak met data proberen rijk te worden van elkaar. Hoe gaat dat aflopen? Belangrijke risico’s spelen nu, bijna. Tot nu toe niet, we zien niet heel veel algoritmes die heel hard op elkaar interacteren en daar vervolgens zelf van leren. Ze interacteren wel, maar ze leren nog niet zo hard. Stel dat dat wel gaat gebeuren, dan hebben we alweer een heel nieuw spel op de effectenbeurs. Ik ben wel benieuwd hoe dat gaat lopen. Wil ik daar graag drie man inzetten? Dat kan, maar dan kan ik weer minder kijken naar handel met voorkennis en marktmanipulatie op dit moment. Dus dat soort trade-offs moet je continu maken. Dat vind ik niet zo erg. Een technische term hiervoor is risk appetite. Dus als bestuur zitten wij er continu naast en denken we, “Wat is ons risk appetite, wat accepteren we wel en wat accepteren we niet?” Daar hebben we dus ook discussies over met financiën, met andere partijen van, “Wat kunnen we als bestuur van de AFM accepteren en wat niet?”

Jeroen: Ik kan me voorstellen dat je achteraf soms denkt, “Dit hebben we echt vroeg gezien, we zaten er bovenop. Het is ons gelukt om hier echt het verschil te maken” en dat je soms denkt, “We hadden het gewoon moeten zien, maar helaas.”

Hanzo: Dat klopt, dat gebeurt. Dat is ook iets waarvan we proberen te leren. Ook wij proberen een sterk lerende organisatie te zijn, dat is voor toezichthouders niet zo makkelijk. Als podcastmaker kan je gewoon zien hoeveel mensen luisteren naar een podcast en “Deze deed het beter dan die. Dit heb ik niet goed gedaan.” Dus je hebt een vrij korte feedbackloop. Onze feedbackloop is haperend. Dus vaak gaat een onder toezicht staande instelling tegen je zeggen, “Dit was niet zo goed, je had beter daar kunnen kijken.” Hoe vaak krijg je nou echt fundamentele feedback waar je echt wat aan hebt? Dat is niet zo heel vaak. Dus wij moeten echt ons best doen om te leren. Eén van onze middelen daarvoor is brand bij de buren, zoals wij dat soort sessies zo vrolijk noemen. Dat betekent dat er bij iets of iemand anders, een andere toezichthouder of een ander land, iets faliekant misgegaan is, bijvoorbeeld Wirecard. Volgens mij beledig ik niemand van mijn Duitse collega’s door te zeggen dat dat niet een hoogtepunt was in hun toezicht carrière. Dus wij gaan dan vrolijk kijken, “Wat hebben onze Duitse vrienden daar nou precies gedaan? Zou hetzelfde bij ons ook kunnen gebeuren? Hoe voorkomen wij nou een Wirecard casuïstiek in de Nederlandse context?”

Jeroen: Dat ga ik niet snel vergeten, brand bij de buren.

Hanzo: Het is een term van Laura van Geest.

Jeroen: Dat moet goed zijn! Dit is de podcast Compliance Adviseert, als je kijkt naar die compliance officer, je had het er al eerder een beetje over in dit gesprek. Maar hebben jullie nou eigenlijk op bijna alles de gedeelde aanpak of gedeelde waarde, of zitten daar grote verschillen tussen?

Hanzo: Daar heb ik een tijdje in voorbereiding op deze podcast over na lopen denken. Primair zijn we bondgenoten, we willen allebei het goede. Ik ga er overigens basaal ook van uit dat bedrijven in financiële instellingen het goede willen. Dus ik ben iemand die zegt, “Financiële instellingen zijn fout en toezicht is goed.” Zo simpel zitten we hier ook niet in elkaar. Dus compliance officers kunnen hele goede bondgenoten zijn. AFM kijkt van nature naar de hele sector of naar deelgebieden van een sector, dus die denkt na over handelaren voor eigen rekening of over accountants of over grote banken of over kleine banken. Een compliance officer zal altijd vanuit het individuele instituut bedenken. En het maakt uit, want soms heb je een voorval, een compliance incident, en dan is de vraag van het instituut is, “Hoe kom ik hiervan af?” En de vraag voor de AFM is, “Hoe breed speelt dit eigenlijk? Is dit de enige? Is dit instelling-specifiek of is het instellingoverstijgend?” Best wel veel compliance risico’s die de instelling specifiek uitzien zijn eigenlijk instellingoverstijgend. Dus daar zie je een verschil. Een tweede verschil is dat de compliance officers toch ook wel in redelijke mate het belang van het bedrijf primair of secundair mee laten wegen naast wet naleving. Dat begrijp ik en vind ik ook goed. Dat is natuurlijk niet iets wat de AFM helemaal vooraan in haar gedachten heeft en bij ons gaat het natuurlijk juist weer om het publieke belang. Dus daar voel je soms spanning, als er gedoe is, is er een compliance issue, dan wil de compliance officer het bedrijf in zekere mate beschermen of de reputatie van een bedrijf beschermen. De AFM zal eerder het issue – zeker als het breder speelt in de sector – willen oplossen. Dus dat is een belangrijk verschil. Maar ik denk dat we meer delen dan wat het ons verschilt. Het feit dat je ervoor wil zorgen dat het op de langere termijn steeds beter gaat met deze financiële instelling, dat je issues wil oplossen, dat je een breder instrumentendoos hebt. Een compliance officer was vroeger natuurlijk een vrij technisch beroep, “Mag het wel of mag het niet van compliance?” Tegenwoordig zie je dat ze steeds breder zijn uitgerust en ook nadenken over de psychologie van een onderneming, dat je nadenkt over gedragsbeïnvloeding of over organisatieverandering. Om maar een voorbeeld te noemen, bij ING weet ik dat als je een behavioral risk team hebt wat ook echt nadenkt over, “Hoe voorkomen we nou langere termijn compliance risico’s in onze wereldwijde organisatie?” Dus daar hebben ze het speelveld breder gemaakt, net zoals het speelveld van toezichthouders breder is geworden de afgelopen 10-15 jaar.

Jeroen: Ik wil twee zijpaden met je in op dit subonderwerp. Het eerste is, wat kan je doen als compliance officer als je iets ziet? Het andere is onafhankelijkheid, laat ik daarmee beginnen. Uiteindelijk worden jullie betaald door de AFM, zijn daardoor in ieder geval op papier helemaal onafhankelijk en jullie hebben niks met de onder toezicht staande instellingen te maken. Deze compliance officers worden uiteindelijk door het bedrijf betaald, dus hoe kijk je daarnaar? Dat is toch wel een conflict of interest situatie zou ik zeggen, of niet?

Hanzo: Ik zou het niet conflict of interest noemen. Het is transparant hoe het werkt, dat helpt. Een goede vraag, overigens, voor een andere podcast: hoe onafhankelijk zijn toezichthouders? Daar kan je ook wel een boom over opzetten. Er wordt op allerlei plekken ook wel gepubliceerd, markttoezichthouders zijn behoorlijk onafhankelijk, maar ook niet volledig onafhankelijk. Wij worden gewoon benoemd door de Minister van Financiën, dat is ook terecht. Onze begroting wordt goedgekeurd en er zijn ook nog een aantal andere checks & balances. Dus onafhankelijkheidsintenties als soevereiniteit van een land, dat is in mijn hoofd meer een schuif dan een soort 01-achtig ding. Dus het is een gradueel iets. Inspecties worden gepercipieerd als minder onafhankelijk dan markttoezichthouders. Of dat helemaal waar is, weet ik niet. Maar vaak zitten die wat dichter op ministeries dan markttoezichthouders. Dus onafhankelijkheid kan in de structuur zitten die goed en minder goed kan zijn. En onafhankelijkheid kan primair in mensen zitten, dus in het individu. Als de AFM een kant op zou gaan die ik echt afschuwelijk zou vinden en niet integer zou vinden of ik word daartoe gedwongen – dat is nog nooit gebeurd, maak je geen zorgen – door de minister om iets te doen wat ik niet juist zou vinden of ik zou een aanwijzing vinden die niet past in ons statuut, zou ik vertrekken. Dat is het slotstuk van onafhankelijkheid, dat je bereid bent om te vertrekken. Zoals de goede oude oprichter van de AFM, Arthur Docters van Leeuwen, altijd zei, “Een goed bestuurder zit losjes in zijn stoel.” Dat moet je gewoon ook van tevoren bedenken als je in die stoel gaat zitten. Als het me te erg niet bevalt, en ook hier zit weer een interventiepiramide, je gaat eerst er iets van zeggen en dan ga je een brief schrijven en dan ga je meuten en dan ga je boos worden. En als je hele persoonlijke interventiepiramide niet werkt en het is een vrij stevige inbreuk op jouw integriteit of je normen en waarden, of je nou toezichthouder bent of compliance officers, you need to go. Punt.

Jeroen: Dan zou ik zeggen, het is misschien toch nog wel lastiger als compliance officers omdat dat misschien echt jouw baan is. Terwijl, binnen de AFM of een andere toezichthouder zou je kunnen zeggen, “Ik ga naar een ander dossier toe, hier stop ik mee.” Of is dat niet zo?

Hanzo: Ik zou weggaan, dus ik zou de AFM verlaten. Dat is niet aan de orde, hoor. Ik denk dat als je compliance officer word, dat je tot hetzelfde bereid moet zijn, om maar even scherp te zijn. Je ziet het in extremere gevallen ook wel. Dus er zit een interventiepiramide in wat je kan doen. En nogmaals, je hebt veel processen en structuren en meestal is de soep niet zo heet. Maar als je vindt dat er niet integere dingen gebeuren in een instelling waar jij compliance officer bent, daar kan je niet naast blijven staan. Dan moet je zorgen dat je een signaal geeft naar de AFM of DNB en als ze niet luisteren doe je het twee keer zo hard. Als ze dan nog steeds niet luisteren, mail je desnoods maar direct naar het bestuur.

Jeroen: Zou je dan niet net zoals in de politiek bij wethouders een soort van wachtgeld krijgen waardoor je je nog onafhankelijker kan opstellen en ook makkelijker kan zeggen, “Ik stop ermee”? En je hebt in ieder geval de komende 3-4 maanden een salaris want je gezin moet ook eten en moeten ook verder. Dat zou misschien nog meer onafhankelijkheid geven in je rol. Net zoals je het kan hebben over benoeming, je moet door het bestuur genoemd worden of door de Raad van Commissarissen.

Hanzo: Benoeming is een mooi voorbeeld. Bij inspecties gebeurt het meer vanuit ministeries. Vanuit markttoezichthouders is er vaak een Raad van Toezicht constructie. Dus daar zie je al een iets andere invulling. Ik snap de economische noodzaak om geld te verdienen, jij bent ondernemer, je bent ook uit een vaste baan gestapt en iets anders gaan doen. Ik vind, als je integriteit geraakt wordt in een Nederlandse context, dat je moet bewegen, eerlijk gezegd.

Jeroen: Als er echt iets aan de hand is.

Hanzo: Ja. De arbeidsmarkt is red hot, je landt wel weer op je pootjes. Dat is een veel betere uitkomst dan tegen heug en meug bij een instelling blijven zitten die je eigenlijk niet zo integer vindt en steeds meer medeplichtig wordt.

Je luistert naar Compliance Adviseert.

Jeroen: Een ander zijpaadje, dat hadden we eigenlijk al besproken, maar nog even voor de zekerheid dat we het echt goed behandeld hebben. Ik spreek nog weleens compliance officers en dan zeggen ze – vaak voorbeelden van tien jaar geleden, want dat is dan natuurlijk niet wat een jaar geleden gebeurd is – “Ik heb zo vaak iets aangekaart en er is niks mee gedaan.” We weten nu dat de ultieme consequentie weggaan is, maar heb je nog tips voor die mensen die zeggen, “Ik blijf het aankaarten, maar hoe dat te spelen?”

Hanzo: Ik ben nooit in mijn leven compliance officer geweest, dus ik ben ongetwijfeld niet de grootste ervaringsdeskundige op dit punt. Maar allereerst moet je zorgen dat je in een context opereert waar het goed is. Dus ik zou mijn due diligence, om maar een ander woord te gebruiken, heel erg doen voordat je ergens in stapt. Compliance officer worden bij een tent waarvan je weet dat die niet goed is en dan hopen dat jij als compliance officer de tent beter kan maken, die kans is vrij klein. Dan ren je op de ramp af, dat zou ik niet doen. Er is een belangrijke indicator die je dat vertelt, naast dat je natuurlijk altijd even goed moet rondvragen, is: als ze je belachelijk veel betalen, twee keer de markt rate, is dat slecht nieuws, niet instappen. Dat is stap één. Stap twee, je zit er. Je noemde zelf al een paar dingen, je kan dingen aan de orde stellen. Heel veel gaat ook over psychologische kracht, dus je moet zorgen dat je een positie opbouwt in de organisatie, dat mensen je oordeel vertrouwen waardoor je autoriteit opbouwt. Dus dat is ook gewoon een psychologisch spel, “Hoe bouw je gezag op in een organisatie?” Dat is niet door altijd nee te zeggen, dat is door na te denken, soms ook wat wel kan, door na te denken hoe je binnen de grenzen van wet- en regelgeving dingen mogelijk kan maken, door service-gericht te zijn waar dat kan. En waar iets aan een ethische grens of een juridische grens raakt, heel scherp een streep te trekken. Dan weten mensen ook, “Nu trekt hij of zij een streep, blijkbaar is het echt serieus. Hier moet ik blijkbaar omdraaien.” Vervolgens krijg je allerlei vormen van escalatie. Escaleren is gewoon prima, dat is in de Nederlandse cultuur niet heel gebruikelijk, maar wij proberen mensen binnen de AFM ook uit te leggen, “Escaleren is helemaal prima, dat helpt gewoon.” Zoals Laura wederom zegt, “Niet een beter oordeel, maar een beter betaald oordeel.” Dus je moet gewoon omhoog in de piramide, tot en met de voorzitter van de Raad van Commissarissen als het moet. Ik zou oppassen met achter de schermen naar de AFM te gaan, dat lijkt misschien iets handigs. Dat lijkt me niet een long term strategy waar je iets mee kan. Wat ik wel zou doen is zeggen, “Ik ben compliance officer, dit is een inbreuk op wet- en regelgeving. Ik vind dat wij dit gezamenlijk moeten melden in het volgend kwartaaloverleg wat we hebben of in onze incidentenmelding” of wat je ook hebt. Als de ander dat niet wil, zeg je, “Gegeven het feit dat je dat niet wil, dat is wel interessant.” Daar krijg je weer opnieuw die escalatiepiramide, als je op een gegeven moment daar echt niet meer uitkomt, dan is inderdaad toch naar de AFM gaan met een klokkenluidersmelding of desnoods vertrekken een optie. Maar nogmaals, ik zou verwachten dat dat in de Nederlandse context in 2% van het geval is en dat je er in 98% van de gevallen met één van de andere interventiemogelijkheden wel uitkomt.

Jeroen: Duidelijk, in ieder geval niet beginnen ergens waar je 2-3 marktconform krijgt, dan kom je snel in die escalatiemodus terecht.

Hanzo: Ik vertelde onderweg hiernaartoe dat ik ooit voor een toezichthouder ben gevraagd in het Midden-Oosten, we zullen het land anoniem houden, voor een getal met zes cijfers, belastingvrij. Dat was niet een goed idee geweest om dat te doen.

Jeroen: Nee, ik denk dat het goed is dat je dat niet gedaan hebt. Ik weet niet of je daartoe bereid bent, maar ik zou het wel leuk vinden om even in het hoofd van de toezichthouder te gaan zitten als compliance officer. Als ik goed wil begrijpen hoe een toezichthouder denkt, dat is voor mij heel belangrijk als compliance officer. Ik ben het niet, maar stel dat ik het zou zijn, hoe leer ik?

Hanzo: Dat is een goede vraag. Als je een goede relatie wil bouwen, ik denk dat je heel veel waarde kan toevoegen met een goede relatie tussen toezicht en compliance. Wat we een beetje geschetst hebben is dat het verschillende werelden zijn, gedeelde belangen, gedeeltelijk dezelfde dynamiek, gedeeltelijk een andere dynamiek. Stel dat jij een goede relatie wil bouwen met je toezichthouder, net zoals je in een normale relatie tussen twee mensen hebt, je moet verplaatsen in de wereld van de ander. Je moet je verplaatsen in, “Wat vindt de ander belangrijk? Hoe denkt de ander?” Daar zijn heel veel misvattingen over en het is leuk om er een paar uit te pakken. Ik kom best wel veel mensen tegen die te veel kijken naar Amerikaanse televisieseries en die denken dat je als beginnende AFM’er of mid-career AFM’er carrière maakt ‘to prosecute a big case’. Dus die hebben een soort geromantiseerd idee van de SCC. En die denken dus ook dat AFM’ers heel graag willen handhaven en als een soort trigger happy dirty Harry’s op zoek zijn naar een case en dat dat de manier is om herverkozen te worden over drie tot vijf jaar of afdelingshoofd te worden. Dat is niet zo. Handhaving doen we als middel, als instrument, omdat het nodig is. Het is niet het populairste binnen de AFM. Waar we wel over nadenken, vrij consistent, is dat we proberen in te schatten bij de compliance officer. Jij komt met slecht nieuws, er is iets misgegaan, je hebt een compliance incident. Wat voor ons heel belangrijk is, is om dan een rijtje met vragen na te gaan. Zie jij eigenlijk het hele incident? Dus wat je vaak compliance officers ziet is, is het klein maken. “Het was maar heel eventjes en het is alweer voorbij.” Dan denk je dat ik daar minder zenuwachtig van word, of dat ik dan denk, “Oké, laat maar, Jeroen.” Dat is niet hoe het werkt. Ik vind het veel fijner als je zegt, “Hier is iets mis gegaan, hier is een incident, en ik snap het nog niet helemaal.” Dat klinkt contra-intuïtief, maar dan ga je tien punten in mijn figuurlijke ranking omhoog. Prima, want dan kunnen we een gesprek hebben, “Wat snap je nog niet helemaal?” Het speelt bij drie handelaren, maar je weet niet zeker of het nog bij tien andere handelaren ook speelt. Dan kom ik bij de volgende vraag, “Ga jij dat uitvinden of het bij die tien andere handelaren speelt of ga ik het uitvinden?” Als jij tegen mij zegt, “Nee, het zijn drie handelaren en het waren er eigenlijk maar twee, eentje is al vertrokken”, dan kom ik uit een hele binaire keuze. Of ik geloof jou helemaal, of ik moet zelf gaan kijken. Maar ik heb in elk geval in mijn vertrouwen een deukje gekregen dat jij het gaat uitzoeken. Want dan moet ik aan jou gaan vragen, “Jeroen, weet je het zeker dat het maar één handelaar is? Heb je die anderen al gecheckt?” Dan kom je in een andere dynamiek, dus als je zelf regie wil houden is het prima om te zeggen, “Ik zie het puntje van de ijsberg, ik weet niet of er alleen maar een puntje is, maar ik ga uitzoeken hoeveel ijs er nog onder water is en of het nog op heel veel meer plekken speelt.” Want dan duw je de bal weer terug naar mij en moet ik gaan nadenken, “Oké, prima Jeroen, ga jij dat doen of ga ik het doen?”

Jeroen: Als je het dan heel simpel zegt, je wordt dus niet extra bestraft voor een transparantere houding, is dat wat het is?

Hanzo: Nee, totaal niet. Dat is prima.

Jeroen: Maar het gebeurt dus wel heel veel, dat mensen denken, “Ik maak het maar zo klein mogelijk, want voor je het weet ziet de AFM nog 33 andere dingen in mijn organisatie.”

Hanzo: Klopt, die zijn er vast. In een complexe organisatie gaat natuurlijk altijd van alles mis, dat snappen wij ook. Maar het is een herhaald geloofwaardigheidsspel. Wat gebeurt er namelijk? Als jij zegt, “Het is heel klein, het was maar een heel klein hoekje, maak je geen zorgen”, en ik ga toch kijken en ik vind dan alsnog heel veel narigheid en jouw geloofwaardigheid van jou en je organisatie is weg. Of stel, je gokt erop dat ik het te druk heb, want we hadden het erover dat toezichthouders het altijd te druk hebben. Dus je hebt mazzel, ik ga door en ik geloof jou dat het inderdaad maar een klein, een beetje, misschien, heel eventjes en af toe was. Drie maanden later blijken er toch nog vijf andere traders te zijn. Dan moet je naar mij komen, “Weet je nog dat verhaal met die twee traders? Het bleken er toch 28 te zijn.” Wat is er dan gebeurd? Dus grappig genoeg. transparant zijn over wat je wel en niet weet, inclusief wat je niet weet en waar je onzeker over bent, duwt je geloofwaardigheid heel erg hard omhoog en duwt ook de kwaliteit van het gesprek over, “Hoe gaan we hiermee vooruit?” heel erg hard omhoog.

Jeroen: Maar dat is niet een open deur wat je nu beschrijft. Ik zou zeggen, dat is toch altijd de manier om vertrouwen te creëren bij iemand, door gewoon open te zijn? Het is dus geen open deur?

Hanzo: Nee, dat is geen open deur. Dat zie ik niet in 99 van de 100 gevallen van de interacties met onder toezicht staande instellingen. Dat komt misschien ook door de AFM, laten we daar ook eerlijk over zijn. Je hebt dus ook vertrouwen nodig bij de onder toezicht staande instelling dat de AFM hier op een verstandige manier mee om kan gaan. Want als jij dat niet vertrouwt en je komt met je compliance issue en je zegt, “Maar ik heb nog allemaal losse eindjes en ik weet het nog niet helemaal zeker”, en je denkt dat ik daarvan van de thee raak en met twintig man bij jou binnenkom en alles overhoop kom halen, dan heb je inderdaad de neiging om het zo klein mogelijk te maken. Dus het is grappig genoeg een soort match equilibrium dat je moet gaan bouwen aan wederzijds vertrouwen. Daar helpt openheid en een redelijke mate van kwetsbaarheid in en tegelijkertijd helpt daar ook wijsheid en verstandigheid aan de AFM-kant in om te zorgen dat je dan ook niet op elke slak zout gaat leggen.

Jeroen: Ik kan me voorstellen dat je uiteindelijk ook een inschatting moet maken als toezichthouder in welke mate een organisatie eigenlijk in staat is – om het even heel plat te zeggen – om shit op te ruimen.

Hanzo: Ja. Dus er zit een rijtje vragen in dat we nu aflopen: welk stukje van de ijsberg zie je eigenlijk? Kan ik jou in voldoende mate vertrouwen dat jij het hele verhaal vertelt? Zie je eigenlijk zelf al heel de ijsberg? Maar ook inderdaad, “Is dit nou een incident? Is het een one-off of is het een patroon?” Incidenten zijn logisch, je kan niet een complexe organisatie runnen zonder incidenten. Dat is uitgesloten. Als je nul incidenten hebt in je driemaandelijks incidentenrapport, zou ik daar heel zenuwachtig van worden. Dat betekent dat je niet goed kijkt. Dus dat zou mijn logische conclusie zijn. Dus incidenten zijn fine. Maar vervolgens heb je ook door dat het niet een incident is maar een patroon, dan heb je een soort patroonherkenningskunde in je organisatie. En dan kom je bij jouw punt uit, “We hebben samen of individueel een patroon gezien, er is iets structureel mis, compliance-gerelateerd. Er moet iets gaan gebeuren. Wie gaat dat dan doen?” Dan heb je drie basissmaken als je in de onderzoekskant zit. Dus jij gaat het doen als organisatie, wij vragen samen om een derde te doen. Dus dan krijg je een advies over een compliance club die gaat kijken of een onderzoeksclub wat er aan de hand is. Of de AFM gaat het doen. Onze middelen zijn schaars, dus als je weer wil nadenken over ons belang of gedeeld belang, zorg ervoor dat je organisatie sterk genoeg is en het vertrouwen hoog genoeg is zodat we kunnen kiezen voor één van de twee middelen die niet rijmen op, “De AFM gaat het doen.” Daar wordt het leven beter van.

Jeroen: Mooi uitgelegd! Ik heb nog een aantal dingen, gasten zeggen altijd tegen mij, “Je mag podcasts niet te lang maken.” Terwijl, ik heb nog nooit één commentaar van een luisteraar gehad dat het te lang is, maar goed. Ik ga dan toch richting het einde werken, een paar dingen nog. Eentje is, ik weet uit de tijd dat ik zelf bij een bank werkte en later bij een fintech, dat ik toch altijd wat moeite had met die three lines of defense, dat ik altijd dacht, “Het is wel een hele bijzondere afbakening.” Maar is het nou een heel belangrijk concept voor jullie?

Hanzo: Ja en nee, sprak hij voorzichtig. Ja, dit is een belangrijk model, het wordt veel gebruikt. Maar volgens mij is dat een juiste uitspraak, het is een belangrijk model. Maar net zoals elk belangrijk model kan je dit goed en fout invullen. Ik ben persoonlijk soms wel enigszins sceptisch als iemand roept, “We hebben three lines of defense.” En dan een soort hint van, “Dus je kan naar huis gaan, toezichthouder, want wij hebben three lines of defense.” Oké, laten we dan even precies gaan kijken. Waar is the first line? Dat zijn dus verkoopmensen die meestal iets verkopen in één of andere financiële instelling. Dat wordt meestal als eerste lijn gedefinieerd. Prima, zijn die de first line of defense? Zijn die hard bezig met nadenken over compliance? Ik kom voorbeelden tegen, zeker recenter, waar er meer compliance gedachten echt in die eerste lijn zijn gebracht. Maar ik kom ook nog wel voorbeelden tegen waar dat wat minder is, waarvan je zegt, “Maar we hebben toch nog compliance, we hebben operational risk en we hebben credit advances. Dus we hebben die hele second line. En dan hebben we nog allerlei IAD-achtige clubs. Dus ik hoef me er niet zo mee bezig te houden, want er zijn al heel veel mensen mee bezig.” Dus dan wordt het afgeschoven. Dus eigenlijk is die first line dun, als ik vriendelijk ben. Dat is een gewoon te klein onderdeel van het dagelijks leven en denken van de eerste lijn van een financiële professional. De tweede lijn, daar staan risico en compliance meer centraal. Daar ben ik het mee eens. Maar hoe goed gestaafd zijn die, hoe onafhankelijk zijn die, hoe goed zijn hun skills en vaardigheden? Soms zie je dat goed en is het prima om er tevreden over te zijn. Maar je ziet ook voorbeelden waar dit gewoon dun is en waar het gewoon dun gesmeerd is. “Ja, maar we hebben nog de third line of defense.” Dat is vaak de IAD of vergelijkbare vormen in het Engels. Wat je daar dan vaak ziet is dat die ex post kijken, en vrij proces-georiënteerd. Voldoet het aan de wet- en regelgeving? Voldoet het aan de procedures? Dus ik kan wel three lines of defense maken dat het een succesvol model is waar je heel veel aan hebt, dat kan. Maar je kan ook een drieledig gatenkaasmodel maken waar je vrij makkelijk doorheen kan zwemmen. Dus three lines of defense, fine. Een belangrijk model, maar het is niet een soort buut-vrij-kaart waarmee je kan zeggen, “Nu is het klaar.”

Jeroen: Dat is wel een mooie term. Je geeft eigenlijk al de reden waarom ik het altijd een lastig concept vond en vind, dat is met name voor het afwentelen van verantwoordelijkheid, in mijn woorden. Het is heel makkelijk om te zeggen, “Dat ligt bij compliance, dat ligt bij audit, wij zijn bezig met de P&L van het bedrijf.” Terwijl, als je niet die lines creëert is iedereen er verantwoordelijk voor, maar dan kan het ook weer alle kanten op. Dan heb je dat nadeel weer.

Hanzo: Ik geloof in geïntegreerde verantwoordelijkheid, dus dat je dat in één hand moet houden. Dat doen we ook binnen onze eigen organisatie. Dus Ruud is verantwoordelijk voor ons toezicht op accountants, die is verantwoordelijk voor het de zien-, begrijpen- en aanpakcyclus van accountants. Ja, we hebben een centrale afdeling risicoanalyse, die helpt Ruud maar is niet verantwoordelijk daarvoor. Dus als er iets ongeoorloofd is bij de accountants komen ze bij mij uit en komen ze bij Ruud uit. Dat gaat niet naar Laura en de centrale afdeling risicoanalyse. Dus ik geloof heel erg in die geïntegreerde verantwoordelijkheid die je moet hebben, dus dat zou ook één van mijn vragen zijn: is de business line, hypotheken als voorbeeld, ook echt verantwoordelijk voor misstelling en overcrediteringsrisico binnen de business line? Prima, dan geloof ik dat dat jouw first line is en dat die voldoende geëquipeerd is. Of merk je eigenlijk dat de belangrijkste mensen in die business line eigenlijk altijd zeggen, “Sorry, hoor, een hoop formulieren, een hoop gedoe. Bel compliance maar”? Allebei kan voorkomen.

Jeroen: Tot aan de top van de organisatie, je kan niet zeggen dat de CEO er niet verantwoordelijk voor is dat het allemaal bij de CFRO ligt.

Hanzo: Wij maken, nog een keer de vergelijking met de AFM, vrij scherpe onderscheiden tussen toezichtlijn, die is verantwoordelijk voor zien, begrijpen en aanpakken van toezichtrisico’s en toezichtondersteuning. Je hebt heel veel ondersteuning nodig, maar die is niet verantwoordelijk voor het zien, begrijpen en aanpakken van risico’s. Iets vergelijkbaar zou je kunnen zeggen met de business line, die is verantwoordelijk voor het integrale pakket inclusief credit risk, inclusief allerlei vormen van compliance risk, en die mag je niet opzij schuiven. Het maken van losse gespecialiseerde afdelingen is daarvoor ingewikkeld. Dus je krijgt hier de klassieke, “Wat doe je centraal en decentraal in de lijn organisatieafweging?”

Jeroen: De één na laatste vraag, en eigenlijk is de hele podcast het antwoord op deze vraag, maar ik stel hem toch even. Misschien heb je nog iets heel concreet, iets klein. Tips voor compliance officers?

Hanzo: Kom een tijdje bij de AFM werken, dat is heel concreet. Het klinkt flauw, maar dat is hartstikke leuk.

Jeroen: Het gebeurt toch wel, denk ik?

Hanzo: Ja, het gebeurt wel. Er is ook best wel veel uitwisseling, er zijn best veel AFM’ers die naar een sector gaan, wij vinden dat prima. Dus we zijn er open over en open voor, dat is prima om een tijd bij de AFM te werken. Ik denk echt dat het perspectief daarmee verrijkt wordt, als je dat een tijdje gedaan hebt. Dus dat zou ik zeker doen.

Jeroen: En andersom ook.

Hanzo: Andersom ook. Mocht je er geen zin in hebben, de AFM staat best wel open voor contact. Wat ik eerder zei, let op, we hebben last met onze feedbackloop. Dat proberen we continu te verbeteren. Er zijn legio mogelijkheden om in contact te komen met de AFM, met ronde tafels, met webinars, met seminars, doe dat. Andersom, nodig AFM’ers uit, je kan ook altijd langskomen voor een meer informeel gesprek. Dus heel concreet: don’t be a stranger, en zorg dat je de ander goed begrijpt. Als je een goede relatie wil bouwen, als je je wil verplaatsen in de belangen en interesses van de ander, dan heb je contact nodig. Het is veel beter om te praten met iemand dan over iemand. Dat helpt ook heel veel om een beetje de stereotypen en de vooroordelen die voorbij kwamen weg te krijgen.

Jeroen: Mooi! De laatste vraag is, als dat boek waar je het eerder in deze podcast over had –  waar volgens mij wij al een deel van de structuur te horen hebben gekregen vandaag – komt, dan hoop ik dat je bij deze wil beloven dat ik je nog een keer mag spreken over dat boek.

Hanzo: Ja, prima. Als het geschreven is, kom ik eraan!

Jeroen: Fantastisch, dank daarvoor! Als er nog iets is waarvan jij zegt, “Jeroen, dat had ik nog heel graag willen zeggen in deze podcast”, dan is dit misschien het goede moment voordat ik je ga bedanken.

Hanzo: Nee, ik vond het een hartstikke leuk gesprek, dankjewel daarvoor. Het allerlaatste dat ik wil zeggen, het voordeel van een rare voornaam is dat ik vrij makkelijk te googelen en te vinden ben. Dus als een luisteraar nu zegt, “Ik heb een heel belangrijk punt of een issue of inzicht”, mail me gewoon. Dan hebben we een gesprek, lijkt me hartstikke leuk!

Jeroen: Mooi laatste punt! Hanzo, heel veel dank voor de vele tijd die je wederom hebt genomen, dit keer voor Compliance Adviseert. Ik heb twee bedankjes voor je zo meteen. Die komen jouw kant op, dat kunnen luisteraars niet zien, maar ik wijs er nu naar. Heel mooi hoe jij hele complexe materie toch heel begrijpelijk maakt, in ieder geval heel goed begrijpelijk voor mij. Met heel veel enthousiasme en heel veel energie, je begrijpt dat ik persoonlijk gecharmeerd ben van podcastvergelijkingen die je toch één of twee keer hebt gemaakt, dus dat is hartstikke leuk. Heel veel dank voor je tijd!

Hanzo: Super, dankjewel, Jeroen!

Je luisterde naar Compliance Adviseert. Deze podcast werd mede mogelijk gemaakt door Hyarchis, Partner in Compliance en Deloitte. Meer weten of een reactie achterlaten? Dat kan op onze LinkedIn. Als je ons daar volgt, ben je bovendien altijd op de hoogte van nieuwe afleveringen. Natuurlijk zijn we je zeer dankbaar als je een review achterlaat en meer mensen vertelt over deze podcast. Vergeet ook niet te kijken naar de andere podcasts op ons kanaal. Er zit vast iets tussen dat je aanspreekt. Bedankt voor het luisteren!

Vul hieronder je e-mailadres in om op de hoogte te blijven van Compliance Adviseert