Editorial

The theme of this edition of Compliance, Ethics & Sustainability ('CES') is Risk Management. The operating environment of companies and organizations is becoming more complex and is changing quickly. Existing risks increase and new risks arise because of amongst others (geo)political and technological developments and dependencies. Risks of non-compliance with the expanding legislative demand are increasing as well. Public scrutiny of failure is high. We therefore see Risk Management getting substantial attention from business leaders. In this edition we want to provide board members, Risk and Compliance professionals and anyone involved or interested in Risk Management with new perspectives and practical suggestions.

The first article explores the connection between the Risk Management and the Integrity/Compliance functions. Next you will find an interview in which the interplay of Risk Management and Culture is addressed and an article that dives into the difficulties of weighing interests in Board Room decision making regarding dilemmas where more than one moral standard applies, and the risks of making a choice. We then have two articles that address the perspective of Chief Compliance Officers on risk, and the key to prioritizing third-party risk management. This is followed by articles on risk-based Compliance and Integrity and the integrity of Integrity programs. Next we have two articles that evolve around Risk Management of Data and Technological Developments. Does more data result in better decision making? How to better understand and handle (the implications of) Emerging Technologies? The final article addresses Risk Management and Compliance with the Dutch Money Laundering and Terrorist Financing Act.

We hope you enjoy reading this edition and can put some of the provided insights to good use!

Emmeline van Heukelem, Bartheke Weerstra and Anne-Claire Wilmink

1             S. Hall, L. Rice

This article outlines how the connection between a business' risk management and Integrity/Compliance function is important to ensure organizational integrity and sustainability. It will explore this crucial relationship, focusing on the strategies, compliance initiatives, and risk management frameworks available to highlight the need for strategic integration and alignment of these pivotal roles to foster effective governance, integrity, and organizational resilience. Through the leveraging of best practice, regulatory guidance and real-life scenarios focusing on the implementation of robust internal control frameworks, compliance programmes and specifically risk assessments, we aim to demonstrate the benefits and importance of an aligned risk and compliance programme, for organizational resilience and success.

2            Interview met S. Hepkema door J. Boogaard - 'Risicomanagement zonder de juiste bedrijfscultuur is waardeloos'

Goed risicomanagement draait om het beheren van risico's én het creëren van kansen. Dit valt onder de verantwoordelijkheid van het bestuur, zegt voormalig advocaat Sietze Hepkema in gesprek met CES.

We interviewden Hepkema over zijn ervaringen op het gebied van compliance en risicomanagement.. In 2012 werd Hepkema door SBM Offshore aangesteld als chief governance & compliance officer met als taak om onder andere het net aan het licht gekomen omkoopschandaal te managen. Hij zat drie jaar in het bestuur van de beursgenoteerde producent van drijvende boorplatforms. Daarna werd hij commissaris bij SBM Offshore en diverse andere bedrijven. Als lid van de Monitoring Commissie Corporate Governance Code schreef Hepkema mee aan de Nederlandse Code voor goed ondernemingsbestuur. Op het kantoor van Pels Rijcken in Den Haag spraken wij het hem over zijn vakgebied en de huidige trends en ontwikkelingen in risicomanagement.

3             M. Lückerath-Rovers - Een morele weegschaal bij goed-goed dilemma's in de bestuurskamers

Bij besluitvorming in de bestuurskamers is het essentieel dat bestuurders en commissarissen streven naar het behartigen en maximaliseren van de belangen van al hun stakeholders, maar ook dat zij zich houden aan morele normen en waarden. Dit vereist het zorgvuldig navigeren door complexe situaties waarbij belangen soms conflicteren en morele waarden met elkaar in strijd kunnen zijn.  Een 'morele weegschaal' is dan misschien ook een toepasselijkere metafoor dan een 'moreel kompas'. Terwijl een kompas een duidelijke richting aangeeft, suggereert een weegschaal een proces van afwegen, van balanceren tussen verschillende waarden en belangen. Ethische besluitvorming vaak gaat over het vinden van het meest verantwoorde evenwicht tussen concurrerende goeden, rekening houdend met de langetermijngevolgen van elke beslissing. Het begrip en de toepassing van goed-goed dilemma's is in dit verband bijzonder interessant. Goed-goed dilemma's belichten het feit dat ethische besluitvorming vaak gaat over de soms onmogelijke opgave om te kiezen tussen positieve morele normen, die elkaar soms uitsluiten en waarbij elk keuze implicaties heeft voor verschillende groepen stakeholders. In dit artikel worden vier categorieën van goed-goed dilemma's beschreven en geïllustreerd met casussen waarbij bestuurders en commissarissen gedwongen werden een keuze te maken.  

4             L. Groen, S. Tutkun – Navigating Global Compliance Landscape: Insights and Strategies

The emergence of a rapidly changing business environment, marked by increased public policy and regulatory activity, is putting pressure on companies everywhere. The potential consequences of non-compliance are significant, and companies need to meet the expectations of regulators, consumers, investors, employees, the media, and the public. This increased scrutiny brings additional risks, including data privacy, cybersecurity, and environmental, social and governance ('ESG'), which cannot be ignored.

The Chief Ethics and Compliance Officer ('CCO') is at the center of these challenges, responsible for ensuring that the organization follows all applicable laws and regulations, and adheres to ethical and corporate governance standards. CCOs must also understand and manage risks, propose policies and procedures, and monitor for potential issues. The emergence of technology like Artificial Intelligence and data analytics offers a wealth of opportunities to improve compliance performance, but also new risks. Compliance leaders must therefore work closely with their counterparts in other business functions to develop a comprehensive approach to risk management and ensure that all stakeholders' interests are duly considered. The KPMG Global CCO 2024 survey (excl the Netherlands) outlines the challenges that 765 CCOs face as well as their view on the future.

KPMG surveyed 765 CCOs representatives of the largest companies globally, operating in six industry sectors. The responses provide valuable insights into their current and two-year outlook on key areas of ethics and compliance focus, including regulatory complexity, operational challenges, driving an ethical culture, ESG and evolving technology.

5             P. Özer, S. Tutkun, M. Ruzheynikova – Enhancing Regulatory Compliance and Gaining Competitive Advantage: the Key to Prioritizing Third Party Risk Management for Companies with a Global Footprint

Regulatory changes, shareholder and customer demands, as well as the increasing cost of potential non-compliance are driving companies to prioritize third party risk management ('TPRM'). In addition to existing regulations, such as the US Foreign Corrupt Practices Act and the UK Bribery Act, many companies with a global footprint now also have to comply with the EU Corporate Sustainability Reporting Directive ('CSRD') and report on various environmental, social, and governance (ESG) matters, including TPRM. This article provides an insight into how companies with a global footprint can start or improve their TPRM journey and effectively define their first steps.

Designing and implementing a solid TPRM framework is a long-term commitment. However, it is important for companies to define the action plan following a risk-based approach, starting by evaluating the key risk areas based on the industry and jurisdiction specifics, reviewing existing policies and procedures, and defining risk appetite. Moreover, it is important to select the suitable IT tools and invest in knowledgeable personnel from the outset, which is often unintendedly overlooked by companies at the start of their TPRM journey. The article concludes that by taking proactive first steps today and consistently prioritizing TPRM, companies can gain a competitive edge and ensure (future) compliance with regulations, while meeting the growing expectations of customers and shareholders in relation to regulatory compliance and responsible business conduct.

6             J. Septer – Risicogebaseerde compliance en integriteit

Neemt uw organisatie bewust risico's ten aanzien van integriteit en naleving van wet- en regelgeving? Of is dit onbewust? Is het nuttig of nodig om de risicomanagement risicobereidheid te bepalen ten aanzien van integriteit en de naleving van wet- en regelgeving en deze risico's van tevoren uit te werken? Integriteit en compliance laten zich moeilijk kwantificeren en eenvoudig is het evenmin: Uit sancties van toezichthouders blijkt dat de risicobereidheidsverklaring en risicobereidheid voor integriteitsrisico's van financiële instellingen regelmatig tekortschieten. Uit de praktijk blijkt dat het bestuur vaak een grotere risicobereidheid heeft dan formeel vastgelegd. Signalen in de organisatie naar aanleiding van incidenten of negatieve resultaten naar aanleiding van compliance monitoring worden niet altijd opgepakt door het bestuur. Daarmee worden risico's dus impliciet en in sommige gevallen ook expliciet geaccepteerd. In dit artikel gaat Septer in op wat risicobereidheid is, hoe je in de praktijk de risicobereidheid voor integriteit en naleving van wet- en regelgeving kunt bepalen en wat dat betekent voor de organisatie. In het artikel gebruiken we twee voorbeelden om te illustreren hoe de uitwerking er in de praktijk zou kunnen uitzien.

7             A. Hoekstra – De integriteit van integriteitsprogramma's: een evaluatief kader

Het meeste onderzoek naar de kwaliteit van integriteitsprogramma's is gericht op de implementatie en op de effectiviteit van integriteitsmaatregelen. Auteur kiest hier voor een andere benadering op basis van de vraag aan welke normen het integriteitsprogramma van een organisatie moet voldoen om in zichzelf 'heel', ofwel integer te zijn. Hoekstra komt tot vier normen die betrekking hebben op de intentie van het integriteitsprogramma, de procesmatige opzet en de organisatorische en de maatschappelijke verankering van het integriteitsprogramma. De normen zijn uitgewerkt tot een kader dat gebruikt kan worden voor het evalueren en verbeteren van integriteitsprogramma's en -systemen. Daarbij staat Hoekstra stil bij het belang en de toepassing van risicoanalyses binnen het evaluatie kader. 

8             P. Lindhout, G. Reniers – CPS risk management: More data, better decisions?

In the context of the plethora of (further) emerging Big Data and Artificial Intelligence possibilities, the authors investigate the potential for safety and security ('S&S') risk management applications. How can Big Data and Artificial Intelligence be used in S&S decision making in a cyber physical systems ('CPS') environment? Does more safety and security data result in better decision making? How to ensure that related relevant issues such as ethics and durability are sufficiently taken into account? To this end they explore literature and discuss future trends in relation to CPS physical design and S&S management. Literature findings indicate three main ways of using Big Data in S&S management. The authors identify several cyber physical design practice related S&S problem areas and discuss new perspectives on Big Data and AI opportunities in S&S management. Focusing on safety decision making, the authors identify pro's and con's, benefits and downsides and checkpoints important for use of big safety data in S&S management. The authors discuss relevant future trends, reflect on the impact these might have on CPS designs and on S&S applications and identify the limitations of this study. The current Big Data and AI developments urgently require attention of S&S management, as a causal factor in new safety and security hazards, as an opportunity for S&S management to increase grip on increasing CPS complexity, and on CPS sustainability in many economical activities.

9             P. van Hoof, B. Weerstra - Anticipation or obsoletion: implications of emerging technologies on risk management

If an organization is not able to thrive, let alone survive, no other stated objective or lofty goal matters. You cannot offer the best coffee or media entertainment experience if your company fails. Starting point for thriving is implementing a sound business strategy. Appropriate management of the business risks is also essential to thriving, and, for that matter, to surviving, and should be an integrated part of the strategic considerations and operational activities. Risk Management helps organizations to prepare for and respond to risk that the organization faces, or may face. This requires risk management to cover a very broad range of subjects. Most of these subjects need a thorough understanding, not only on the topic itself, but also on external influence and effects, the interplay within the organization, juxtaposition with other risks and opportunities, and so on. With the increasing attention for risk management, especially larger, established organizations address many of the recognized strategic, operational, compliance and reporting risk subjects. One subject, however, is both elusive and quickly growing in complexity: technology. The authors believe the speed and impact of technological developments are significantly underestimated and so is the related risk. Although the idea amongst many seems to be that technological changes and their impact are unforeseeable, unpredictable and almost impossible to anticipate, the authors believe that a lot can be done to be prepared. They also believe that too little preparation would be very unwise. In this article the authors delve into this and what it means.

10          T. Tiemstra – Risicomanagement en compliance met de Wwft: Rupsje-nooit-genoeg?

Dit laatste artikel gaat over het begrip risicomanagement in relatie tot specifieke wetgeving. De Wet ter voorkoming van witwassen en financieren van terrorisme ('Wwft') bepaalt dat deze wet 'risicogebaseerd' moet worden nageleefd. Dit begrip wordt in het algemeen spraakgebruik wel omschreven als: minder onderzoek waar het kan en meer waar het moet. In de Wwft wordt 'risicogebaseerd' niet verder gedefinieerd. Het wordt tot op zekere hoogte slechts in algemene termen afgebakend, ook door toezichthouders. Het is daarmee een open norm. Bij het streven naar compliance met de Wwft moet het risicomanagement bij het risicogebaseerd naleven van deze wet niet alleen proberen in te schatten wat de toetsingscriteria van de bestuursrechtelijke handhavers van de Wwft zullen blijken te zijn, zij moet ook rekening houden met de mogelijkheid dat het OM van mening is dat bepaalde in de Wet economische delicten genoemde artikelen van de Wwft niet worden nageleefd en er daarom sprake is van een strafrechtelijke overtreding of misdrijf. Tiemstra beargumenteert in zijn artikel dat meten met twee maten (bestuursrechtelijk en strafrechtelijk) het risicomanagement van met name banken voor een bijna onmogelijke uitdaging stelt bij het realiseren van doelmatige en duurzame compliance met de (open) normen in de Wwft. De auteur zet een aantal dilemma's en mogelijke oplossingsrichtingen uiteen.