Case Study FMO
"Er worden veel eisen aan onze leveranciers gesteld"
Compliance betekent voor iedere organisatie iets anders. Het begint al met het feit dat elke branche andere regels kent. De mate van regulering is erg bepalend voor de rol van compliance in de dagelijkse praktijk van bijvoorbeeld Inkoop en Accounts Payable. Dat blijkt wel uit het verhaal van Procurement Officer Annemarie van den Hout en Manager Operations Ronald de Heij, beiden van de Nederlandse Financieringsmaatschappij voor Ontwikkelingslanden (FMO). Wat betekent compliance voor hen?
Home / Case Studies / FMO
FMO is een financiële instelling met banklicentie. Dit betekent dat ze worden gereguleerd door De Nederlandsche Bank (DNB) en de European Banking Authority (EBA). Ze moeten dus werken volgens de richtlijnen van deze autoriteiten.
Daarnaast hebben ze zich natuurlijk te houden aan de wet. Van algemene wetten die voor elk bedrijf gelden, zoals de Algemene Verordening Gegevensbescherming (AVG), tot aan gespecialiseerde wetten voor financiële instellingen, zoals de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).
Centraal en compliant inkoopproces
Annemarie begon in 2020 als Procurement Officer bij FMO. Haar taak? Het opzetten van een professioneel, centraal én compliant inkoopproces. “Procurement lag op dat moment verspreid door de organisatie. Er waren verschillende procedures”, schetst ze.
Sinds de komst van Annemarie is daar verandering in gekomen. Deze verschuiving wordt grotendeels gedreven door de strenge richtlijnen vanuit DNB en de EBA. Zo schrijven de outsourcing guidelines die de EBA in 2019 publiceerde, tot in detail voor hoe bedrijven als FMO moeten omgaan met kritische leveranciers, waar ICreative er één van is.
Know your customer (KYC) ánd supplier
Ronald licht toe: “ICreative verzorgt bij ons de volledige automatische factuurverwerking. Als dat stil zou komen te liggen, dan hebben we een groot probleem.” Daarom bevat het contract tussen de twee partijen een EBA-addendum; daarin zijn de aanvullende eisen opgenomen die niet standaard in het contract zitten.
"Het is geen kwestie van ‘ik heb iets nodig en deze partij levert dat, dus we sluiten een contract af’. Nee, daar zijn spelregels voor."
Deze richtlijnen spelen een grote rol in het werk van Annemarie. Immers, zonder leveranciers, geen inkoop. Aan elke fase van de relatie tussen FMO en leverancier worden eisen gesteld. Dat begint al bij de eerste kennismaking; nog voordat de handtekening wordt gezet, moet er over veel zaken worden nagedacht.
Annemarie: “Naast know your customer, is know your supplier een cruciaal onderdeel van compliance. Het is geen kwestie van ‘ik heb iets nodig en deze partij levert dat, dus we sluiten een contract af’. Nee, daar zijn spelregels voor. Je moet van tevoren goed nadenken over met wie je in zee gaat.”
Belang van ISO-certificering
Zo onderzoeken zij of de leverancier er financieel gezond voorstaat. Kunnen ze klappen opvangen en staan ze niet op het punt van omvallen? Uiteraard wordt dit later, gedurende de gehele samenwerking, goed gemonitord; er kan immers altijd iets veranderen. Er wordt dus ingezet op proactief creditmanagement.
Verder kijkt FMO naar hoe de organisatiestructuur van de leverancier eruitziet en of het bedrijf net als ICreative ISO-gecertificeerd is. Dat geeft namelijk extra zekerheid dat zij zaken als kwaliteit en veiligheid geborgd hebben.
FMO werkt veel in hoog risicogebieden. Voor leveranciers op dit soort locaties zijn nog wat extra checks van toepassing. FMO moet bijvoorbeeld controleren of de betreffende partij ooit is veroordeeld voor financiële delicten en of er sprake is van politically exposed persons. “Dat vergroot namelijk het risico op omkoping”, licht Annemarie toe.
Ook wordt gekeken of de partij gesanctioneerd is. “Hoe zit dat nu met de oorlog in Oekraïne? Kunnen we met bepaalde partijen nog wel samenwerken of moeten we op zoek naar een alternatief?”
Service Level Agreement borgt kwaliteit
Als een leverancier door alle checks heen komt, dan kan er samengewerkt worden. Maar daar houden de eisen van de EBA niet op. Annemarie: “Leveranciersmanagement is belangrijk. Het is zaak om continu zicht te houden op de mogelijke risico’s en deze gezamenlijk zoveel mogelijk af te dekken. De leverancier, dus een partij als ICreative, heeft hierin een grote verantwoordelijkheid. Het is aan die partij om bijvoorbeeld gecertificeerd te blijven, om regelmatig hun eigen systemen en back-ups te testen en om te blijven rapporteren over hoe ze ervoor staan. Dat soort zaken hebben we ook opgenomen in een Service Level Agreement (SLA). Hiermee borgen we de kwaliteit en betrouwbaarheid van hun dienstverlening.”
"Het is zaak om continu zicht te houden op de mogelijke risico's en deze gezamenlijk zoveel mogelijk af te dekken."
In een SaaS Service Level Agreement staan afspraken tussen klant en leverancier vastgelegd die gaan over onder meer de kwaliteit, de beschikbaarheid en de veiligheid van de dienst. ICreative biedt SLA’s met verschillende serviceniveaus. FMO heeft gekozen voor de meest uitgebreide Service Level Agreement, omdat dit de meeste zekerheid en garanties biedt.
Daar staan bijvoorbeeld afspraken in over de beloofde uptime van Basware en de aanvullende ICreative-oplossingen. Er staan afspraken over de reactietijd in het geval van issues, over hoelang de data wordt opgeslagen en op welke manier deze worden beschermd. Maar bijvoorbeeld ook onderdeel van de Service Level Agreement is dat ICreative inzage biedt in de volledige audit-rapportages van de ISO-certificeringen en dat er maandelijks uitgebreid wordt gerapporteerd over hoe de dienstverlening draait.
Annemarie zegt: “Honderd procent garantie heb je nooit, maar je kunt wel zoveel mogelijk voorkomen.” Dat is precies waar deze Service Level Agreement voor dient: het garandeert niet alleen de hoogst mogelijke kwaliteit van de oplossing, maar ook volledige transparantie. Daardoor weten beide partijen altijd waar ze aan toe zijn en blijft er niks aan het toeval overgelaten.
Leveranciersrelatie is net een huwelijk
We gaan nog even terug naar de eisen van EBA. Die gaan namelijk niet alleen over voorafgaand aan en tijdens de relatie met de leverancier; ook over het einde daarvan moet nagedacht worden. “Voor elke leverancier moeten we een gedetailleerd exit-plan klaar hebben liggen”, vertelt Annemarie.
“We kunnen bijvoorbeeld niet van de ene op de andere dag switchen van automatische factuurverwerkingsoplossing. Dat gaat niet zomaar, daar is een plan voor nodig. Daarom hebben we met ICreative bij het aangaan van de samenwerking al besproken hoe dat plan eruitziet, mocht het ooit zover komen. In feite is het net als een huwelijk of samenlevingscontract; dan leg je ook van tevoren al vast wie wat krijgt als je ooit uit elkaar gaat.”
Compliance is een continue zoektocht
Samenvattend zegt Annemarie: “Er wordt veel van ons en onze leveranciers verwacht. We can’t cut any corners; we moeten er bovenop zitten.”
Ronald voegt daaraan toe: “Dat betaalt zich uiteindelijk ook weer terug. Als je aan de voorkant van het purchase to pay proces zoveel mogelijk zaken al goed op orde hebt, dan hoef je aan de achterkant eigenlijk alleen nog maar te controleren. Daarom speelt compliance in de dagelijkse praktijk van Accounts Payable en Receivable maar een kleine rol in vergelijking bij Inkoop. Natuurlijk moeten medewerkers tijdens het verwerken van facturen opletten of ze geen verdachte zaken zien, maar dan hebben we het over uitzonderingen.”
“Compliance houdt voor ons met name in dat we voldoen aan alle eisen”, concludeert Annemarie. “Dat is een continue zoektocht, want die eisen veranderen regelmatig en worden over het algemeen alleen maar strenger. De concrete invulling is altijd risico gebaseerd. Wat hebben we sowieso nodig om zo min mogelijk risico te lopen?”