Afgelopen dinsdag kwam een groep compliance professionals en bedrijfsjuristen bij elkaar om over het thema: “return on investment: is meten ook weten? ” van gedachten te wisselen (met dank aan Voxius en Deloitte). Hierover is heel veel indirect en slechts weinig direct geschreven. Toch wordt regelmatig de vraag gesteld hoeveel compliance-FTE’s optimaal zou zijn, hoeveel uren training per medewerker afdoende, hoeveel geld een compliance programma ieder jaar eigenlijk mag kosten. Indien die vraag al ergens afdoende is beantwoord, dan hebben we dat nog nergens kunnen nalezen.
Laat ik proberen om deze uitdaging toch van een aantal zijden te belichten die dinsdag niet aan de orde kwamen, in de hoop dat wellicht een van de aangevoerde argumenten jou intern kan helpen bij dit soort moeilijke discussies. Want wie mijn eerdere nieuwsbrieven regelmatig heeft gelezen zal begrijpen dat het naar mijn mening een verkeerde vraag is. Die zou moeten luiden: wetende wat er allemaal minimaal wettelijk moet, hoe zorgen wij er nu echt voor dat “verantwoord zakendoen” zoals wij dat willen tussen de oren, de neuzen en in het DNA van deze organisatie komt?
1. Een groot aantal bedrijven meet wat er gebeurt, bij voorbeeld het aantal medewerkers dat een of meer cursussen heeft afgerond, de test heeft doorstaan, de gedragscode of een certificaat ondertekend, het aantal ontvangen meldingen via een externe leverancier of via interne kanalen en/of het aantal vragen dat wordt gesteld over compliance gerelateerde onderwerpen. Denk ook aan het aantal meldingen dat blijkt een daadwerkelijke schending van de gedragscode te zijn; het aantal processen en procedures dat is verbeterd naar aanleiding van een melding; en het aantal audits dat overtredingen heeft aangetoond.
Dergelijke statistieken kunnen dan worden geanalyseerd op trends en witte vlekken (plekken in de eigen organisatie waar compliance nog niet erg leeft). Ze kunnen ook worden gebruikt om onderling enig competitief element in te brengen (wij willen beter scoren dan andere business units).
Ze kunnen wellicht worden vergeleken met peers om te bezien of men op de goede weg is. Een waardevolle bron om te benchmarken vind ik het door LRN vorig jaar uitgebrachte rapport (http://pages.lrn.com/the-2015-ethics-and-compliance-program-effectiveness-report). Daaruit blijkt onder andere dat bij bedrijven met minder dan 5 miljard omzet ongeveer 1 a 1,4 FTE per 1000 medewerkers in de compliance funcite werkt (daar komen wij binnen Nederland meestal niet aan, behalve in de financiele sector waar veel meer FTE’s werkzaam zijn). Ook noemt het rapport een gemiddeld bedrag van $55 à $ 110 dat per medewerker per jaar aan compliance wordt uitgegeven (zie echter het volgende week geciteerde Ponemon rapport dat spreekt van $90 à $500 voor ICT compliance alleen al; lees de cijfers dus zorgvuldig na op definities en wat er wel/niet in verwerkt is).
Ook binnen Nederland verschijnt jaarlijks een waardevolle, door Deloitte uitgevoerde benchmarking survey (https://www2.deloitte.com/content/dam/Deloitte/nl/Documents/risk/deloitte-nl-risk-compliancebenchmark2016.pdf ).
2. Waardevol blijken cultuuronderzoeken waarbij wordt gekeken hoe medewerkers de integriteit ervaren binnen de onderneming. Denk aan vragen als “komen de kernwaarden en gedragscode regelmatig aan de orde bij jullie gesprekken in de afdeling?”; “zou jij zakelijke dilemma’s met jouw direct leidinggevende durven bespreken?”; “ voel jij je wel eens onder druk gezet om doelen te halen op welke manier dan ook”; of “toont jouw leidinggevende integer voorbeeldgedrag?”; “staat de deur van jouw leidinggevende altijd open voor een moeilijk gesprek over ethische dilemma’s bij het zakendoen”; “heb jij de afgelopen 6 maanden crimineel of ongepast gedrag waargenomen in jouw afdeling”; “maak jij je zorgen over represailles indien jij een melding zou doen over een mogelijke overtreding van onze gedragscode?” en zo voort. Dergelijke interne medewerkersonderzoeken kunnen eventueel worden uitgebreid met vragen over de bestaande behoefte (bij voorbeeld meer trainingen; meer verduidelijkingen in de vorm van Vraag & Antwoord, en dergelijke).
3. Sommige financieel directeuren of leden van een Raad van Bestuur worden pas echt wakker indien zij de kreet “persoonlijke aansprakelijkheid” of gigaboetes opgelegd aan SBM Offshore en Vimpelcom horen. Soms helpt het dan om voor te rekenen dat de extern betaalde boete maar een geringe fractie is van de ijsberg: intern verloren uren, kosten voor advocaten en forensische accountants, verloren omzet (soms geschrapt ivm overheidsopdrachten), en vooral reputatieschade moeten niet uit het oog worden verloren. Voeg daarbij dat de toezichthouder vaak eist dat het bedrijf alsnog een effectief compliance programma optuigt en daar (middels een extern aangestelde Monitor) ook over gaat rapporteren, en het aloude gezegde “voorkomen is beter dan genezen” lijkt bewaarheid.
Daarover en andere argumenten volgende week meer
