Wanneer blijkt dat er iets in organisaties niet goed gaat in de compliance-risicobeheersing, zie ik regelmatig de controle-kramp ontstaan: meer, zoniet alles, 100% controleren, een 4-6-8 ogen principe inregelen, zodat de kwaliteit omhoog gaat. De laatste tijd wordt er echter ook steeds meer gekeken naar ‘de voorkant’: de awareness van management en medewerkers moet omhoog. Als je het mij vraagt een goede beweging, voorkomen is immers beter dan genezen. En eigenlijk niet pas als er problemen in een organisatie zijn, maar doorlopend. Maar hoe zorg je er nu voor dat een awareness programma daadwerkelijk effectief is, en niet wordt gezien als een “moetje” vanuit compliance?
Onderdeel van de managementcyclus
Een awarenessprogramma staat niet op zichzelf, maar is onderdeel van de managementcyclus: Plan, Do, Check, Act (PDCA). Doel van het awarenessprogramma is om de doelgroep bewust te maken van de risico’s en de maatregelen om deze risico’s te beheersen. Voor iedereen moet duidelijk zijn welke rol hij of zij hierbij heeft. Dat kan helemaal aan het begin van de cyclus zijn, maar in de praktijk zie je dat awareness ook vaak als bijsturingsmaatregel wordt ingezet. Alleen maar goed, want zo kan er gericht worden ingegaan op de geconstateerde tekortkomingen uit bijvoorbeeld de compliance monitoring. Zorg wel dat de awareness niet is gericht op het bestrijden van de symptomen, maar juist op het wegnemen van de oorzaken van de tekortkomingen. Een grondige en diepgaande oorzaakanalyse is dus essentieel.
Gedragenheid
Het is belangrijk dat er gedragenheid is binnen de organisatie om een compliance-awarenessprogramma op te tuigen. Dit begint bij het senior management. Is er sprake van intrinsieke motivatie, is voor het management duidelijk wat de doelen zijn van een dergelijk programma? Dragen ze het uit, tonen ze eigenaarschap? Als je het mij vraagt essentiële zaken voor een effectief awareness programma. De beste optie is ook om het eigenaarschap bij de eerste lijn te beleggen. De compliance officer is ondersteunend en kan dan vanuit een zuivere tweede lijn rol adviseren en aanjagen. Vaak zie je namelijk dat er bij de compliancefunctie in een organisatie een schat aan informatie, voorbeelden en casuïstiek is te vinden. Maak daar vooral gebruik van.
Variatie
Bij het opstellen van een awarenessprogramma kun je het beste aansluiting vinden bij de missie en visie van de onderneming en, uiteraard, de SIRA (Systematische Integriteits Risico Analyse) en aanverwante rapportages. Op basis hiervan kun je bepalen welke compliance thema’s met welke prioriteit en frequentie aandacht moeten krijgen.
Een grote uitdaging in de praktijk blijkt het aangehaakt blijven van deelnemers te zijn. Mijn ervaring is, dat er een gevarieerd programma moet worden opgezet, op maat gemaakt voor de verschillende afdelingen. Awareness creëer je niet alleen door een presentatie te geven, soms kan het publiceren van een nieuwsbericht ook erg effectief zijn. Ik denk dat de beste manier is om een combinatie van methodes te gebruiken. Dan maak je gelijk ook gebruik van de kracht van herhaling. Vaak zie je nog dat een awareness sessie een eenmalige exercitie is en dat is eigenlijk best wel vreemd. De wereld om ons heen verandert namelijk ook in rap tempo. Wat vandaag nog geldt, is morgen vaak al achterhaald. Zorg er dus ook voor dat materialen periodiek worden geactualiseerd.
Bezwaren
Een bezwaar dat ik regelmatig hoor vanuit het management: “mijn mensen hebben geen tijd voor een sessie van 2 uur, een e-learning van een half uur is wat mij betreft net zo effectief”. Persoonlijk vind ik dat een gemiste kans. Ik ben ervan overtuigd dat het organiseren van goede awareness-sessies op de lange termijn juist een tijdsbesparing oplevert. Er zijn immers minder issues en incidenten om op te lossen en dossiers hoeven niet te worden hersteld.
Maar hoe ga je nu om met deze bezwaren? Een belangrijke taak is hier weggelegd voor de compliance officer. Door bij vragen van medewerkers en management niet specifiek in te gaan op het juridisch uitleggen van de regels, maar juist te adviseren in “de geest van de wet” en de context van de situatie mee te wegen, draag je als compliance officer bij aan de gedragenheid bij de achterliggende doelen van wet- en regelgeving en dus aan een integriteitsbewuste organisatie. De stap naar een gedragen awareness programma wordt daarmee een stuk kleiner. Daarnaast kun je het beste aansluiting zoeken bij bestaande opleidingen, als die er zijn. Korte lijnen met HR zijn essentieel. Wanneer je start met een awareness programma, start dan met het management. Zoals ik al eerder aangaf, is gedragenheid en de “tone at the top” erg belangrijk. Door te starten met het management creëer je een olievlek die groter en groter wordt. Het management is door deze aanpak beter in staat het leerproces te stimuleren en te sturen, onder andere door het kunnen laten zien van het juiste voorbeeldgedrag.
Tot slot
Een compliance awareness programma is een onmisbaar onderdeel van de compliance-risicobeheersing van een organisatie. In eerste instantie zal het behoorlijk wat tijd en effort kosten om een goed en gedragen programma samen te stellen. Maar als het programma eenmaal draait, dan kunnen de zoete vruchten worden geplukt. Want door het voorkomen van fouten en het goed bijsturen op tekortkomingen, gaan controles sneller en hoeft er minder te worden gecorrigeerd. Wie wil dat nu niet!
