Hoofdstuk 5 Conclusie en Aanbevelingen
5.2 Aanbevelingen
Deze scriptie wordt afgesloten met een aantal aanbevelingen. Deze aanbevelingen komen voort uit het onderzoek dat in het kader van deze scriptie is uitgevoerd.
Om de betrouwbaarheid van de resultaten en de validiteit van de conclusies te vergroten is een belangrijke suggestie voor toekomstig onderzoek om een vergelijkend onderzoek tussen organisaties uit te voeren die soft controles wel hebben geïmplementeerd en organisaties die soft (nog) niet hebben geïmplementeerd. Compliance professionals adviseren gebruik te maken van soft controls, maar een dergelijk onderzoek lijkt nog niet te zijn uitgevoerd. Daarmee kan het effect van soft controls worden bewezen.
Daarnaast wordt aanbevolen om ‘soft controls’ toe te voegen als thema in de SIRA. Zo wordt ook geborgd dat soft controls met een vaste frequentie opnieuw worden beoordeeld. Ook wordt hierdoor structuur aangebracht aan het uitvoeren van soft controls daar waar organisaties nu hun eigen invulling en interpretatie geven aan soft controls. Hierdoor kunnen de resultaten ook vergeleken worden. Bovendien hebben soft controls ook raakvlakken met de overige
aandachtsgebieden uit de SIRA en lijkt dit een logische toevoeging. Verzekeraars moeten de SIRA al verplicht periodiek uitvoeren waardoor zij gewend zijn te werken met de SIRA. Hierdoor kan
aangesloten worden op het bestaand proces en blijft de impact voor organisaties beperkt. Ten slotte krijgen toezichthouders op deze manier ook inzicht in de gedragsfactoren die een rol kunnen spelen in een organisatie.
Voor organisaties die geen gebruik maken van de SIRA, wordt geadviseerd te starten met een nulmeting. Op basis van de resultaten kunnen door directie prioriteiten worden gesteld en acties worden gedefinieerd. Door periodiek een nieuwe meting uit te voeren kan de opvolging en voortgang worden bewaakt.
Door de controles te baseren op de gedragsfactoren van Muel Kaptein of het cultuurhuis van DNB wordt de aantoonbaarheid van de integriteit van een organisatie richting de toezichthouder vergemakkelijkt en het toezicht efficiënter. Daarnaast is een voordeel van het cultuurhuis dat zowel DNB (artikel ‘De 7 elementen van een Integere Cultuur’) als het NCI (artikel ‘Winst op cultuur en gedrag’) hier uitgebreid op ingaan en beide ook hebben aangeven ‘wat’ en ‘hoe’ organisaties deze 7 componenten kunnen implementeren.
Bibliografie
Aardema, H., H. Puts. (2008). De harde werking van soft controls. Tijdschrift voor public governance,
Audit & control. Den Haag: Sdu.
Autoriteit Financiële Markten (2013). Klantbelang Centraal; een blijvende uitdaging ook voor
Compliance. www.afm.nl
Alibux, A., Hage, M. & Wouw, F. van de (2011). De evolutie van de compliancefunctie. Jaarboek
Compliance 2011. Capelle aan den IJssel: Nederlands Compliance Instituut.
Baan, C. (2013). The use of hard and soft controls within Dutch Small and Medium Sized Entities. Masterthesis, Rotterdam.
Barney, J. (1986). Organizational culture: can it be a source of sustained competitive advantage? New York: Academy of management.
Beusekom, H., Raaijmakers K. (2011). Grip op cultuur in het toezicht. Jaarboek Compliance 2011. Capelle aan den IJssel: Nederlands Compliance Instituut.
Black, J. (2010). The Rise, Fall and Fate of Principles Based Regulation. London School of Economics and Political Science Law Department.
Bleker, S. (2013). Intern toezicht in relatie tot de 1e lijn. Tijdschrift Compliance & Integriteit. Amsterdam: De Vrije Universiteit, Opleiding Compliance & Integriteit Management.
Bleker, S. (2016). Compliance en integriteit kloppen aan de hoogste deur van de governancestructuur.
Jaarboek Corporate Governance 2016-2017. Deventer: Kluwer
Bleker, S., Hortensius, D. (2014). ISO 19600: The development of a global standard on compliance
management. Business Compliance journal. Amsterdam: Baltzer Science Publishers.
Brule, P. (2007). Compliance versus proactive behaviour: Is trust the solution? Scriptie, Tilburg. Codrington, E. (2011). Balans tussen regels en vertrouwen bij de overheid? Rol van de auditfunctie’.
Scriptie Executive Master of Internal Auditing, Amsterdam.
Creusen, E., Westen, N. (2013). Compliancerisico’s in control. Jaarboek Compliance 2013. Capelle aan den IJssel: Nederlands Compliance Instituut.
De Nederlandsche Bank (2009). De 7 Elementen van een Integere Cultuur, Beleidsvisie en aanpak
gedrag en cultuur bij financiele ondernemingen 2010-2014. www.dnb.nl
De Nederlandsche Bank (2010). Thema’s DNB toezicht 2010 en de Visie op Toezicht 2010-2014. www.dnb.nl
De Nederlandsche Bank (2015). De integriteitsrisicoanalyse. Meer waar dat moet, minder waar dat
kan. www.toezicht.dnb.nl
Dijk, R. van (2013). De samenwerking tussen risicomanagement, compliance & audit: een onderzoek
naar de invloed van ‘de mens achter de functies’. Scriptie, Amsterdam.
Drechsler, H., Halff, M., Huisman, P., Post, F. (2012). Toepassen soft controls: balanceren tussen wens
en werkelijkheid. Scriptie, Amsterdam.
Grinsven, J. van, Meijs, K., Joode, T. de, Pouw, R., Fortuin, R., Steenwijk, P. (2014). Trends en
ontwikkelingen in risicomanagement & compliance, assurance & business IT. Essay.
Groep Olivier (2009). Compliance Position Paper; bijdragen aan verandering, een nieuwe visie op
Compliance. Leiden.
Have, S. ten, Haverhals, H., Have, W. ten (2013). Hard en soft controls: essentieel instrumentarium
voor compliance officers en controllers. Tijdschrift voor Compliance. Deventer: Den Hollander.
Heus, R. de, Stremmelaar, M. (2000). Auditen van soft controls. Deventer: Kluwer.
Hoegen, M., Korteweg, B. (2014). Compliance Officer: stap uit de schaduw van de regels! Tijdschrift
voor Compliance. Deventer: Den Hollander
House of Control (2018). Levers of Control – Simons, Opgehaald op 19 september 2018, van http://www.house-of-control.nl
House of performance, Risk & Compliance platform Europe & Michael page (2016). Enquête
resultaten: Hoe het vak van de Comliance Officer verandert.
Huisman, W. (2001). Tussen winst en moraal. Achtergronden van regelnaleving en regelovertreding
door ondernemingen. Den Haag: Boom Juridische uitgevers.
Jong, G. (2014). Wie wil er compliance officer zijn in 2015? Tijdschrift voor Compliance. Deventer: Den Hollander.
Joosen, B. (2015). Bankwetgeving na de financiële crisis, is het genoeg? Oratie, Amsterdam. Kaptein, M. (2008). Soft controls is een kwestie van vertrouwen. Audit magazine. Beekbergen: VM
uitgevers.
Kiewit, M., PLeunes, J. (2006). Monitoren en auditen van soft controls als sluitstuk van de
compliancecyclus. Tijdschrift voor Compliance. Deventer: Den Hollander.
Kort, J. de (2014). De verhouding tussen ‘hard- en soft controls’ in de Nederlandse bestuurskamer. Scriptie, Tilburg.
KPMG, (2010). Meer aandacht voor soft controls. www.accountant.nl.
KPMG Advisory N.V., (2016). Acht basis soft controls; tijd voor next level compliance.
Lückerath-Rovers, M. (2011). Soft controls in corporate governance. Inaugurele rede, Breukelen. Man, H. De (2009). Cultuur en verandering. Beperkingen van het instrumentele model. Tijdschrift voor
Management & Organisatie. Roosendaal: Van Vlimmeren.
Managementmodellen (2018). Golden Circle. Opgehaald op 24 september 2018, van http://www.managementmodellen.org/
Merchant, K., Stede W. van der (2007). Management control systems: Performance
measurement, evaluation and incentives. Pearson Education Limited
Moussa, K. (2007). ‘Meten van organisatiecultuur’ kwantitatief of kwalitatief? Scriptie, Rotterdam. Mulder J. (2016). Embedding behaviour and culture in compliance management systems to ensure
compliance. Master thesis, RSM - MSc Global Business & Sustainability, Rotterdam.
Mulders, R. (2008). Management Control: Soft control? Hard nodig! Hoe onderzoek je de relevantie
van soft controls? MCA.
Nederlands Compliance Instituut (2009). Leergang Compliance Professional. Capelle aan den IJssel. Nederlands Compliance Instituut (2012). Winst op gedrag en cultuur. De rol van de compliance officer
ten aanzien van gedrag en cultuur. Capelle aan den IJssel.
NEderlandse Norm (2014). ISO 19600 – Compliancemanagement. Opgehaald op 10 april 2018, van
www.nen.nl/NEN-Shop/Compliancemanagement-1.htm
Ouwerkerk, E. (2014). Een onderzoek naar de wijze waarop soft controls kunnen bijdragen aan
tekortkomingen van Enterprise Risk Management. Scriptie, Amsterdam.
PricewaterhouseCoopers (2003). Compliance: a gap at the heart of risk management. White Paper. Rashid, Z., Sambasivan, M., Johari, J. (2003). The influence of corporate culture and organisational
commitment on performance. Journal of Management Development.
Ridder, W. (2017). Operationeel risicomanagement: meer dan alleen Compliance. Opgehaald op 28 december 2017, van http://mab-online.nl/artikel/545/Operationeel-risicomanagement-meer-dan- alleen-compliance.
Roth, J. (1998). Soft, Dangerous. https://na.theiia.org.
Roth, J. (2009). Soft controls in the Netherlands: more recognised than anywhere else. Audit magazine. Beekbergen: VM uitgevers.
Schoone, C. (2017). Zonder integriteit gaat het niet: een verkenning naar intergriteit in
organisatorische context. Tijdschrift voor Compliance. Deventer: Den Hollander.
Sentensor (2017). 3 waardevolle inzichten om succesvol grip te krijgen op houding en gedrag binnen
compliance management. White paper.
Simons, R. (1995). Levers of control: how managers use innovative control systems to drive strategic
renewal. Boston: Harvard Business School Press.
Sivro, M., Schoonbeek, A. (2017). De Compliance Officer terug naar de kern! ‘Keeping our business safe
and thriving’. Tijdschrift voor Compliance. Deventer: Den Hollander
Spoor, S. (2016). Visie op de compliancefunctie; een rondetafelgesprek. Jaarboek Compliance 2016. Capelle aan den IIssel: Nederlands Compliance Instituut
Straathof, A. (2009). Zoeken naar de kern van cultuurverandering. Inzicht, meten, sturen. Proefschrift, Rotterdam.
Til, K. van (2016). De adviseursrol van compliance in de post-crisis financiële sector. Tijdschrift voor
Compliance. Deventer: Den Hollander
Uiterlinden, R. (2009). ‘In Control’, theorie en praktijk. ’s-Hertogenbosch: Tutein Nolthenius.
Wannemaeker, C. De (2014). De nieuwe ISO-compliancerichtlijn: een geïntegreerde benadering van
compliance stevig verankerd in de nieuwste ISO-managementsystematiek. Tijdschrift voor Compliance.
Deventer: Den Hollander
Wielenga, C., Hout, H. van den (2013). Borging van cultuur in het compliancesysteem. Jaarboek
Bijlagen
Bijlage 1: Compliance and the compliance function in banks
10 Principes opgesteld door de ‘Task Force on Accounting Issues of the Basel Committee on Banking Supervision’:
Principle 1
The bank’s board of directors is responsible for overseeing the management of the bank’s compliance risk. The board should approve the bank’s compliance policy, including a formal document establishing a permanent and effective compliance function. At least once a year, the board or a committee of the board should assess the extent to which the bank is managing its compliance risk effectively.
Principle 2
The bank’s senior management is responsible for the effective management of the bank’s compliance risk.
Principle 3
The bank’s senior management is responsible for establishing and communicating a compliance policy, for ensuring that it is observed, and for reporting to the board of directors on the management of the bank’s compliance risk.
Principle 4
The bank’s senior management is responsible for establishing a permanent and effective compliance function within the bank as part of the bank’s compliance policy.
Principle 5
The bank’s compliance function should be independent.
Principle 6
The bank’s compliance function should have the resources to carry out its responsibilities effectively.
Principle 7
The responsibilities of the bank’s compliance function should be to assist senior management in managing effectively the compliance risks faced by the bank. Its specific responsibilities are set out below. If some of these responsibilities are carried out by staff in different departments, the allocation of responsibilities to each department should be clear.
Principle 8
The scope and breadth of the activities of the compliance function should be subject to periodic review by the internal audit function.
Principle 9
Banks should comply with applicable laws and regulations in all jurisdictions in which they conduct business, and the organisation and structure of the compliance function and its responsibilities should be consistent with local legal and regulatory requirements.
Compliance should be regarded as a core risk management activity within the bank. Specific tasks of the compliance function may be outsourced, but they must remain subject to appropriate oversight by the head of compliance.
Bijlage 2: Groep Olivier, Compliance Position Paper
De 17 aanbevelingen van Group Oliver onderverdeeld in een aantal principes: Compliance governance
1. De verantwoordelijkheden van de compliance functie zijn vastgelegd in een door de raad van bestuur geaccordeerd Compliance Programma.
2. De compliance functie rapporteert rechtstreeks aan (een lid van) de raad van bestuur.
3. De rol van de compliance functie als hoeder van de integriteits-agenda wordt uitgeoefend binnen de governance structuur van de organisatie.
Het domein van compliance
4. De compliance functie voert de regie, houdt toezicht en monitort (naleving wetgeving, integere bedrijfsvoering en cultuur, maar ook door toezicht op de interne gedragsregels van de onderneming en maatschappelijk relevante normen en waarden).
5. In de naamgeving van de compliance functie worden ‘Ethics’ en ‘Compliance’ opgenomen.
6. Ethics en Compliance is nauw betrokken bij de strategie van de onderneming ten aanzien van maatschappelijk verantwoord ondernemen.
7. Ethics en Compliance ziet er op toe dat het beloningsbeleid past binnen de integriteitsagenda van de onderneming.
8. Ethics en Compliance doet concrete voorstellen voor de manier waarop het compliant zijn en handelen verankerd is in het personeelsbeoordelingssysteem
Onafhankelijkheid van de compliance functie
9. De compliance functie wordt centraal aangestuurd om de onafhankelijkheid van het lijnmanagement en de toezichtsverantwoordelijkheid te waarborgen.
10.Er bestaat een escalatiemogelijkheid voor de business (of ’lokale’) compliance officers (bij grotere instellingen) naar het hoofd Ethics en Compliance op groepsniveau en naar de raad van bestuur en raad van commissarissen van de groepsvennootschap.
11. Het Hoofd Ethics en Compliance is namens de raad van bestuur verantwoordelijk voor de regie, het toezicht en monitoring van de structuur en effectiviteit van de compliance organisatie, initieert en faciliteert training programma’s en bestiert de compliance organisatie als geheel.
12. Het hoofd Ethics en Compliance stuurt de compliance organisatie centraal aan. Het matrix model wordt (bij grotere instellingen) toegepast, zodanig dat zowel de belangen van het lijnmanagement als Ethics en Compliance in voldoende mate geborgd zijn. Het hoofd Ethics en Compliance is
verantwoordelijk voor het aanname- en beloningsbeleid van de compliance officers in de business.
Verantwoordelijkheden van de compliance functie op lokaal / business niveau
13. Indien de compliance functie op lokaal en business niveau op de juiste manier inhoud wil geven aan haar verantwoordelijkheid, is voor de desbetreffende business compliance officer een goede kennis van en ervaring met de business en producten cruciaal.
Ethics en Compliance & verantwoordelijkheid lijnmanagement
14. De compliance functie voert de regie en houdt toezicht op de opzet, bestaan en werking van de risicobeheersings- en controlesystemen van de compliance risico’s binnen de onderneming.
15. Ethics en Compliance en ORM stemmen de compliance risico-beheersings- en controlesystemen en het monitoringprogramma af. De interne audit functie heeft hierin een controlerende
verantwoordelijkheid.
Relatie van compliance functie met de externe toezichthouder
16. De compliance functie deelt vertrouwelijke informatie met de toezichthouder indien en voor zover dit gelet op de wettelijke voorschriften en de betrokken belangen gerechtvaardigd is.
17. De compliance functie draagt er zorg voor dat alle medewerkers binnen de onderneming ermee bekend zijn dat de communicatie met de toezichthouders door de compliance functie wordt gecoördineerd.
Bijlage 3: Vragenlijst
Introductie
Voor welke organisatie werkt u? Wat is u functie?
Compliance
Wat zijn volgens u de belangrijkste veranderingen die de compliancefunctie (of op het gebied van compliance) de afgelopen 5 jaar heeft doorgemaakt?
Wat veranderingen verwacht u dat er de komend 5 jaar zullen plaatsvinden? Sorteert u hier nu al op voor? En zo ja, hoe?
Wat zijn volgens u de belangrijkste aspecten van de compliancefunctie? En hoe kan dat volgens u worden geborgd?
Welke advies zou u alle compliancefunctionarissen willen geven?
Hoe adviseert u of wordt in u organisatie compliance awareness geborgd? Wat gaat er volgens u nu vaak fout?
Wat is volgens u de key-factor voor een succesvolle implementatie van compliance?
Controls
Welke beheersmaatregelen worden in u organisatie toegepast?
Kent u het verschil tussen hard en soft controls? Worden beide controls in u organisatie toegepast? Hoe worden soft controls toegepast? Waaruit bestaan ze? Hoe worden soft controls gemeten? Herkent u de verschuiving van hard naar soft controls?
Wordt er meer gebruik gemaakt van hard of soft controls?
Wat zou volgens u gedaan moeten worden om soft controls te managen?
Worden binnen uw organisatie jaarlijks doelstellingen gedefinieerd? Zo ja, door wie?
Zo ja, tot op welke niveau worden deze doelstellingen geformuleerd? (internationaal-, landelijk-, sector-, afdelings- of individueel niveau) Wordt hier actief op gemonitord?
Dragen controls volgens u bij aan de uitvoering van de compliancefunctie? Waarom wel of niet?
Handvaten
Kent u de ISO 19600 Richtlijn? Maakt of adviseert u gebruik te maken van deze norm? Waarom wel of niet? Hoe geeft u, of hoe adviseert u invulling te geven aan deze richtlijn? Wat zou u graag anders willen zien in deze richtlijn?
Cultuurhuis DNB
Kent u het cultuurhuis van DNB? Wordt dit binnen u organisatie toegepast? Sentensor
Kent u Sentensor?
Maakt u organisatie gebruik van soortgelijke onderzoeksbureaus/tools? SIRA
Bent u bekend met de SIRA? Hoe ziet u de SIRA in dit kader?
Integriteit, gedrag en cultuur
Wat doet u om gedrag en cultuur te beïnvloeden?
Vindt er regelmatig een evaluatie plaats over het gedrag, cultuur en integriteit in de organisatie? Vindt er samenwerking met HR plaats op deze onderwerpen? Welke acties adviseert u om het gedrag en cultuur te monitoren/veranderen?
Vindt u dat gedrag en cultuur onderdeel moet zijn van de compliancefunctie?
Geldt er binnen uw organisatie een gedagscode? Hoe wordt deze onder de aandacht gebracht bij medewerkers? Draagt de gedragscode bij aan de integriteit van de onderneming?
Algemeen
Ziet u een verschil tussen verzekeraars en banken?
Bijlage 4: Uitwerking interviews
Harm Ram – BNP Paribas Personal Finance
Herken je de tendens, de verschuiving van hard naar soft controls, meer gericht op cultuur en gedrag ipv uitsluitend de implementatie van regels?
Ik herken wel de tendens in de markt, maar dat wil niet zeggen het hier ook van toepassing is. K denk wel dat je steeds meer toe gaat naar het beïnvloeden van gedrag en integriteit en dat is niet zwart- wit, dat is veel meer mensen opvoeden en bewust maken van gedrag en de gevolgen van gedrag. Ik zie wel dat het daar steeds meer naar toe gaat of dat het erbij komt, de andere kant zal zeker ook blijven de echte harde controls, zoals sanctiescreening, dat gaat niet weg, maar ik zie wel dat er meer aandacht voor komt. Ook hier intern en vanuit BNPP Group, maar het is niet gelijk top of mind.
Zou je daar zelf wel meer dan willen streven of vind je de combinatie juist goed?
Ik ben voorstander van soft controls en zou dat graag hier verder willen implementeren, alleen denk ik dat dat iets is van de lange adem, dat kun je niet in 1 keer neerzetten, dat moet gaan groeien. Daar moet management aandacht voor zijn en moet gedragen worden door het management, daar begint het als eerste.
Is het dan iets wat meer op het Hoofdkantoor moet gaan leven of wat jullie zelfstandig kunnen oppakken?
Het zou fijn zijn als het bij het Hoofdkantoor gaat leven, maar dat moet je ook zelfstandig kunnen doen. Vooralsnog niet het gevoel dat ze die kant op gaan.
Hoe zie jij de invulling van de soft controls?
De banken doen het al, zij hebben de SIRA rapportage, die geldt niet voor financiële instellingen, zij hoeven die niet verplicht in te vullen. Ik denk door bij het management te beginnen, door te laten zien dat het waarde toe kan voegen voor de organisatie, kan het langzaam door gaan sijpelen, maar je kunt er geen aantallen aan hangen, het is wat meer beschrijvend, minder tastbaar.
Zou je dat doen middels awareness sessies of vragenlijsten?
Ik geloof niet in vragenlijsten, ik zou eerder een awareness sessie houden of aanschuiven bij een werkoverleg, haal input op, op moment dat je een wijziging wil doorvoeren, leg goed uit, maak dingen transparant. Als is het maar je besluitvorming transparant maken, daarmee zorg je ervoor dat mensen bewust worden van dingen die er gebeuren.
En als mensen de dingen begrijpen die gebeuren, dan kun je met soft controls gaan sturen. Als je alleen maar zegt, je moet die kant op, gaat men daar niet harder van lopen, maar als je uitlegt waarom dat belangrijk is en op wat voor een manier dat kan bijdragen zijn mensen veel gemotiveerder om het op de goede manier te doen. Dus ik geloof er heilig dat het op de juiste manier meenemen van je mensen, dat veel beter gaat werken.