Compliance vs. hard en soft controls : de bijdrage van hard en soft controls voor het compliance domein van de verzekeringssector

Compliance vs. hard en soft controls

De bijdrage van hard en soft controls voor het compliance

domein van de verzekeringssector

Masteropleiding:

Amsterdam Business School - Verzekeringskunde

Afstudeerrichting:

Verzekeringskunde en Enterprise Risk Management

Auteur:

Inge Wijshoff (11241691)

Versie:

1.0

Datum:

25 september 2018

Pagina’s:

150

Eerste begeleider:

dr. F. de Jong

Tweede begeleider: dr. M. Hendrikse

VOORWOORD

Deze scriptie vormt de afsluiting van mijn studie aan de Universiteit van Amsterdam voor de master Verzekeringskunde met afstudeerrichting Enterprise Risk Management en Verzekeringskunde.

In februari 2016 ben ik met veel enthousiasme gestart aan de premaster. Nadat ik deze succesvol had afgerond, kon ik in augustus starten met de master. Nu, twee jaar later, kijk ik terug op een leerzame periode die gekenmerkt werd door hard werken, doorzettingsvermogen, plezier, nieuwe vriendschappen, een lach en een traan, maar bovenal veel enthousiasme.

Het schrijven van deze scriptie heeft voor mij bevestigd dat je concessies moet doen om je doel te bereiken. Prioriteiten stellen was niet altijd makkelijk, maar wel noodzakelijk. Daarom wil ik ook iedereen bedanken die heeft bijgedragen aan het tot stand komen van deze scriptie. In het bijzonder wil ik mijn scriptiebegeleider Fred de Jong bedanken, de mij bij het schrijven van de scriptie heeft voorzien van positief kritische feedback. Ook de professionals die hebben meegewerkt aan de interviews wil ik bedanken voor hun tijd en het delen van hun kennis over de praktijksituatie. Ten slotte mijn vriend Richard die, wellicht enigszins cliché maar wel waar, mij gedurende de gehele periode heeft gesteund en gemotiveerd waar nodig.

Ik wens u veel leesplezier en wellicht dat enkele van mijn resultaten voor u praktisch toepasbaar zijn.

Inge Wijshoff

SAMENVATTING

Binnen de verzekeringssector is compliance inmiddels niet meer weg te denken. Een grote

hoeveelheid maatregelen en procedures moeten worden geïmplementeerd om te voldoen aan wet- en regelgeving. Dit in combinatie met een gebrek aan vertrouwen als gevolg van de financiële crisis en een toename van technologische innovatie, resulteert in een grote impact op de

compliancefunctie. Een zo volledig mogelijk beeld van interne en externe factoren is nodig om in te kunnen spelen op deze ontwikkelingen. Een manier waarop dit inzicht verkregen kan worden is het uitvoeren van controls. Hierbij kan een onderscheid gemaakt worden tussen hard en soft controls. Voor organisaties is het van groot belang om ‘in control’ te zijn zodat organisatiedoelstellingen worden gehaald en compliancerisico’s worden vermeden. Onduidelijk is nu hoe deze gedefinieerd en toegepast kunnen worden en in hoeverre hard en, of soft controls bijdragen aan de uitvoering van de compliancefunctie voor de verzekeringssector anno 2018.

Dit onderzoek bestaat uit een literatuur en praktijkonderzoek. Door het afnemen van

diepte-interviews bij compliance professionals wordt invulling gegeven aan het praktijkonderzoek. Het doel van dit doel onderzoek is om inzicht te krijgen in de toegevoegde waarde, samenstellingen en invulling van hard en soft controls voor de compliancefunctie.

Uit het literatuuronderzoek is gebleken dat er een verschuiving plaatsvindt van hard naar soft controls. Door de financiële crisis heeft de aandacht voor regels en procedures (hard controls) plaatgemaakt voor de sociale aspecten (soft controls) die ten grondslag liggen aan het integer handelen van medewerkers. Soft controls zijn erop gericht om gewenst gedrag bij medewerkers en management te bevorderen. Het in control zijn van een organisatie is immers afhankelijk van het gedrag van medewerkers. Het gaat om betrokkenheid, de juiste intenties en het op een juiste manier omgaan met druk. Instrumenten zoals de ISO 19600 Compliancemanagementrichtlijn, de 7

organisatiefactoren van Muel Kaptein, het cultuurhuis van DNB, online platform van Sentensor of de SIRA kunnen daarbij ondersteuning bieden. Een onderscheid tussen de verzekeringssector en de overige financiële sectoren werd in deze context niet gemaakt.

Het praktijkonderzoek heeft uitgewezen dat zowel hard als soft controls wordt uitgevoerd. De respondenten spreken van het hanteren van een mix, het moet een samenhang tussen beide zijn, waarbij cultuur en gedrag wordt gezien als het fundament. Hard controls zijn nodig voor de

erkend. Soft controls geven inzicht in het gedrag van medewerkers en kunnen bijdragen aan het vertrouwen en de cultuur binnen een organisatie, maar wordt het belang door het bestuur vaak (nog) niet gezien. Voorbeelden die worden genoemd hoe momenteel invulling wordt gegeven aan soft controls, variëren van awareness sessies en medewerkerstevredenheidsonderzoek tot oorzaak-analyses, trainingen en cultuurprogramma’s. Daarvoor maken veel organisaties gebruik van een eigen tool die hen ondersteunt bij het uitvoeren van soft controls. Daarbij is het van belang dat Compliance wordt gezien als een volwaardige sparringpartner en de business zelf in staat is het juiste te doen. Een onafhankelijke positionering van de compliancefunctie, voorbeeldgedrag en het

commitment van het bestuur worden genoemd als key-factoren bij de uitvoering van de

compliancefunctie. Ook in het praktijkonderzoek wordt ten aanzien van de invulling van hard en soft controls nauwelijks onderscheid gemaakt tussen de verzekeringssector en de overige financiële sectoren.

Daar waar in de literatuur werd aangegeven dat er behoefte was aan handvaten om soft controls te monitoren, bleek uit het praktijkonderzoek dat men gebruik maakt van eigen instrumenten en deze voldoende houvast bieden. Voor het toetsen van integriteitsrisico’s wordt in de praktijk de SIRA gebruikt. Zowel in de literatuur als in de praktijk wordt voor het monitoren van soft controls gebruik gemaakt van de organisatiefactoren zoals door Muel kaptein gedefinieerd en door DNB vormgegeven middels het cultuurhuis. Een aandachtspunt hierbij is de opvolging en continuïteit van de metingen.

Conclusie is dat beide controls positief bijdragen aan de uitvoering van de compliancefunctie, maar

het is de combinatie die ervoor zorgt dat een organisatie ‘in control’ is. Houding en gedrag zijn van doorslaggevende betekenis bij het uitdragen, naleven, implementeren en handhaven van richtlijnen rondom compliance. Soft controls bepalen aan de hand van gedragsfactoren en –aspecten of hard controls effectief zijn.

Als aanbeveling wordt gedaan om ‘soft controls’ toe te voegen als vast thema in de SIRA. Zo wordt

geborgd dat soft controls met een vaste frequentie opnieuw worden beoordeeld. Ook wordt

hierdoor structuur aangebracht aan het uitvoeren van soft controls. Doordat verzekeraars de SIRA al verplicht moeten uitvoeren, kan worden aangesloten op het bestaand proces en blijft de impact voor organisaties beperkt. Ten slotte krijgen toezichthouders op deze manier ook inzicht in de

gedragsfactoren die een rol kunnen spelen in een organisatie. Bij de definiëring van het thema wordt geadviseerd gebruik te maken van de gedragsfactoren van Muel Kaptein of het cultuurhuis van DNB.

Voor organisaties die geen gebruik maken van de SIRA, wordt geadviseerd te starten met een nulmeting. Op basis van de resultaten kunnen door directie prioriteiten worden gesteld en acties worden gedefinieerd. Door periodiek een nieuwe meting uit te voeren kan de opvolging en voortgang worden bewaakt. Ook voor de nulmeting wordt geadviseerd gebruik te maken van de gedragsfactoren van Muel Kaptein of het cultuurhuis van DNB.

Inhoud

Voorwoord……….………i Managementsamenvatting………ii Hoofdstuk 1 Inleiding 1 1.1 Achtergrond en aanleiding ...1 1.2 Doelstelling ...3 1.3 Vraagstelling ...3 1.4 Onderzoeksmethodiek ...4 1.5 Leeswijzer ...6 Hoofdstuk 2 Literatuuronderzoek 8 2.1 Inleiding ...8 2.2 Introductie compliance ...8 2.3 Controls ... 11 2.3.1 Hard controls ... 12 2.3.2 Soft cpntrols ... 13 2.4 ISO-richtlijn 19600 ... 166

2.5 Systematische Impact Risico Analyse ... 188

2.6 Cultuur, gedrag en integriteit ... 199

2.7 Trends en ontwikkelingen (o.b.v. onderzoeken en analyses van deskundigen) ... 23

2.8 Samenvatting ... 26 Hoofdstuk 3 Praktijkonderzoek 299 3.1 Inleiding ... 299 3.2 Doel ... 299 3.3 Soort onderzoek ... 299 3.4 Opzet en respondenten ... 30 3.4.1 Opzet ... 30 3.4.2 Respondenten ... 30 3.5 Resultaten ... 311

3.5.1 Input respondenten per vraag ... 31

3.5.2 Input ISO richtlijn 19600 ... 40

3.5.3 Cultuurhuis DNB ... 41

3.6 Samenvatting ... 444

Hoofdstuk 4 Analyse 466 4.1 Inleiding ... 466

4.2 Resultaten literatuuronderzoek ... 466

4.3 Resultaten praktijkonderzoek ... 5050

4.4 Verschillen en overeenkomsten literatuur en praktijk ... 544

4.4.1 Positieve resultaten ... 54

4.4.2 Negatieve resultaten ... 56

4.4.3 Onuidelijke resulaten ... 57

4.4.4 Overige resultaten ... 58

4.4.5 Betekenis voor literatuur en praktijk ... 59

4.5 Samenvatting ... 61

Hoofdstuk 5 Conclusie en Aanbevelingen 63 5.1 Conclusie ... 63

5.2 Aanbevelingen ... 65

Bibliografie 66

Bijlage 1: Compliance and the compliance function in banks 69

Bijlage 2: Groep Olivier, Compliance Position Paper 71

Bijlage 3: Vragenlijst 73

1. Inleiding

1.1 Achtergrond en aanleiding

Sinds de kredietcrisis hebben organisaties, waaronder die in de verzekeringssector, een grote hoeveelheid aan maatregelen en procedures geïmplementeerd om te voldoen aan wet- en regelgeving (Joosen, 2015). Joosen beschrijft in zijn oratie ook het effect van deze toegenomen regeldruk en hoe zich dit door de jaren heen heeft ontwikkeld. Een ontwikkeling die ook impact heeft op de rol van de compliancefunctie (Alibux, Hage & Wouw, 2011).

In de literatuur wordt verondersteld dat het uitsluitend voldoen aan wet- en regelgeving niet meer voldoende is, maar dat cultuur en gedrag steeds belangrijker worden. “De transitie binnen

‘Compliance-land’ is duidelijk”, luidt de conclusie van het onderzoek dat het Risk & Compliance Platform Europe in samenwerking met Michael Page en House of Performance hield onder Compliance Officers (2016). Hiermee wordt gedoeld op de ontwikkeling dat compliance niet meer alleen bestaat uit implementatie van regels, maar dat cultuur en gedrag steeds belangrijker worden. “We staan aan de vooravond van een ingrijpend veranderproces”, schrijven Grinsven, Meijs, Joode, Pouw, Fortuin & Steenwijk in hun essay (2014).

Als we iets verder terug in de tijd gaan zien we dat in 2010, door de directeur van De Nederlandsche Bank destijds, ook al een artikel werd geschreven met de titel ‘Tien jaar compliance: van afvinklijst naar hoeder van integriteit’. Een ander voorbeeld dat aantoont dat er een verschuiving plaatsvindt van enkel wet- en regelgeving naar een meer gedragsgerichte aanpak in de financiële sector is ‘Regeling eed of belofte financiële sector’ die per 1 januari 2013 werd ingevoerd. Een regeling die door de Minister van Financiën werd gezien als een maatregel met een sterke morele dimensie om de cultuuromslag in de financiële sector te bewerkstelligen1.

Gezien de ontwikkelingen op het gebied van compliance in de afgelopen jaren is het als compliance officer belangrijk een goed beeld te hebben van hoe een organisatie ervoor staat. Een manier

waarop dit inzicht kan worden verkregen en behouden is het uitvoeren van controls (Have, Haverhals en Have, 2013, p. 138). Dit kunnen hard controls zijn, maar ook soft controls.

1 _{Kamerstukken II 2011/12, 31980, nr. 76}

De verwachting is dat hard- en soft controls zich door de tijd heen afwisselen en elkaar aanvullen, dat organisaties anno 2018 niet zonder soft controls kunnen, maar ook niet zonder hard controls. Zo constateerde ook VCZ (Vereniging voor Compliance in de Zorg), KPMG en de Erasmus Universiteit in haar onderzoek (2016). “… Ook hard controls zijn nodig, om duidelijk te maken wat het gedrag is dat de organisatie verlangt. Maar hard controls blijken ineffectief als die, bij afwezigheid van goede ontwikkelde soft controls, verkeerd worden begrepen, omzeild of zelfs misbruikt. Hard en soft controls beïnvloeden samen het gedrag van mensen, er is in de organisaties een juiste balans nodig.”

De balans is moeilijk te bepalen bij zo’n grote hoeveelheid en snelheid van veranderingen die binnen het compliance domein plaatsvinden. De huidige praktijk wordt gekenmerkt door statistische hard en soft controls (Sentensor, 2017). Volgens Sentensor en het Risk & Compliance Platform Europe ontbreken goede handvatten en randvoorwaarden om in gesprek te gaan over de uitvoering en samenstelling van hard en soft controls in een organisatie. Daardoor worden de vereiste en gewenste niveaus van compliance niet gehaald en blijft het risico van non-compliant zijn groot.

Voor organisaties is het van groot belang om in control te zijn zodat de organisatiedoelstellingen worden gehaald en compliance risico’s worden vermeden. Zoals hierboven omschreven heeft eerder onderzoek uitgewezen dat er behoefte is aan handvatten. Talloze toepassingen van hard en soft controls zijn mogelijk, eenieder weer verschillend per sector. Dit samen met de hoeveelheid en snelheid van veranderingen maakt het voor compliancefuncties in de verzekeringssector lastig te sturen. Derhalve is het van belang om in kaart te brengen in hoeverre de theorie en praktijk van elkaar verschillen, hoe men hierop anticipeert en hoe dit wellicht nader tot elkaar gebracht kan worden. Hiervoor is onderzoek nodig. Aangezien de master Verzekeringskunde grotendeels gericht is op de verzekeringssector en ik werkzaam ben in deze sector zal specifiek onderzocht worden of en in hoeverre de inzichten vertaald en toegepast kunnen worden bij verzekeraars.

Door resultaten uit de literatuur over de bijdrage van hard en soft controls te toetsen in de praktijk, tracht dit onderzoek zicht te krijgen op de relevantie van deze controls voor de

compliancefunctie in de verzekeringssector. Het onderzoek levert daarmee een bijdrage aan de vergroting van de wetenschappelijke kennis over de werking van controls, specifiek hard en soft controls, als beheersmaatregel voor compliance.

1.2 Doelstelling

Diverse ontwikkelingen van de afgelopen 10 jaar, zoals de financiële crisis met een gebrek aan vertrouwen tot gevolg, technologische vernieuwingen, maar ook de affaires van Rabobank, DSB en recentelijk ING, hebben grote impact op de compliancefunctie en zorgen voor onrust en onzekerheid. Uit de literatuur blijkt dat organisaties hier verschillend mee omgaan. Meningen van deskundigen lopen nogal uiteen over hetgeen de beste werkwijze is om te komen tot een organisatie die volledig compliant is. Uitgangspunt hierbij is dat deze werkwijze bestaat uit een combinatie van hard en soft controls. Wat de juiste ‘control-mix’ is, is niet duidelijk. Het is daarom van belang om inzicht te creëren in de gevolgen van de verandering voor compliance op het uitvoeren van hard en soft controls binnen de verzekeringssector.

1.3 Vraagstelling

Zoals beschreven bij de achtergrond en aanleiding van dit onderzoek is er behoefte aan duidelijkheid omtrent de manier waarop compliance in een verzekeringsorganisatie geborgd kan worden. Een manier om dit te bewerkstelligen is het uitvoeren van controls. Onduidelijk is hoe deze controls gedefinieerd en toegepast moeten worden. Om inzicht te verschaffen in het bovenstaande is de volgende centrale vraag geformuleerd:

“In hoeverre dragen hard en soft controls bij aan de uitvoering van de compliancefunctie anno 2018 binnen de verzekeringssector?”

Om de centrale vraag te kunnen beantwoorden, zijn de volgende subvragen geformuleerd: Theorie: Wat draagt bij aan de uitvoering van de compliancefunctie?

Wat betekent compliance en welke ontwikkelingen heeft de compliancefunctie de afgelopen jaren doorgemaakt?

Wat zijn (hard en soft) controls?

In hoeverre is er een verschuiving waarneembaar tussen hard en soft controls? Wat is de toegevoegde waarde van de ISO-richtlijn 19600?

Welke rol speelt cultuur, gedrag en integriteit in relatie tot compliance? Wat zijn volgens de literatuur de belangrijkste key factoren?

Praktijk: Hoe wordt in de praktijk invulling gegeven aan de compliancefunctie?

Herkent en erkent men de conclusies van reeds uitgevoerde onderzoeken van deskundigen?

Hoe wordt in de (dagelijkse) bedrijfsvoering invulling gegeven aan soft controls? Wat zijn volgens de professionals de belangrijkste veranderingen en key factoren in de

praktijk?

Maakt men gebruik van instrumenten om soft controls uit te voeren en te monitoren? Wordt in de praktijk een verschil ervaren tussen de verzekeringssector en overige

financiële sectoren ten aanzien van het uitvoeren van soft en hard controls? Wordt het gewenste effect bereikt?

Analyse: In hoeverre komt theorie en praktijk overeen?

Wat zijn de resultaten van het literatuuronderzoek? Wat zijn de resultaten van het praktijkonderzoek?

Wat zijn de overeenkomsten en verschillen tussen theorie en praktijk?

1.4 Onderzoeksmethodiek

Voor de beantwoording van de centrale vraag wordt gebruik gemaakt van een literatuuronderzoek, praktijkonderzoek en een uitgebreide analyse van de vergaarde resultaten van deze onderzoeken. Dit is schematisch weergegeven in onderstaand onderzoeksmodel, volgens de Theorie-Praktijk-Analyse (TPA) methodiek.

Het literatuuronderzoek richt zich in eerste instantie op het inventariseren van de ontwikkelingen die de compliancefunctie de afgelopen jaren heeft doorgemaakt ten aanzien van hard en soft controls. Deze ontwikkelingen en de relevante kaders die door professionals in de literatuur worden gegeven zijn van belang om de gevolgen voor de compliancefunctie anno 2018 te kunnen bepalen. Hierbij komen onder andere relevante wet- en regelgeving en richtlijnen en aanbevelingen van de

toezichthouders DNB en AFM aan bod. Ook wordt een link gelegd met de ISO-richtlijn 19600 en de Systematische Impact Risico Analyse. Daarnaast is onderzocht welke rol cultuur, gedrag en integriteit spelen in relatie tot compliance. In het literatuuronderzoek zijn tevens resultaten van reeds

uitgevoerde onderzoeken en analyses op dit gebied meegenomen. Hierbij is met name gekeken naar relevante key factoren die worden genoemd en van belang zijn voor de uitvoering van de

compliancefunctie.

Deze informatie is relevant voor de rest van het onderzoek om enerzijds een volledig en eenduidig beeld te scheppen van gebruikte definities en anderzijds om inzicht te krijgen in de huidige positie en de van belang zijnde criteria voor de uitvoering van de compliancefunctie.

Het praktijkonderzoek bestaat uit het afnemen van diepte interviews en betreft een kwalitatief onderzoek. Het houden van interviews geeft de mogelijkheid om informatie te verkrijgen van compliance professionals die dagelijks inzicht hebben in de praktijk situatie, informatie die niet in openbare bronnen te verkrijgen is. Het geeft tevens de mogelijkheid om specifieke vragen nader toe lichten en meer diepgang te bereiken waar dit noodzakelijk wordt geacht voor de uitvoering van dit onderzoek. Ten aanzien van de aard van de respondenten is gekozen voor een zo breed mogelijk scala aan compliance professionals om zo een volledig mogelijk beeld te kunnen schetsen van de praktijksituatie.

De interviews beginnen met een algemene introductie van de respondent, want het is van belang om te weten welke functie deze persoon vervult en bij welke organisatie hij of zij werkzaam is om de antwoorden in perspectief te kunnen plaatsen. In het tweede deel van de interviews wordt ingegaan op resultaten van het literatuuronderzoek. Nagegaan wordt in hoeverre deze resultaten ook in de praktijk worden herkend en erkend. Vervolgens worden de ervaringen en meningen van compliance professionals ten aanzien van soft controls in kaart gebracht. Hierbij komt het eventueel gebruik van instrumenten en methodieken aan bod. Deze informatie is belangrijk om een vergelijking te kunnen maken tussen theoretische modellen en de toepasbaarheid daarvan in de praktijk. Ook wordt nagegaan of er een onderscheid wordt ervaren tussen de verzekeringssector en overige financiële sectoren. Er wordt afgesloten met de vraag of het effect dat organisaties voor ogen hebben bij het uitvoeren van soft controls wordt bereikt.

In de analyse wordt een vergelijking gemaakt tussen de resultaten uit de theorie en praktijk. Hiervoor wordt antwoord gegeven op in paragraaf 1.3 gedefinieerde subvragen. De overeenkomsten en verschillen worden inzichtelijk gemaakt. Hierbij wordt een onderscheid gemaakt tussen positieve, negatieve en overige resultaten.

Middels de omschreven aanpak van theorie, praktijk en analyse wordt een antwoord gegeven op de centrale vraag. Hiermee wordt de doelstelling van dit onderzoek gerealiseerd.

1.5 Leeswijzer

Deze leeswijzer geeft inzicht in de opbouw van deze scriptie. De scriptie is verdeeld over vijf hoofdstukken.

In hoofdstuk 2 wordt ingegaan op de theorie achter enkele begrippen die centraal staan in dit onderzoek. Dit zijn achtereenvolgens; compliance en de compliancefunctie, (hard en soft) controls, de ISO richtlijn 19600, SIRA, cultuur, gedrag en integriteit en als laatste worden trends en ontwikkelingen aan de resultaten van eerder uitgevoerde onderzoeken beschreven.

In hoofdstuk 3 staat het praktijkonderzoek centraal. Het hoofdstuk begint met een omschrijving van het doel en soort onderzoek. Vervolgens wordt de opzet van het onderzoek toegelicht en geselecteerde respondenten die hebben deelgenomen aan de interviews. Daarna worden de resultaten uitgebreid omschreven. Per vraag wordt een samenvatting van het antwoord van de respondenten gegeven. In een aparte paragraaf wordt ingegaan op de ontvangen informatie over de ISO 19600 Compliancemanagementrichtlijn en het cultuurhuis van DNB. Overig verkregen relevante input uit de interviews, zijnde de Golden Circle en Levers of Controls, is opgenomen in paragraaf 3.5.4 van dit hoofdstuk.

Hoofstuk 4 beschrijft de resultaten van zowel het literatuur- als het praktijkonderzoek. De subvragen, zoals deze in paragraaf 1.3 zijn geformuleerd, worden in dit hoofdstuk beantwoord. Deze antwoorden worden met elkaar vergeleken waarbij overeenkomsten en verschillen worden

beschreven.

Het laatste hoofdstuk bestaat uit de conclusie en aanbevelingen. De conclusies beschrijven nogmaals kort de uitkomst van het literatuuronderzoek, praktijkonderzoek en de analyse. Daarnaast

worden in deze paragraaf de beperkingen benoemd en de onderzoeksvraag beantwoord. Ten slotte worden in paragraaf 5.2 de aanbevelingen behandeld.

2. Literatuuronderzoek

2.1 Inleiding

Dit hoofdstuk begint met een introductie in het begrip compliance en geeft een globale schets van de ontwikkelingen rondom de compliancefunctie. Daarnaast wordt in deze context in paragraaf 2.3 de betekenis van hard en soft controls toegelicht. Paragraaf 2.4 beschrijft de ISO

Compliancemanagement richtlijn 19600 die net als de Systematische Impact Risico Analyse in

paragraaf 2.5, mogelijke handvaten biedt bij de uitvoering van de compliancefunctie. In paragraaf 2.6 wordt uitgebreid ingegaan op cultuur, gedrag en integriteit. Trends en ontwikkelingen op basis van eerder uitgevoerde onderzoeken en analyses zijn opgenomen in paragraaf 2.7. Ten slotte wordt in paragraaf 2.8 een samenvatting gegeven van de resultaten en antwoord gegeven op de centrale vraag op basis van het literatuuronderzoek.

2.2 Introductie compliance

Hoewel er geen eenduidige definitie van het begrip compliance is, wordt door het Nederlands Compliance instituut de compliancefunctie als volgt gedefinieerd: ‘de functie die in de meest algemene zin toeziet of door de leiding wordt toegezien op naleving van wet- en regelgeving die te maken heeft met de bevordering en handhaving van de integriteit van een onderneming en haar medewerkers met als doel compliancerisico’s en integriteitsrisico’s te beheersen en eventueel daaruit voortvloeiende schade te voorkomen dan wel te beperken’. Onder compliancerisico wordt verstaan; gevaar voor aantasting van de reputatie of bestaande of toekomstige bedreiging van vermogen of resultaat van een financiële onderneming als gevolg van een ontoereikende naleving van hetgeen bij of krachtens enig wettelijk voorschrift is voorgeschreven (2009, p.13). Ofwel het risico dat het verlenen van financiële diensten niet gebeurt omdat de belangen van de betrokken partijen niet voldoende zijn beschermd (Hoegen en Korteweg, 2014).

De compliancefunctie is onderhevig geweest aan een behoorlijke evolutie de afgelopen 30 jaar. Nadat men rond 1990 werd geconfronteerd met een serie beursschandalen werd de term

‘compliance’ steeds bekender. De compliancefunctie bestond echter eenvoudigweg uit het toetsen van de werkzaamheden van financiële ondernemingen aan de geldende wet- en regelgeving. Door de

financiële crisis heeft de compliancefunctie in de verzekeringssector een grote ontwikkeling

doorgemaakt. De functie is sindsdien sterk gereguleerd en is het toezicht geïntensiveerd. Hierbij kan bijvoorbeeld worden gedacht aan de implementatie van de Corporate Governance Code en diverse toezichtwetten, zoals de Wet toezicht verzekeringsbedrijf (Wtv) en Wet financiële dienstverlening (Wfd). Compliance werd sindsdien gezien als het voldoen aan relevante wet- en regelgeving.

De inwerkingtreding van de Wet op het financieel toezicht (Wft) in 2007 heeft ook een grote impact gehad op de compliancefunctie. Aanleiding voor de introductie van de Wft was de

reorganisatie van het financiële toezicht. De oorspronkelijke sectorale indeling van het toezicht is sindsdien gewijzigd in een functionele indeling. Deze functionele indeling bestaat uit twee soorten toezicht, namelijk gedragstoezicht (hiervoor is de Autoriteit Financiële Markten (AFM)

verantwoordelijk) en het prudentiële toezicht (hiervoor is De Nederlandsche Bank (DNB) verantwoordelijk). In de Wft en bijbehorende Algemene Maatregelen van Bestuur en de andere regelingen is de compliancefunctie beschreven. Daarnaast heeft er met de invoering van de Wft een verschuiving plaatsgevonden van ‘rule based’ wetgeving naar meer ‘principles based’ wetgeving. Deze principles based wetgeving is er op gericht om kaders te scheppen. De daadwerkelijke

vormgeving van maatregelen en procedures voor een integere en beheerste bedrijfsvoering is aan de onderneming zelf. Dat betekent voor compliance dat zij ten aanzien van risicobeheersing de

organisatie zo moet inrichten dat deze passend is voor de aard, omvang en complexiteit van de onderneming. (Joosen, 2015). Terwijl bij rule based wetgeving gedetailleerd werd voorgeschreven hoe gehandeld moest worden (Creusen en Westen, 2013). De compliancefunctie ziet in deze periode met name toe op de beheersing van de integriteitsrisico’s.

Ook op internationaal niveau wordt nagedacht over de invulling van de compliancefunctie. Om de beheerste bedrijfsvoering binnen de banken te versterken heeft het Bazelse Comité van Bankentoezichthouders (BCBS) in 2005 het document ‘Compliance and the Compliance function in banks’ opgesteld. Het document beschrijft tien principes die de basis moeten vormen voor de inrichting van de compliancefunctie. Ondanks dat het Bazelse Comité gericht is op banken zijn deze principes algemeen van aard en toepasbaar op de financiële sector in het algemeen en daarom ook waardevol voor de verzekeringssector. De principes zijn opgenomen in bijlage 1.

Groep Olivier (2009) bestaande uit een groep compliance professionals, werkzaam binnen en buiten de financiële sector, is van mening dat de beschikbare publicaties en de wet- en regelgeving op het gebied van de invulling van de compliancefunctie nog onvoldoende houvast bieden. Daarom hebben zij de Compliance Position Paper opgesteld. Hiermee trachten zij een versterking van het profiel en de positionering van de compliancefunctie in de bedrijfsorganisatie te bereiken en

de financiële sector als gevolg van de financiële crisis. Aanbevelingen die zij doen in de Position Paper zijn onder andere: de compliancefunctie voert de regie, houdt toezicht en monitort, in de

naamgeving van de compliancefunctie (afdeling) worden ‘ethics’ en ‘compliance’ opgenomen, nauw betrokkenheid bij de strategie van de onderneming ten aanzien van maatschappelijk verantwoord ondernemen, toezien dat het beloningsbeleid past binnen het integriteitsbeleid van de onderneming en verankering van compliance in het beoordelingssysteem. Deze aanbevelingen zijn van belang voor dit onderzoek omdat zij richtlijnen geven voor de inrichting van de compliancefunctie en kunnen daarmee ook bijdragen aan het uitvoeren van hard en soft controls. De volledige omschrijving van de 17 aanbevelingen van Groep Olivier zijn opgenomen in bijlage 2.

Dat integriteit een belangrijk onderdeel vormt in de uitvoering van de compliancefunctie, blijkt ook uit onderstaande literatuur.

Voormalig directeur van DNB, mevr. Kellermann, gaf in het artikel ‘Tien jaar compliance: van afvinklijst naar hoeder van integriteit’ aan dat op moment van publicatie de financiële stabiliteit de rode draad in de taakuitvoering van DNB was en dat de toen heersende vertrouwenscrisis heeft laten zien dat de stabiliteit van de financiële sector een integriteit en morele component heeft. Een

belangrijk aspect van een integriteitsbewuste bedrijfscultuur is dat er niet alleen naar de letter van de wet, maar ook volgens de geest van de wet wordt gehandeld (Alibux, Hage en Wouw, 2011). De financiële crisis heeft duidelijk gemaakt dat strikt toezicht op wetten en regels niet voldoende is om risico’s bij bedrijven tijdig te voorkomen (Beusekom en Raaijmakers, 2011). Gedrag en cultuur worden steeds belangrijker en daarom een van de thema’s die in 2010 bijzondere aandacht krijgt binnen het toezicht van DNB en AFM.

DNB publiceert ‘De 7 elementen van een integere cultuur’, een beleidsvisie voor de periode 2010 tot en met 2014 over de aanpak van gedrag en cultuur bij financiële ondernemingen. Hierin wordt beschreven waarom het belangrijk is om integer gedrag en cultuur in het toezicht van DNB te betrekken.

De AFM is in 2010 begonnen met het traject ‘KlantBelang Centraal’ (KBC). Dit traject richt zich op de inhoud en kwaliteit van het adviesproces en de samenstelling en kenmerken van het productenaanbod. Hierbij is ook een belangrijke rol voor compliance weggelegd. Compliance wordt geacht een interne dialoog te voeren met de business, maar dient daarnaast ook zicht te hebben op de ontwikkelingen in de samenleving, bij toezichthouders en binnen financiële instellingen (AFM, 2013).

Hoeder van waarde creatie is de compliance officer eind 2014 met name door goed in de gaten te houden of de ‘licence to operate’ van de organisatie niet in gevaar wordt gebracht door

non-compliant gedrag. Ten aanzien van de ‘tone at the top’ kan de compliance officer nog wel een steuntje in de rug gebruiken. Met de stroom aan nieuwe en herziene wet- en regelgeving heeft de compliance officer van een financiële onderneming zijn handen vol aan het adviseren (‘hoe worden we compliant?’) en implementeren (Jong, 2014).

In de post-crisis periode is wet- en regelgeving uitgegroeid tot een van de meest kenmerkende aandachtsgebieden binnen de financiële sector. De complexiteit, hoeveelheid en snelheid waarmee de wettelijke verplichtingen tot stand komen is moeilijk op te vangen. Dit heeft tot gevolg dat de rol van compliance aan steeds meer verandering onderhevig is. Het vraagt om een adviseursrol met kennis van zowel de activiteiten van de organisatie, als van de regelgeving. Compliance is er verantwoordelijk voor dat gekozen oplossingsrichtingen juist en proportioneel zijn. Daarnaast worden advies- en communicatievaardigheden steeds belangrijker voor compliancemedewerkers (Til, 2016).

De compliance officer anno 2017 gaat terug naar de business. Die de business begrijpt, meeloopt mee met de business en die het compliancebeleid gaat vertalen vanuit de business. Door met de business mee te lopen, wordt duidelijk wat ze doen, kunnen risico’s worden ingeschat en wordt draagkracht verkregen. De procedures en maatregelen moeten dus ook in de termen van de business worden gegoten en niet in de termen van het recht. Het draait om de vraag; waartoe dient de organisatie? Dat is ook de scope van Compliance, dat is de basis (Sivro en Schoonbeek, 2017).

Kortom, de compliance officer van nu bewaakt naast wet- en regelgeving ook de integriteit van een onderneming. De compliance loopt en denkt mee met de business en heeft als uitgangspunt een principle-based aanpak. In toenemende mate is er vraag naar personen met een niet-juridische achtergrond, zoals bedrijfskundigen of gedragswetenschappers.

2.3 Controls

Gezien de ontwikkelingen op het gebied van compliance in de afgelopen jaren is het als compliance officer belangrijk een goed beeld te hebben van hoe een organisatie ervoor staat. Een manier waarop dit inzicht verkregen en behouden kan worden, is het uitvoeren van controls. (…) Controls zijn de hendels of factoren die gedrag veroorzaken en beïnvloeden. Met behulp van controls kan gewenst gedrag en het maken van de juiste afwegingen en keuzes worden gestimuleerd en kan

ongewenst gedrag en het nemen van verkeerde ‘afslagen’ worden voorkomen (Have, Haverhals en Have, 2013, p. 138).

Om een organisatie zo in te richten dat zij ‘in control’ is, wordt vaak gebruik gemaakt van beheersmaatregelen. Hierbij kan een onderscheid worden gemaakt tussen de zogenaamde hard controls (instrumentele beheersinstrumenten) en soft controls (mensgerichte beheersinstrumenten). Na een korte toelichting op deze begrippen wordt nader beschreven hoe deze toegepast en

meetbaar gemaakt kunnen worden.

2.3.1 Hard controls

Hard controls zijn ‘maatregelen die direct leiden tot zichtbaar ander gedrag of handelingen’ (De Heus en Stremmelaar, 2000). Hard controls betreffen primair de beheersing van systemen, processen en procedures, waarvan de uitkomst moet bevestigen dat alles functioneert zoals ontworpen

(Uiterlinden, 2009). Volgens Aardema en Puts (2008) zijn hard controls gerelateerd aan de processen en activiteiten die men uitvoert; sturing door middel van procesbeheersing en formele structuren, ondersteund door een cultuur van handelen conform protocollen en formele hiërarchische lijnen. Hard controls worden ook vaker cybernetische controls genoemd, waarbij sprake is van een

routinematige, enigszins mechanistische situatie en er sprake is van een minder grote afhankelijkheid van de waarden van de medewerkers van een organisatie (Veld, 2014).

Voorbeelden van hard controls die Sentensor (2017) benoemd in haar whitepaper zijn: competenties, systemen, organisatiestructuur, rapportages, arbeidsvoorwaarden, rollen en taken, verantwoordelijkheden, trainingen en werkinstructies en procuratieregeling. De Kort (2014) schaart in zijn onderzoek afspraken en richtlijnen onder het begrip ‘regels’ en daarmee ook onder hard controls. Volgens de Kort maken regels een organisatie en een samenleving bestuurbaar en beheersbaar. Daarnaast bieden regels houvast en vormen zij een basis voor het maatschappelijke verkeer. Zoals al eerder aangegeven is het aantal regels is in de afgelopen jaren sterk toegenomen. Regels worden veelal gemaakt om ‘in control’ te zijn, om risico’s te beheersen en om zekerheid te verschaffen dat de verantwoording over processen rechtmatig, doelmatig en doeltreffend verloopt. Grote voordelen van het gebruik van ‘hard controls’ zijn onder meer dat de ruimte voor willekeur afneemt en dat iedereen gelijk behandeld kan worden (Codrington, 2011).

Merchant en Van der Stede (2007) benoemen ook nadelen van hard controls. Ten eerste wijzen zij op de kosten van management control systemen, kosten voor de planning en control software en medewerkers. Daarnaast benoemen zij als nadeel het ongewenste gedrag dat door hard

controls kan worden veroorzaakt als de maatstaven niet overeenkomen met de doelstellingen van de organisatie. Bijkomende nadelen kunnen zijn dat men procedures en werkwijzen belangrijker gaat vinden dan het doel waarvoor ze zijn ingesteld en kunnen er langere doorlooptijden ontstaan doordat er bijvoorbeeld eerst toestemming van een leidinggevende nodig is voordat met een volgende processtap mag worden doorgegaan. Wanneer er veel procedures en richtlijnen zijn, kan het voor komen dat mensen uit angst om in strijd met de procedures te handelen, geen initiatief meer vertonen. Het effect van hard controls op medewerkers is dat zij zich gecontroleerd kunnen voelen. Dit kan er weliswaar voor zorgen dat zij zich aan de regels houden, maar het zal niet motiveren tot maximaal presteren. Tevens beperkt men zich vaak tot gemakkelijk meetbare doelstellingen en blijven doelstellingen die lastiger meetbaar zijn, zoals kwaliteit of

klantvriendelijkheid, onderbelicht. Tot slot kunnen hard controls leiden tot het ontduiken van controlemaatregelen door in te spelen op regels en kunnen deze uitnodigen tot datamanipulatie of – vervalsing.

Kaptein (2008) signaleerde dat het niet functioneren van hard controls in wetenschappelijk onderzoek wordt gezien als oorzaak van beursfraudes, boekhoudschandalen en fouten in de rechtmatigheid bij de overheid. Tevens blijkt uit de (financiële) incidenten van woningcorporatie Vestia, Rabobank en Barclays dat enkel het gebruik van hard controls niet voorkomt dat incidenten plaatsvinden (Ouwerker, 2014). Een andere belangrijke oorzaak van mensen die over de schreef gaan zijn de normen en waarden en het reilen en zeilen van de cultuur in organisaties. Goed gedrag van mensen kan niet worden gegarandeerd door uitsluitend het gebruik van systemen, procedures en gedragscodes. Het gaat om betrokkenheid, de juiste intenties en het op een juiste manier omgaan met druk (Kaptein, 2008). Hiermee wordt indirect verwezen naar soft controls, waar in de volgende paragraaf verder op wordt ingegaan.

2.3.2 Soft controls

Naast de in de vorige paragraaf omschreven ‘hard controls’, zijn er ook de zogenaamde ‘soft

controls’. Voor dit onderzoek is het ook van belang vooraf een duidelijk theoretisch kader te schetsen van de betekenis van soft controls. Eerder werd immers al genoemd dat gebruik wordt gemaakt van

beheersmaatregelen (waaronder hard en soft controls) om organisatie zo in te richten dat zij ‘in control’ zijn. Maar wat zijn ‘soft controls’ nu precies?

De definitie van soft controls die door Heus en Stremmelaar (2000) wordt gebruikt is ‘een soft control is een (beheersings)maatregel welke – meer dan ‘hard controls’ – ingrijpt op c.q. appelleert aan het persoonlijk functioneren van medewerkers. Soft controls zijn op te vatten als maatregelen die van invloed zijn op bijvoorbeeld de motivatie, loyaliteit, integriteit, inspiratie en normen en waarden van medewerkers. Soft controls zijn sturings- en beheersingsmaatregelen die erop gericht zijn om gewenst gedag bij medewerkers en management te bevorderen (Lückerath-Rovers, 2011). Roth (2009) vergelijkt hard controls met een routekaart die vertelt wat er zou moeten zijn, soft controls wat er werkelijk binnenin mensen zit. Soft controls zijn de elementen van de bedrijfscultuur en alle soft controls samen bepalen die bedrijfscultuur. Het bestaan van schriftelijke ethische waarden is daarbij niet voldoende. Veel belangrijker is het gedrag van het eigen management. Mulders (2008) spreekt over een systeem van soft controls; het doelmatig geordend samenhangend geheel van beheersmaatregelen die betrekking hebben op het innerlijke van de medewerker en mogelijk tot uiting komen in het arbeidsgedrag van de medewerker.

Voorbeelden van soft controls zijn duidelijkheid van beleid, toepassing van beloning en sancties, onderlinge aanspreekbaarheid op gedrag, voorbeeldgedrag van management, de mate van ondersteuning om doelen te behalen, binnen de regels organisatiedoelen kunnen behalen,

betrokkenheid bij de organisatie en haar doelen en bespreekbaarheid van dilemma’s in relatie tot organisatiedoelen vanuit kernwaarden en grondhouding (Sentensor, 2017).

Organisaties veranderen als gevolg van (de)regulatie, globalisering, digitalisering van informatie en technologische ontwikkelingen. Als gevolg hiervan blijkt ook dat gedrag van medewerkers steeds lastiger te voorspellen is. In 1998 noemde Roth in dit verband al enkele ontwikkelingen die hiertoe bijdragen. Door nieuwe technologie is steeds meer informatie beschikbaar, waardoor medewerkers zelf beslissingen nemen en vanwege de introductie van control modellen is er meer aandacht voor de zachte kant van de organisatie. Een andere ontwikkeling is de verdergaande automatisering. Als gevolg van deze ontwikkelingen worden kritische beslissingen bij meerdere personen binnen organisaties belegd en ontstaat een verplatting van de organisatie. Dit impliceert een verregaande delegatie van bevoegdheden en het stimuleren van ‘zelfsturende teams’.

Met de komst van het risicomanagementmodel COSO2 werd ook steeds meer duidelijk gemaakt dat de ‘zachte aspecten’ van de organisatie en bedrijfsvoering een niet te verwaarlozen rol spelen bij de besturings- en inrichtingsvraagstukken. Uit het COSO-onderzoek bleek bijvoorbeeld al dat juist de lastig te definiëren elementen zoals cultuur, managementstijl, vertrouwen en normen en waarden vaak de aanleiding zijn van de beheersingsproblematiek binnen organisaties en veel minder vaak de ‘harde aspecten’ zoals de bestuurlijke informatievoorziening of de financiële inrichting (Heus en Stremmelaar, 2000).

Door de financieel-economische crisis heeft de aandacht voor regels en procedures bij de bedrijven verder plaatsgemaakt voor de sociale aspecten die ten grondslag liggen aan het integer handelen van hun werknemers, zoals cultuur, vertrouwen, betrokkenheid en loyaliteit (KPMG, 2010). Een organisatie is nu eenmaal geen cv thermostaat, waarbij een technische benadering volstaat. De zachte, sociale factoren vervullen een steeds belangrijkere rol in het bereiken van de doelen (Aardema en Puts, 2008). Door veranderingen op het gebied van deregulering, globalisering, demografie en digitalisering worden organisaties onderworpen aan een steeds hoger tempo aan veranderingen. Gebleken is dat gedrag van medewerkers hierdoor onvoorspelbaar is geworden en daarnaast heeft de praktijk uitgewezen dat boekhoudschandalen en fraude niet uitsluitend door het toepassen van hard controls kunnen worden voorkomen (Veld, 2014).

Soft controls worden soms gezien als maatregelen die het gedrag zouden beïnvloeden. Daarbij denkt men voornamelijk aan de niet-reguliere beheersmaatregelen zoals een gedragscode of een

klokkenluiderregeling. Terwijl dit juist maatregelen zijn die waarneembaar en tastbaar zijn, omdat ze op schrift staan. Soft controls zijn juist niet tastbaar en zitten tussen de oren van mensen of tussen de muren van organisaties. Het gaat om de onderlinge verwachtingen en invloeden en die zijn per definitie ongrijpbaar (Kaptein, 2008).

Geconcludeerd kan worden dat een eenduidige definitie nog niet kan worden gegeven. Duidelijk is wel dat gedragsaspecten een steeds grotere rol als beheersmaatregel van een organisatie gaan spelen. In tegenstelling tot hard controls zijn soft controls minder goed te meten of te sturen, omdat

2

The Committee of Sponsoring Organizations’ (COSO) mission is to provide thought leadership trough the development of comprehensive frameworks and guidance on enterprise risk management, internal control and fraud deterrence designed to improve organizational performance and governance and to reduce the extent of fraud in organizations. http://www.coso.org

zij vooral betrekking hebben op waarden en normen. Belangrijk daarbij is dat voor iedereen helder moet zijn wat deze waarden en normen en/of gewenst gedrag is.

2.4 ISO-richtlijn 19600

Een handvat om deze controls te monitoren zijn geïntegreerd in het Compliance Management Systeem, zoals weergegeven in de ISO- richtlijn 19600:2014. De toegenomen hoeveelheid wet- en regelgeving, incidenten die de afgelopen jaren hebben plaatsgevonden op het gebied van

compliance, maar ook het steeds belangrijker worden om maatschappelijk verantwoord te

ondernemen maakt dat compliance steeds complexer wordt en er in toenemende mate behoefte is aan handvaten.

De Australische Normalisatiecommissie heeft in 2012 een voorstel gemaakt voor een internationale compliance standaardnorm. Nationale normalisatiecommissies zijn vervolgens aangehaakt om te komen tot een internationale norm, zo ook de NEN (Nederlandse Norm). Als resultaat hiervan is in 2014 door de International Organization for Standardization (ISO) de ISO-richtlijn 19600: Compliance management systems – Guidelines gepubliceerd. De ISO 19600 is ontwikkeld in de vorm van richtlijn en niet als een eisenstellende (certificeerbare) norm. Dit om te voorkomen dat er een ongelijk speelveld ontstaat tussen organisaties. Compliance is maatwerk en verschillend per organisatie (Bleker, 2016). Dit verklaart ook direct het onderscheid tussen deze richtlijn en reeds bestaande andere compliance ISO-certificeringen. Kleine en middelgrote bedrijven moeten ook in staat kunnen zijn om oplossingen te evalueren en implementeren die passend zijn bij de behoeften en

mogelijkheden van de onderneming als zodanig en daarnaast helpen bij het bereiken van

onderliggende nalevingsdoelen, in plaats van het creëren van zo’n managementsysteem dat tot een aanzienlijk nadeel zou leiden voor deze bedrijven (Bleker en Hortensius, 2014).

ISO 19600 is bedoeld om organisaties te helpen hun bestaande aanpak van

compliancemanagement te verdiepen en te verbreden. Volgens de NEN (2014) worden richtlijnen

gegeven voor het vaststellen, ontwikkelen, uitvoeren, evalueren, onderhouden en verbeteren van een effectief compliancemanagementsysteem voor alle typen organisaties, ongeacht hun omvang. Daarnaast komen de rollen en verantwoordelijkheden van bestuur, directie, lijnmanagement en medewerkers van een organisatie en de onafhankelijkheid van de compliancefunctie aan bod. De

richtlijn is vervolgens opgedeeld in een aantal eisen, te weten: context van de organisatie, leiderschap, planning, ondersteuning, uitvoering, evaluatie van de prestaties en verbetering.

ISO 19600 kent, net als ISO 31000 (de ISO-norm voor risicomanagement), een op risico gebaseerde benadering. Door het analyseren van de context en de omgeving waarin een organisatie werkt, worden de compliance verplichtingen bepaald. Dit betekent dat de organisatie moet beslissen welke eisen, behoeften en verwachtingen van haar stakeholders worden beschouwd als verplichtingen voor de organisatie en daarom zullen worden nageleefd. Dergelijke beslissingen worden bepaald op basis van het risico (dreiging of kans), de waarschijnlijkheid van voorkomen en de impact van de gevolgen van niet-naleving. Op basis van de beoordeling van het compliance risico, worden mitigerende maatregelen (risicobeheersing) ontworpen en geïmplementeerd evenals methoden en procedures om de effectiviteit van de geïmplementeerde besturingselementen te controleren en evalueren (Bleker en Hortensius, 2014).

Kortom, de richtlijn geeft een set aan handvaten om te komen tot een hoogwaardig en effectief compliancemanagementsysteem. Echter, de daadwerkelijke betrokkenheid dient van de organisatie zelf te komen. De organisatie bepaalt immers nog altijd zelf de inhoud. Als de inhoud niet goed is, geeft de uitkomst van het compliancemanagementsysteem een vertekend beeld. Het materieel op orde hebben van een beheersingskader, wordt met deze richtlijn dus niet per definitie gerealiseerd. Hiermee wordt bevestigd dat de organisatie zelf de verschillende verplichtingen en gerechtvaardigde verwachtingen in kaart moet brengen. Het belangrijkste zijn de activiteiten en transacties van elke dag en het compliance beleid dat in de praktijk wordt gevoerd (Hoff, 2016). Opvallend is dat Mulder (2016) signaleert dat gedrag en cultuur relatief onderbelicht blijven in de compliance richtlijn. Ook Bleker (2016) benoemt dat het teleurstellend is dat de richtlijn niet dieper ingaat op de integriteit van de organisatie. Ze geeft aan dat de richtlijn uitgebreid ingaat op het gedeelte van de leidersrol en daarmee de ‘tone at the top’, maar aan de gedragsnormen wordt weinig aandacht besteed. Om hier meer inzicht in te krijgen, zal dit worden meegenomen in het praktijkonderzoek.

Hoe cultuur en gedrag (aanvullend) gemanaged kunnen worden, wordt in de volgende paragraaf beschreven. Eerst wordt kort ingegaan op de betekenis van de begrippen integriteit, gedrag en cultuur in relatie tot compliance.

2.5 Systematische Impact Risico Analyse

Uit het praktijkonderzoek is gebleken dat organisaties gebruik maken van de Systematische Impact Risico Analyse (SIRA) om integriteitsrisico’s te toetsen. Dit kunnen integriteitsrisico’s zijn als gevolg van organisatieveranderingen, maar er kunnen ook andere redenen zijn waardoor de persoonlijke integriteit van medewerkers en bestuurders onder druk kan komen te staan. In de SIRA moet een financiële instelling hier aandacht aan geven (DNB, 2017).

Diverse financiële instellingen, waaronder een verzekeraar, moeten op grond van art. 10 Besluit prudentiële regels Wft zorgdragen voor een systematische analyse van de integriteitsrisico’s. Integriteitsrisico’s zijn daarbij gedefinieerd als ‘het gevaar voor aantasting van de reputatie of bestaande of toekomstige bedreiging van vermogen of resultaat van een financiële onderneming als gevolg van een ontoereikende naleving van hetgeen bij of krachtens enig wettelijk voorschrift is voorgeschreven’.

Een belangrijk uitgangspunt van de SIRA is dat risico’s niet statisch zijn. Organisaties

veranderen continue en daarmee ook de risico’s waar organisaties aan worden blootgesteld. Om te kunnen anticiperen op deze veranderingen en mogelijke integriteitsrisico’s is het van belang dat de SIRA onderdeel is van de dagelijkse bedrijfsvoering (KPMG, 2018). Dat betekent ook dat het een cyclisch proces is; de inventarisatie, analyse en de (toetsing van de effectiviteit van de) beheersing moet periodiek worden doorlopen (DNB, 2015).

Daarnaast geeft DNB in de gebruikersgids voor de integriteitsrisicoanalyse die zij hebben geschreven, aan dat veel instellingen gebruik maken van dikke procedureboeken en maatregelen om integriteit te borgen. Ook de wet eist tal van procedures en maatregelen, waardoor de schijn van risicobeheersing kan ontstaan en met name wanneer deze niet zijn gebaseerd op daadwerkelijke risico’s. Het is daarom volgens DNB (2015) van belang dat de risico’s goed worden begrepen om zo procedures en maatregelen effectief in te kunnen stellen. Zonder goed begrip van de aard en omvang van het risico bestaat bij naleven van de procedures het gevaar op ‘afvinkgedrag’.

Conform de gebruikersgids bestaat een integriteitsrisico analyse uit een aantal stappen, dit zijn: Stap 1: de voorbereiding en de risico identificatie (organisatieschets, overzicht mogelijke scenario’s en een inschatting van de kans en impact)

Stap 2: de risicoanalyse (beoordelen van brutorisico’s en beheersingsmaatregelen, het resultaat zijn de netto risico’s)

Stap 3: de bepaling van nettorisico’s en beslissing over te nemen beheersingsmaatregelen (afhankelijk van risk appetite)

2.6 Cultuur, gedrag en integriteit

In essentie gaat het in control zijn van een organisatie altijd om gedrag van medewerkers. Als men er op kan vertrouwen dat medewerkers altijd datgene doen wat het beste is voor de organisatie is er geen behoefte aan het uitvoeren van controls. Medewerkers vertonen echter lang niet altijd gewenst gedrag.

Zoals in paragraaf 1 aangegeven neemt de scope van compliance enorm toe door het toevoegen van integriteit, gedrag en cultuur aan het domein van de compliance officer. Compliance officers dienen te beschikken over de basale kennis van deze vakgebieden om risico’s te herkennen en adequate voorstellen te kunnen doen om deze risico’s te mitigeren en te beheersen (Schoone, 2017).

Cultuur, gedrag en integriteit kunnen op verschillende manieren worden geïnterpreteerd en behoeven daarom enige toelichting in de context van dit onderzoek.

Cultuur

In een cultuur staan vaak normen en waarden centraal. Normen geven verwachtingen weer, want ze zeggen of iets wel of niet mag; het zijn positieve en negatieve gedragsvoorschriften (De Man, 2009). Volgens Huisman (2001) bepaalt het geheel van normen en waarden het morele karakter van een onderneming. Barney (1986) stelt dat een organisatiecultuur wordt gezien als een complexe set van waarden, overtuigingen, aannames en symbolen die gezamenlijk de manier bepalen van hoe een organisatie haar taken regelt.

Verder blijkt uit onderzoek van Rashid, Sambasivan en Johari (2003) dat organisatiecultuur invloed heeft op de mate van commitment van de medewerkers binnen een organisatie. Hoe hoger de mate van commitment is, hoe groter de bijdrage is aan het succes van de organisatie. Om hier voordelen uit te halen zal een manager zich moeten verdiepen in de organisatiecultuur van de organisatie die hij aanstuurt.

Cultuur en gedrag zijn onlosmakelijk met elkaar verbonden. Cultuur wordt gevormd door het handelen van mensen, de patronen daarin en de betekenis die daaraan door de organisatie wordt gegeven. Mensen hebben de natuurlijke neiging hun gedrag aan te passen aan de dominante

stroming in een bedrijf (Beusekom en Raaijmakers, 2011). Door Beusekom en Raaijmakers wordt ook de link gelegd met de visie van toezichthouders op de cultuur van een onderneming. Ze concluderen dat het door de afstand tussen onderneming en toezichthouder lastig is een goed beeld te krijgen van de cultuur van een onderneming. Daarom kijken ze vaak naar de signalen die een onderneming afgeeft, zo kunnen zij gericht bepalen bij welke ondernemingen het grootste risico op problemen bestaat. Door de financiële crisis is nog eens benadrukt dat betrouwbaarheid niet alleen een bedrijfseconomische, maar ook een integriteitscomponent heeft. Een integere cultuur is er een waarin gehandeld wordt op een wijze die uitlegbaar en verantwoord is. Daarbij wordt niet alleen naar de letter, maar ook naar de geest van de wet gehandeld. Van grote invloed op het gedrag en de cultuur bij instellingen is of de beleidsbepalers bij de instellingen voldoen aan wat verwacht mag worden ten aanzien van hun deskundigheid en integriteit (De Nederlandsche Bank, 2010).

Integriteit

Integriteit heeft te maken met de manier waarop binnen een organisatie wordt omgegaan met mensen, middelen, collega’s en afnemers. Integriteit gaat over professionele verantwoordelijkheid en is terug te vinden in de structuur en cultuur van een organisatie (Nederlands Compliance Instituut, 2009). Smit en Sivro (2016) beschrijven integriteit als de na te streven waarde die geldt als

oriëntatiepunt voor alles wat eenieder in een organisatie doet, namelijk gedrag. Dit betekent dat de compliance officer zich ook moet richten op gedrag. Deze omschrijving sluit aan bij Bleker (2013) die beschrijft dat compliance gaat om het bevorderen van een bepaald gedrag, waarmee de integriteit van de organisatie beschermd wordt en de mogelijke risico’s die ongewenst gedrag met zich meebrengt, beheerst worden. Compliance ziet toe op gedrag en streeft naar een bepaalde cultuur binnen de organisatie waarin het gewenste gedrag de leidraad is. Kortom, compliance refereert rechtstreeks naar een gewenste, integere cultuur.

Op basis van bovenstaande kan worden geconcludeerd dat integriteit, gedrag en cultuur nauw met elkaar verbonden zijn. Het gedrag van een medewerker wordt mede bepaald door de structuur en cultuur binnen een organisatie en de cultuur heeft te maken met waarden en normen. Waarden en normen zeggen iets over iemands (karakter)eigenschap en of iets eerlijk en oprecht is, oftewel integer.

Echter, niet iedereen is altijd integer. Medewerkers vertonen lang niet altijd gewenst gedrag. Volgens Merchant en Van der Stede (2007) zijn hiervoor drie soorten oorzaken te benoemen:

 Gebrek aan richting: medewerkers weten simpelweg niet wat in een bepaalde situatie gewenst gedrag is.

 Motivatie problemen: medewerkers streven behalve organisatiedoelen ook persoonlijke doelen na.

 Persoonlijke beperkingen: medewerkers zijn voor een bepaalde taak niet goed getraind, hebben te weinig competenties of ervaring.

Simons (1995) noemt als oorzaak het voorkomen van zogenaamde “organizational blocks”. Dit zijn er volgens hem vier:

 medewerkers begrijpen de strategie en de richting van de organisatie niet;

 medewerkers ervaren prestatiedruk en verleiding;

 medewerkers hebben een gebrek aan middelen om het werk te doen of het ontbreekt aan een duidelijke focus om het doel te bereiken;

 medewerkers falen om te innoveren omdat zij een gebrek aan middelen hebben of omdat ze geen risico durven te nemen.

Er is al veel onderzoek verricht naar het managen, inrichten of beïnvloeden van cultuur. Een onderzoek waar vaak naar wordt gerefereerd in de literatuur (bijvoorbeeld door Mulder (2016) en KPMG (2016)) als het gaat om het beïnvloeden van gedrag is het onderzoek dat door Muel Kaptein is uitgevoerd aan de hand van 150 casestudies bij bedrijven waar non-compliant gedrag plaatsvond. Dit onderzoek heeft geresulteerd in zeven organisatiefactoren die het gedrag van mensen verklaren. Omdat deze 7 organisatiefactoren een belangrijk onderdeel vormen van dit onderzoek worden deze hieronder kort toegelicht.

1. Helderheid voor medewerkers over wat gewenst gedrag is en wat de verwachtingen van de organisatie zijn. Hoe helderder de verwachtingen op individueel niveau, des te beter mensen begrijpen wat ze moeten doen.

2. Voorbeeldgedrag van bestuur, hoger management en direct leidinggevenden op het gebied van integer gedrag en door waarde te hechten aan compliance gerelateerde doelen. Hoe beter het voorbeeld, des te beter mensen zich gedragen.

3. Uitvoerbaarheid van doelen, verantwoordelijkheden en taken door deze te delegeren aan medewerkers die voldoende kennis en vaardigheden hebben. Hoe meer mensen beschikken over de juiste kennis en kunde, des te beter ze kunnen doen wat van hen wordt verwacht.

4. Betrokkenheid van bestuur, management en medewerkers met de organisatie. Hoe meer de organisatie mensen met respect behandelt en ze bij de organisatie betrekt, des te meer mensen hun best doen om de belangen van de organisatie te behartigen.

5. Transparantie van het gedrag binnen de organisatie. Hoe beter het gedrag kan en het gevolg daarvan kan worden waargenomen, des te beter men in staat is om het eigen gedrag aan te passen aan de verwachtingen van anderen.

6. Bespreekbaarheid van vraagstukken op het gebied van compliance en integer gedrag. Hoe meer ruimte mensen hebben om te praten over morele kwesties, des te meer zij dit zullen doen en ze hierbij leren van anderen.

7. Handhaving door integer gedrag te belonen en niet-integer gedrag te straffen. Hoe beter de handhaving, des te meer mensen zullen neigen naar wat wordt beloond en vermijden wat wordt bestraft.

Met het meten van deze zeven organisatiefactoren kan er een goed beeld worden gevormd van het ethische gedrag binnen een organisatie en het effect daarvan op de bedrijfsvoering (Veld, 2014). Hoe prominenter deze factoren in een organisatie aanwezig zijn, des te groter is de kans op gewenst gedrag en des te kleiner de kans op risico’s en incidenten (KPMG, 2016).

DNB beschrijft eveneens zeven elementen, deels gebaseerd op bovenstaande

organisatiefactoren van Muel Kaptein, die een onderneming dient mee te nemen om integer gedrag (in de zin van verantwoordelijkheid nemen en verantwoording afleggen) te verankeren in de

bedrijfscultuur. Zij hebben dit visueel weergegeven middels onderstaande figuur, het cultuurhuis. Daarbij zijn evenwichtigheid en consistent handelen de belangrijkste pijlers om te komen tot integer gedrag en vormen de overige vijf elementen het fundament dit te bereiken.

Onder integere cultuur verstaat DNB (2009) een cultuur waarin de professionele en individuele verantwoordelijkheid gestimuleerd en beloond wordt; een cultuur waarin gehandeld wordt conform de geest van de wet. DNB geeft ook per element enkele voorbeelden van activiteiten die financiële ondernemingen kunnen verrichten om de weergegeven zeven elementen van een integere

bedrijfscultuur te bevorderen. Voorbeelden die onder andere worden gegeven zijn: self-assessments, dilemmatraining, medewerkerstevredenheidsonderzoek, bevorderen diversiteit, HR-beleid,

bereidheid transparantie te geven, belonen en feedback geven.

2.7 Trends en ontwikkelingen (o.b.v. onderzoeken en analyses van

deskundigen)

Bij de analyse van de ‘markt’ van de compliancefunctie is het ook van belang om de resultaten van reeds uitgevoerde onderzoeken mee te nemen. Ook zijn er diverse compliance deskundigen die in de media hun kijk geven op de organisatie en inrichting van compliance. Juist omdat compliance zo verschillend kan zijn per organisatie en denkwijze is het belangrijk om een zo breed mogelijk scala aan informatie te vergaren. De voor dit onderzoek meest relevante conclusies en aanbevelingen worden hieronder kort omschreven.

Zoals al eerder kort aangestipt is in 2009 door een aantal compliance professionals, genaamd Groep Olivier, een Compliance Position Paper opgesteld. In deze paper geven zij 17 aanbevelingen die

bijdragen aan verandering, het versterken van het profiel en de positionering van compliance. Deze aanbevelingen trachten compliance en maatschappelijk relevante normen en waarden meer in te bedden in organisaties en niet-integer gedrag te voorkomen. De 17 aanbevelingen zijn opgenomen in bijlage 2.

Onderzoek dat in 2016 werd uitgevoerd door het Risk & Compliance platform in

samenwerking met Michael Page en House of performance wees uit dat je compliance niet alleen kunt bereiken door de implementatie van regels, maar dat de verandering van cultuur en gedrag hierbij steeds belangrijker worden. Als belangrijkste randvoorwaarden worden genoemd het van te voren nadenken over hoe gewenst gedrag moet worden gedefinieerd en vervolgens hoe de

beloningsstructuur eruit ziet, met name op het vlak van consequenties. Hierbij is de rol van HR en topmanagement een belangrijk aandachtspunt en dan met name de samenwerking met compliance.

Sentensor (2017) presenteert in haar whitepaper drie inzichten om succesvol grip te krijgen op houding en gedrag binnen compliance management. Het eerste inzicht geeft aan dat houding en gedrag ten opzichte van een compliance initiatief grotendeels worden bepaald vanuit welke context en met welk perspectief mensen een initiatief beschouwen. Afhankelijk van dit perspectief is het zinvol om een aanpak te bepalen. Ten tweede is het van belang om bij succesvol compliance

management rekening te houden met onderliggende oorzaak-gevolg verbanden tussen hard en soft controls en om deze verbanden te gebruiken als middel om gericht per team de juiste dialoog aan te gaan. Het laatste inzicht adviseert om een op feiten gebaseerde en oplossingsgerichte dialoog te voeren over nieuwe richtlijnen en standaarden in plaats van een discussie. Dit proces wordt ondersteund door alle stakeholders te betrekken en hen feitelijke inzichten te geven waar ze staan ten opzichte van elkaar enerzijds en ten opzichte van het compliance initiatief anderzijds. Het doel van een dergelijk dialoog is een voortdurende aanscherping, verbetering en verfijning van de context en percepties van managers en medewerkers.

Aanbevelingen die Drechsler e.a. (2012) doen in hun onderzoek naar het toepassen van soft controls in publieke en non-profit organisaties zijn: gebruik óók soft controls, laat vertrouwen de basis zijn, koppel scholings- en trainingsprogramma’s aan strategische doelstellingen, geef aandacht aan het bespreken van dilemma’s, maak de leidinggevende bewust van zijn of haar voorbeeldrol, betrek medewerkers om motivatie te activeren, gebruik een heldere strategie en pas het

ordeningsprincipes van Hofstede toe.

Door het Nederlands Compliance Instituut is tussen december 2011 en mei 2012 onderzoek gedaan naar de rol van de compliance officer bij de aandacht voor cultuur in financiële

ondernemingen in Nederland. Hiervoor hebben zij gebruik gemaakt van de aanpak van DNB ten aanzien van gedrag en cultuur, de zeven elementen van het cultuurhuis en de standpunten van de

AFM met betrekking tot ‘Klantbelang centraal’. Ten aanzien van het cultuurhuis hebben zij geconcludeerd dat de onderzochte ondernemingen de grootste risico’s lopen op de elementen voorbeeldgedrag, bespreekbaarheid en uitvoerbaarheid. Het onderzoek heeft geresulteerd in een aantal tips en suggesties om cultuur te borgen in organisaties. Hieronder enkele voorbeelden:

 Inventariseren in hoeverre cultuur al is geadresseerd;

 Risico-elementen die verboden zijn aan een cultuur opnemen in de compliancerisicoanalyse;  Gebruik maken van bestaande kennis uit bijvoorbeeld het cultuurhuis van DNB;

 Vraag externe hulp bij het inventariseren van eigen cultuur;  Zie cultuur als een voortdurende activiteit en niet als een project;

 De compliance officer wijst de organisatie en het bestuur op de compliance-risico’s die verbonden zijn aan de organisatiecultuur.

In 2014 was er veel aandacht voor het herstel van vertrouwen in de financiële sector. De compliance officer kan hierbij een belangrijke rol vervullen. Het artikel ‘Compliance Officer: stap uit de schaduw van de regels’, betreft het resultaat van het samenvoegen van het onderzoek dat Hoegen en Korteweg hebben uitgevoerd. Ondanks dat deze onderzoeken zijn gericht op het (her)winnen van vertrouwen en de rol van de compliance officer in het klimaat destijds, wordt er ook waardevolle input gegeven voor de compliancefunctie anno 2018. Zo wordt er in het artikel beschreven welke stappen de compliancefunctie zou moeten nemen om binnen een organisatie vertrouwen te krijgen in andere organisatieonderdelen. Tussen de complianceafdeling en de andere afdelingen heerst namelijk vaak een spanningsveld. . De eerste noodzakelijke stap is om bij de business te gaan zitten, zodat men meer openstaat en kan meedenken met de business. Een andere belangrijke stap is om actief mee te denken in de manier waarop de organisatie haar klanten nog beter kan bedienen. De compliance officer moet de ratio achter bepaalde zaken (kunnen) uitleggen in plaats van uitsluitend regels op te leggen en beleidsstukken en processen te verspreiden. Compliance moet actief

meedenken bij de implementatie van beleid.

In deze context worden ook een aantal elementen beschreven die kunnen bijdragen aan een gemeenschappelijk kader tussen compliance en legal, risk management, de organisatie zelf en de interne auditafdeling. Een van de elementen is het implementeren van een organisatie brede standaard voor risicomonitoring en risicobeheer. Daarnaast wordt het ontwikkelen van een gezamenlijke services-aanpak genoemd om de samenwerking te verbeteren. Ook is voortdurende ontwikkeling en het delen van effectieve maatregelen of oplossingen om de business en andere afdelingen te ondersteunen van belang. Een laatste element is het opstellen van een

gemeenschappelijk regelgevingskader om ook toekomstige veranderingen in regelgeving te kunnen beheren en te kunnen combineren.

Op basis van deze onderzoeken kan worden geconcludeerd dat het belangrijk is om van te voren een heldere strategie te definiëren en inzichtelijk te maken wat gewenst gedrag is en vanuit welke context en perspectief dit gezien moet worden. Daarnaast is het van belang dat leidinggevenden een voorbeeldrol vervullen, medewerkers worden betrokken en compliance dicht bij de business zit. Ten slotte zijn de beloningsstructuur, handhaving en de daaraan gekoppelde consequenties van belang bij de inrichting van compliance.

De genoemde aanbevelingen worden meegenomen bij het praktijkonderzoek.

2.8 Samenvatting

De evolutie van de compliancefunctie heeft ertoe geleid er een verschuiving heeft plaatsgevonden van uitsluitend het toetsen aan de geldende wet- en regelgeving naar een aanpak die meer gericht is op het gedrag en de cultuur bij een financiële onderneming. De compliance officer staat nu, meer dan voorheen, kort bij de business en vervult een adviseursrol die oplossingen aandraagt die proportioneel en passend zijn voor de betreffende organisatie.

Door het uitvoeren van controls kan inzicht worden verkregen in de stand van zaken van een organisatie. Met behulp van controls kan gewenst gedrag en het maken van de juiste afwegingen en keuzes worden gestimuleerd en kan ongewenst gedrag worden voorkomen. Om een organisatie zo in te richten dat zij in control is, wordt gebruik gemaakt van hard controls en soft controls. Op basis van het literatuuronderzoek zijn in onderstaand overzicht de belangrijkste kenmerken,

organisatiefactoren en beheersmaatregelen van hard en soft controls weergegeven.

Hard controls Kenmerken Hard controls Organisatiefactoren Hard controls Beheersmaatregelen Soft controls Kenmerken Soft controls Organisatiefactoren Soft controls Beheersmaatregelen Routinematig Organisatiestructuur Processen en procedures Cultuur Helderheid Gedragscode Mechanische situaties Competenties Systemen Onze manieren Voorbeeldgedrag Klokkenluidersregeling Weinig afhankelijkheid Rollen en taken Interne controle Geweten Betrokkenheid Awareness sessies Formele structuren Verantwoordelijkheden Fysieke beveiliging Klimaat Transparantie Trainingen Protocollen IT generieke controls Impliciete regels Bespreekbaarheid

Hierarchische lijnen Toezicht Normen en waarden Handhaving Rapportages en vastleggingen Motivatie

Individuele beloningssystemen (arbeidsvoorwaarden) Loyaliteit Werkinstructie Vertrouwen Procuratieregeling

Een handvat om deze controls te monitoren is de ISO-richtlijn 19600:2014. Hierin worden richtlijnen gegeven voor een effectief compliancemanagementsysteem voor alle typen organisaties en worden rollen en verantwoordelijkheden beschreven. Ondanks dat de richtlijn wordt gezien als hulpmiddel om te komen tot een hoogwaardig en effectief compliancemanagementsysteem, wordt ook erkend dat het gedragsaspect onderbelicht is. Daarnaast kan gebruik worden gemaakt van een SIRA om beheersmaatregelen te monitoren en integriteitsrisico’s te toetsen. Uitgangspunt van de SIRA is dat de risico’s niet statisch zijn en de SIRA onderdeel is van de dagelijkse bedrijfsvoering.

Het in control zijn van een organisatie is voor een groot deel afhankelijk van het gedrag van medewerkers. Compliance gaat om het bevorderen van een bepaald gedrag. Hierdoor wordt de integriteit van de organisatie beschermd en worden mogelijke risico’s die ongewenst gedrag met zich meebrengen beheerst. Een integere cultuur is een cultuur waarin gehandeld wordt op een wijze die uitlegbaar en verantwoord is. Ofwel een na te streven waarde die geldt als oriëntatiepunt voor alles wat eenieder in een organisatie doet: gedrag.

Een onderzoek dat door Muel Kaptein is uitgevoerd naar het beïnvloeden van gedrag heeft geresulteerd in 7 organisatiefactoren. Dit zijn; helderheid, voorbeeldgedrag, uitvoerbaarheid, betrokkenheid, transparantie, bespreekbaarheid en handhaving. Met het meten van deze zeven organisatiefactoren kan er een goed beeld worden gevormd van het ethische gedrag binnen een organisatie en het effect daarvan op de bedrijfsvoering. Deze resultaten worden door DNB erkend en vertaald naar 7 elementen die zij hebben weergegeven in het zogenaamde, cultuurhuis.

Gedrag is heel divers en er wordt in de media veel over gesproken, ook in relatie tot compliance. Als onderdeel van het literatuuronderzoek is daarom ook gekeken naar de resultaten van reeds uitgevoerde onderzoeken op het gebied van de compliancefunctie. Hieruit blijkt dat het van belang is om de onderliggende oorzaak-gevolg verbanden tussen hard en soft controls in kaart te brengen, de ratio achter zaken toe te lichten en het dialoog aan te gaan met de business. Compliance moet actief meedenken en een gezamenlijke service-aanpak hanteren. Het delen van effectieve maatregelen of oplossingen om de business en andere functies te ondersteunen zijn belangrijk voor een effectieve inrichting van de functie.

Ten aanzien van de besproken onderwerpen wordt in de literatuur geen onderscheid gemaakt tussen de verzekeringssector en overige financiële sectoren. Daarom wordt als uitgangspunt genomen dat voor de uitvoering van de compliancefunctie, hard en soft controls voor alle financiële sectoren gelijk zijn.