Deze maand verscheen de vierde uitgave van een jaarlijks benchmark onderzoek met input van meer dan 1100 compliance professionals uit 19 landen en diverse industrieën/sectoren (de financiële sector was met 15% ondervertegenwoordigd). Een dergelijk onderzoek helpt jou om jouw programma en de effectiviteit van jullie aanpak te kunnen vergelijken. Ik vat het lijvige rapport (60 pagina’s) voor jou samen.
Het goede nieuws: bijna twee derde van de ondervraagden vonden hun eigen compliance programma (minder dan) gemiddeld of onderontwikkeld: dus genoeg ruimte voor verbetering, ook elders in de wereld.
Hoogtepunten:
*risicoanalyses worden in een kwart van alle gevallen niet bijgewerkt of regelmatig uitgevoerd (doen jullie dat wel?);
*slechts de helft van alle midden- en senior managers vertoont voorbeeldgedrag en een rechte rug zodra het moeilijk wordt (dat is schrikken!);
*ondanks nieuwe Europese wetgeving krijgen melders, meldprocedures, onderzoeksprotocollen en bescherming tegen represailles nog onvoldoende aandacht: waarom hadden we ooit kanaries in de kolenmijnen? Om gas te detecteren. Waarom SpeakUp? Om meldingen te ontvangen over risico’s en ongewenst gedrag! Train jij jouw leidinggevenden al op meldingen ontvangen en het voorkómen en herkennen van represailles?
*wettelijke compliance (‘wij leven de wet na’), privacy en ICT Security worden in 66% van de gevallen als absoluut essentieel gezien voor het compliance programma, tegenover 39% die ook een ethische organisatiecultuur als noodzakelijk aanduidt (we hebben nog een lange weg te gaan en moeten cultuur meer aandacht gaan geven);
*Ongeveer de helft gebruikt ESG-standaarden om rapportages te maken, en speelt inmiddels een belangrijke rol bij het nemen van beslissingen (dat gaat groeien);
*Raden van Bestuur ontvangen in 30% van alle organisaties GEEN rapportages over compliance en integriteit (ook dat is schrikken; welk risico lopen zij…? Indien de Amerikaanse regels van toepassing zijn: zéér grote risico’s – zie daarover mijn eerdere blog: KLIK HIER);
*Indien zij wél rapportages ontvangen, dan vindt 60% van de compliance professionals dat bestuursleden eigenlijk onvoldoende compliance ervaring of inzicht hebben…(aiai);
*slechts 45% gebruikt een cultuur enquête om na te gaan of hun compliance programma wordt begrepen en effectief is (zie mijn blog daarover: KLIK HIER)
*slechts 64% gebruikt root cause analyses en lessons learned bij de eigen en concurrerende organisatie(s) om het eigen programma te evalueren en te verbeteren…(dat lijkt me laaghangend fruit);
*interessant is dat verantwoordelijkheid voor risk en compliance maar in 29% van de gevallen bij Legal ligt, 25% bij een eigen, aparte afdeling, en 21% verdeeld over diverse afdelingen, 5% bij Audit, 4% bij Finance; moraal: compliance is van en voor elke medewerker 😊
*wat zijn de grootste uitdagingen mbt handleidingen: het trainen van medewerkers mbt inhoud (48%), gevolgd door het in lijn met nieuwe wetgeving brengen (40%);
*effectiviteit van het managen van alle handleidingen wordt in 31% van de gevallen helemaal niet gemeten, 29% houdt de jaarlijkse verklaringen bij, 24% gebruikt een quiz aan het einde van e-learnings; maar 43% heeft vervolgens eigenlijk geen oplossing indien medewerkers in de quiz een onvoldoende scoren (bijv. door hen vragen te laten stellen na een training, of extra modules te volgen);
*in 65% van de organisaties zal de komende periode meer aandacht worden gegeven aan het trainen op (seksueel) grensoverschrijdend gedrag en pesten, intimidatie, discriminatie;
*in bijna een derde van alle organisaties wordt nog geen analyse van patronen in meldingen gemaakt (bijvoorbeeld in dezelfde afdeling, of telkens dezelfde vorm van fraude e.d.);
*meer dan een kwart van de organisaties heeft geen externe hotline of een beleid op het gebied van non-represailles (let op en lees de nieuwe wetgeving bescherming klokkenluiders!);
*een derde heeft geen onderzoeksprotocol (zie mijn eerdere blog daarover: KLIK HIER)
*tenslotte (want er is nog heel veel meer, zoals ESG trends, maar ik zou samenvatten): in meer dan 40% van de organisaties worden disciplinaire maatregelen nog niet consistent of eerlijk opgelegd (aiai, dat doet pijn, en ondermijnt de geloofwaardigheid van jouw programma).
Kortom: na het lezen van dit rapport en jouw eigen risicoanalyses kun je jullie prioriteiten voor 2023 en 2024 waarschijnlijk in grote lijnen op papier krijgen (zo niet, dan bel me even, dat is gratis). Werk aan de winkel!
Vindplaats oorspronkelijk NAVEX rapport: KLIK HIER
