De afgelopen maanden heeft NAVEX wereldwijd een enquête uitgevoerd onder duizend Ethics & Compliance Professionals (ECP) en hun collega’s. Hieronder geef ik een samenvatting van de belangrijkste bevindingen. Hopelijk helpt dit onderzoek om jouw eigen programma te benchmarken en biedt onderstaande samenvatting waardevolle input voor jouw programma in 2026.
Kunstmatige intelligentie (AI):
Slechts een derde van de ECP’s is heel actief betrokken bij AI-risicoanalyses en het opstellen van beleid. Een derde is enigszins betrokken, en een derde helemaal niet. AI-technologieën brengen een nieuwe reeks risico’s met zich. ECP’s moeten mijns inziens een plek aan tafel hebben voor het nemen van AI-beslissingen binnen organisaties (samen met Risk en andere disciplines); de ethische inzet van AI en naleving van opkomende regelgeving moeten namelijk worden geadresseerd.
Hebben ze een intern meldmechanisme?
Slechts de helft heeft een intern meldkanaal (‘klokkenluidersregeling’ – vreselijk woord), wat voor mij de grootste schok van deze enquête is! Grotere organisaties scoren beter (69%), en Europese organisaties blijven achter op de Amerikanen (45% versus 59%). En schokkend: minder dan de helft van de respondenten gaf aan dat hun organisatie een non-retaliation beleid had (geen represailles tegen melders). 40% had geen onderzoeksproces of protocol! Ongeveer de helft stond derden niet toe om een melding te maken (klik hier om mijn eerdere blog te lezen waarom dit zo belangrijk is!). En twee derde had geen enkel proces om represailles te detecteren…
(De-)centrale aanpak voor het onderzoeken van meldingen:
67% van de respondenten gaf aan dat hun organisatie een gecentraliseerd programma had mbt compliance-onderzoeken, terwijl daarentegen 23% zei een gedecentraliseerde aanpak te hebben (in het licht van onze Europese wetgeving mbt klokkenluiders is dit een heel interessant cijfer!). Hoe volwassener het ethiek- en complianceprogramma, hoe centraler de onderzoeken worden aangestuurd.
Focusgebieden van E&CP’s:
70% van de respondenten van de wereldwijde compliance-enquête zei dat hun compliance functie “zeer betrokken” was bij risicobeoordeling en -beheer. De focusgebieden waren: datalekken, reputatierisico’s, bestuursbeslissingen, derde partijen leveranciers/onboarding, handel met voorkennis, rechtszaken en overnames.
Periodieke rapportages aan de Raad?
Slechts twee derde van de Raden ontvangt periodieke rapporten over ethiek en compliance (in grotere bedrijven met meer dan tienduizend medewerkers ontvangt 71% die). En slechts de helft heeft toezicht op het ethiek- en complianceprogramma (wat zeer laag is, gezien de richtlijnen van de US Federal Sentencing Guidelines… klik hier om mijn eerdere blog over dit onderwerp te lezen). Ongeveer een derde van alle Raden is echt betrokken, houdt periodieke sessies met E&CP’s en heeft toezicht op risicobeheer en risico-identificatie.
Wordt ethisch gedrag gestimuleerd?
Het goede nieuws is dat 73% van de managers hun medewerkers aanmoedigt om ethisch te handelen, en ongeveer 60% fungeert als rolmodel. Helaas moedigt bijna 10% van de managers onethisch gedrag aan om bedrijfsdoelen te bereiken. Eén op de zes managers heeft zelfs het werk van E&CP’s belemmerd!
Hoe zit het met het managen van derde partijenrisico’s?
Het lijkt erop dat organisaties niet genoeg doen om risico’s met derden te identificeren en te beheersen. Derde partijen worden in ongeveer 55% van de gevallen gescreend op naleving van regelgeving en gegevensbescherming/cybersecurity-risico’s, maar veel minder op financiële gezondheid, export controle en sanctie-risico’s en mensenrechten (respectievelijk 49%, 33% en 33%).
De meeste organisaties hebben enige software/technologie:
En ze gebruiken deze voor het melden van vermoedens van schendingen, trainingsdoeleinden, beleidsdocumenten (policy management), derde partijenrisicomanagement, interne jaarlijkse verklaringen, risicobeoordelingen en analyses.
Deze enquête werd uitgevoerd onder compliance-experts, risicomanagers, ICT-beveiligingsexperts en inkoopdeskundigen, allemaal met kennis van of een link naar ethiek en compliance, uit de VS, VK, Frankrijk, Duitsland, Japan en andere landen.
Hopelijk geeft bovenstaande je voldoende stof tot nadenken. Heb je behoefte aan een audit of benchmark? Of wil je gewoon sparren? Of een kopie van het volledige rapport? Bel me gerust (het is gratis!) 
: 0654914377.
__________________________________________________________
English version:
Benchmark your own program against this annual global survey!
In the past months, NAVEX conducted a survey among one thousand Ethics & Compliance Professionals (ECP) and their colleagues globally. Below I summarize for you the most important findings. Hopefully these will help you to benchmark your own program and give you input for your 2026 program.
AI:
Only a third of the ECP’s are very actively involved in AI risk analyses and policy setting. A third is somewhat involved, a third not at all. These AI technologies introduce a new range of risks. ECP’s need a seat at the table for AI decision making within organizations, along with Risk and other disciplines, to navigate those risks that may include ethical use of AI and compliance with emerging regulations.
Do they have an internal reporting mechanism?
Only about half have an internal reporting channel (‘whistleblowing’), which in my view is the biggest shock of this survey! Larger organizations score better (69%), and European organizations lag behind Americans (45% versus 59%). And shockingly, fewer than half (49%) of respondents said their organization had a non-retaliation policy. 40% did not have an investigation process or protocol! Only about half allowed third parties to make a report (CLICK HERE to read my earlier blog why that is very important!). And two thirds did not have any process to detect retaliation…
(De-)Central approach to investigating Reports:
67% of respondents overall said their organization had a centralized program for day-to-day compliance investigations, with only 23% saying they had a decentralized approach (in view of our European whistleblower protection laws, this is a very interesting statistic!). The more mature the ethics and compliance program, the more centralized investigations are managed.
E&CP’s focus areas:
70% of global compliance survey respondents said their compliance function was “highly engaged” in risk assessment and management. Their focus areas were subsequently: data breaches, reputational risks, board decisions, third party vendor/onboarding, insider trading, litigation and acquisitions.
Periodic Board reports?
Only two thirds of Boards receive periodic reports on ethics and compliance (in larger companies with more than ten thousand employees, 71% of Boards receive them). And only half have oversight over the ethics and compliance program (which is very very low, given the US Federal Sentencing Guidelines…CLICK HERE to read my earlier blog on this subject). About a third of all Boards are really engaged, hold periodic sessions with E&CP’s and have oversight of risk identification and management.
Is ethical behavior encouraged?
The good news is that 73% of managers encourage their direct reports to behave ethically, and about 60% act as role models. Unfortunately, almost 10% encourage unethical behavior in order to achieve business goals. One in six managers have actually impeded E&CP’s to implement their duties!
How about managing third-party risks?
It looks like organizations are not doing enough to identify and manage third-party risk. Yes, third parties are being screened for regulatory compliance purposes and data protection/cybersecurity risks in about 55% of the cases, but far less for financial health, global trade risks and human rights (49%, 33% and 33% respectively).
Most organizations have some software/technology:
And they use it for reporting suspicions of violations, training purposes, policy administration, third party risk management, internal annual disclosures, risk assessments and analytics.
The survey covered compliance experts, risk managers, ICT security and procurement experts, all with knowledge of or a link to ethics & compliance, from the USA, UK, France, Germany, Japan and other countries.
Hopefully the above provides you with enough food for thought. Need an audit or benchmark? Or just a sounding board to discuss? Or a copy of the full report? Call me (it is free of charge!) : 0654914377.
