6. Cultuur en governance: het speelveld van compliance

Begrippen en uitgangspunten

Wie over cultuur en governance spreekt, begeeft zich snel op glad ijs. Begrippen worden vaag gebruikt, normatief ingevuld of gereduceerd tot slogans. Voor compliance is dat riskant. Juist omdat compliance geen abstracte rol vervult, maar opereert binnen organisaties, met reële machtsverhoudingen en belangen, is begripsdiscipline hier geen academische luxe maar een praktische noodzaak.

In dit hoofdstuk worden daarom drie begrippen functioneel afgebakend: cultuur, governance en compliance. Niet om een theoretisch kader te bouwen, maar om scherp te krijgen waar compliance zich feitelijk bevindt en waarom zij daar soms effectief is en soms niet.

Cultuur wordt hier niet opgevat als een set waarden of ambities, maar als het geheel van impliciete normen, routines en verwachtingen dat feitelijk gedrag stuurt. Cultuur blijkt niet uit wat organisaties opschrijven, maar uit wat zij belonen, tolereren of negeren. Wie carrière maakt, wie wordt beschermd bij fouten, wie mag afwijken en wie wordt aangesproken: daarin manifesteert zich de werkelijke cultuur van een organisatie. Voor compliance is cultuur geen instrument en geen project, maar een gegeven realiteit waarbinnen zij haar rol moet vervullen.

Governance wordt in dit hoofdstuk niet benaderd als een organogram of een verzameling reglementen. Governance gaat over de wijze waarop macht, verantwoordelijkheid en tegenmacht zijn georganiseerd en uitgeoefend, waarbij tegenmacht niet primair oppositioneel is, maar corrigerend en begrenzend. Het betreft de verdeling van beslissingsbevoegdheden, toezicht, verantwoording en correctiemechanismen binnen een organisatie. Governance is daarmee niet statisch: zij functioneert in de dagelijkse praktijk, in besluitvorming, escalatie en het al dan niet serieus nemen van signalen.

Compliance tenslotte wordt hier nadrukkelijk niet gedefinieerd als een normstellende of moraliserende functie. De kern van compliance ligt in een onderzoekende, toetsende en informerende rol. Compliance verzamelt, weegt en duidt relevante normen, feiten en risico’s, en stelt die informatie beschikbaar aan de partijen die binnen de governance verantwoordelijk zijn voor besluitvorming. Compliance neemt daarbij geen eigen bestuurlijk standpunt in. Dat betekent overigens niet dat compliance geen oordeel geeft, maar dat dit oordeel altijd gebaseerd is op normen die van buiten de compliancefunctie komen. Tegenspraak is geen uitgangspunt, maar kan het gevolg zijn van zorgvuldig onderzoek en heldere duiding. Conflict is dus nooit het doel, maar moet ook niet al te nadrukkelijk worden vermeden.

Deze positionering is essentieel. Wanneer compliance wordt opgevat als interne tegenmacht of als moreel kompas, raakt zij al snel verstrikt in rolverwarring en weerstand. Wanneer compliance daarentegen wordt begrepen als een functie die transparantie creëert over normen, risico’s en consequenties, ontstaat ruimte voor volwassen besluitvorming. Dat maakt compliance minder spectaculair, maar structureel relevanter.

Vanuit deze begripsafbakening wordt in de volgende paragrafen verkend hoe cultuur en governance het speelveld bepalen waarbinnen compliance opereert. Niet als vrij zwevende functie, maar als onderdeel van een organisatie waarin macht, belangen en verantwoordelijkheid onvermijdelijk samenkomen.

Governance als verdeling van macht, verantwoordelijkheid en tegenmacht

Governance bepaalt niet alleen wie formeel beslist, maar vooral hoe besluiten tot stand komen, worden getoetst en zo nodig worden gecorrigeerd. In dat opzicht is governance minder een stelsel van regels dan een ordening van macht, verantwoordelijkheid en tegenmacht. Juist dat kader vormt het speelveld waarbinnen compliance functioneert.

In veel organisaties wordt governance nog primair begrepen als structuur: bestuur, toezicht, commissies, reglementen. Die structuur is noodzakelijk, maar zegt weinig over de feitelijke werking. Governance manifesteert zich pas in de praktijk, in wie gehoord wordt, welke signalen serieus worden genomen, hoe afwijkingen worden besproken en waar besluitvorming daadwerkelijk stopt. Daarin worden machtsverhoudingen zichtbaar die niet altijd samenvallen met formele posities.

Voor compliance is dit onderscheid cruciaal. Compliance opereert nooit in een machtsvacuüm. Zij is afhankelijk van de ruimte die governance laat voor onderzoek, toetsing en duiding, én van de bereidheid van bestuur en toezicht om met die informatie iets te doen. Governance kan compliance ondersteunen door transparantie en aanspreekbaarheid te organiseren, maar kan haar ook neutraliseren door signalen te parkeren, te heretiketteren of te verdunnen in besluitvorming.

Een belangrijk spanningsveld daarbij is dat tussen autonomie en onafhankelijkheid. Autonomie ziet op de handelingsruimte van de compliancefunctie: de mogelijkheid om eigen onderzoeken te doen, prioriteiten te stellen en onderwerpen te agenderen. Onafhankelijkheid ziet op de oordeelsvorming: de mate waarin conclusies kunnen worden getrokken en gedeeld zonder oneigenlijke beïnvloeding of repercussies. In de praktijk zijn deze begrippen niet identiek en zeker niet altijd verenigd.

Volledige autonomie is voor compliance noch haalbaar, noch wenselijk. Compliance maakt onderdeel uit van de organisatie en functioneert binnen de kaders die bestuur en governance stellen. Functionele onafhankelijkheid daarentegen is essentieel. Zonder die onafhankelijkheid verwordt compliance tot uitvoerder van bestuurlijke voorkeuren of tot verlengstuk van andere functies. Governance moet die onafhankelijkheid expliciet borgen, juist omdat compliance zelf geen beslissingsmacht heeft.

In organisaties met een Raad van Commissarissen of vergelijkbaar toezichthoudend orgaan krijgt dit spanningsveld een extra dimensie. De aanwezigheid van toezicht creëert een aanvullend referentiepunt voor compliance, los van de dagelijkse bestuurlijke lijn. Daarmee ontstaat overigens niet automatisch betere compliance, maar wel een bredere institutionele context waarin signalen kunnen worden gewogen en waarin betere compliance mogelijk wordt. De precieze invulling daarvan verschilt per organisatie en wordt in de volgende paragraaf nader uitgewerkt.

Wat hier van belang is, is dat governance geen oplossing is voor compliancevraagstukken, maar een randvoorwaarde. Governance bepaalt of compliance informatie kan verzamelen, delen en laten landen. Waar governance vooral gericht is op snelheid, consensus of het vermijden van ongemak, zal compliance structureel moeite hebben haar rol te vervullen. Waar governance ruimte laat voor reflectie en begrenzing, kan compliance functioneren zonder zichzelf te hoeven overschreeuwen.

Daarmee is governance geen neutrale achtergrond, maar een actieve factor in de effectiviteit van compliance. Niet door wat zij voorschrijft, maar door wat zij mogelijk maakt – of juist onmogelijk maakt.

De positie van de compliance officer in de governance-structuur

De positie van de compliance officer wordt in hoge mate bepaald door de governance-structuur waarbinnen zij opereert. Niet alleen door formele rapportagelijnen, maar door de samenhang tussen gezag, mandaat, toegang en bescherming. Juist omdat compliance geen beslissingsbevoegdheid heeft, is haar effectiviteit afhankelijk van de wijze waarop deze elementen institutioneel zijn geborgd.

In de praktijk rapporteert de compliance officer doorgaans aan de Raad van Bestuur. Van het bestuur ontvangt zij haar opdracht, haar budget en het gezag om haar rol te vervullen binnen de organisatie. Die bestuurlijke inbedding is noodzakelijk: zonder toegang tot besluitvorming en zonder formele positionering kan compliance haar onderzoekende en toetsende rol niet effectief uitoefenen.

Tegelijkertijd vraagt de aard van de compliancefunctie om een aanvullende borging. In goed ingerichte governance-structuren wordt de compliance officer daarom vaak benoemd en ontslagen door de Raad van Commissarissen of een daarmee vergelijkbaar toezichthoudend orgaan als dat tenminste bestaat. Bij kleine organisaties zie je vaak een externe compliance officer. Deze is dan weliswaar niet goed beschermd, maar evenmin van het bestuur afhankelijk voor diens carrière. Daarmee wordt onderstreept dat compliance geen verlengstuk is van het dagelijks bestuur, maar een functie met een zelfstandige verantwoordelijkheid binnen het bredere governance-kader.

Deze constructie creëert een spanning die niet moet worden opgelost, maar beheerst. Enerzijds is compliance afhankelijk van het bestuur voor haar dagelijkse functioneren. Anderzijds biedt de toezichthoudende verankering bescherming tegen situaties waarin signalen structureel worden genegeerd of geneutraliseerd. De mogelijkheid tot escalatie richting toezicht is geen alternatief voor bestuurlijke besluitvorming, maar een noodmechanisme voor uitzonderlijke omstandigheden.

Van belang is daarbij dat het bestaan van deze escalatieroute vaak belangrijker is dan het feitelijke gebruik ervan. Governance werkt hier preventief, de wetenschap dat signalen niet uitsluitend binnen de bestuurlijke lijn hoeven te blijven, beïnvloedt het gesprek nog vóórdat escalatie aan de orde is. Daarmee draagt governance bij aan de onafhankelijkheid van compliance zonder haar los te maken van de organisatie.

De positie van de compliance officer wordt daarmee niet gekenmerkt door formele macht, maar door functionele legitimiteit. Die legitimiteit ontstaat uit een combinatie van duidelijke mandatering, bestuurlijke steun en toezichthoudende borging. Waar één van deze elementen ontbreekt, verschuift compliance mogelijk richting symboliek of formaliteit.

In de volgende paragraaf wordt verkend hoe deze positionering in de praktijk samenkomt met cultuurconflicten die juist in groeiende organisaties zichtbaar worden, en welke spanning dat oplevert voor de dagelijkse invulling van de compliancefunctie.

Cultuurconflicten in groeiende organisaties

Cultuurconflicten worden vaak pas zichtbaar wanneer organisaties groeien. Niet omdat cultuur daarvoor afwezig is, maar omdat impliciete normen en informele werkwijzen onder druk komen te staan zodra schaal, complexiteit en externe verwachtingen toenemen. Wat lange tijd werkte op basis van nabijheid en vakmanschap, wordt dan geconfronteerd met de noodzaak tot explicitering, standaardisering en verantwoording.

In groeiende organisaties bestaat cultuur vaak bij de gratie van persoonlijke relaties, professionele reputatie en wederzijds vertrouwen. Besluiten worden genomen op basis van gedeeld begrip, afwijkingen worden informeel besproken en fouten worden hersteld zonder formele escalatie. Die nabijheid kan krachtig zijn, maar is kwetsbaar. Naarmate de organisatie groeit, nemen afstand en differentiatie toe. Niet iedereen kent elkaar nog, belangen lopen uiteen en impliciete aannames worden minder vanzelfsprekend gedeeld.

Juist op dat punt ontstaan cultuurconflicten die compliance direct raken. Wat door de één wordt ervaren als gezond professioneel oordeel, wordt door een ander gezien als onduidelijkheid of willekeur. Wat eerder gold als pragmatisme, kan onder externe druk worden herijkt als risico. Compliance bevindt zich in die situaties vaak op het snijvlak: niet als veroorzaker van de spanning, maar als degene die haar zichtbaar maakt.

Een terugkerend spanningsveld is dat tussen vakmanschap en optimalisatie. Vakmanschap veronderstelt tijd, reflectie en professionele autonomie. Optimalisatie stuurt op snelheid, uniformiteit en schaalvoordelen. Beide zijn legitiem, maar zij verdragen elkaar niet altijd vanzelf. Waar groei leidt tot nadruk op efficiëntie en beheersing, kan dat botsen met bestaande professionele normen. Compliance krijgt dan al snel het verwijt formalistisch of vertragend te zijn, terwijl zij feitelijk wijst op grenzen die eerder impliciet werden gerespecteerd.

In organisaties van beperkte schaal blijft cultuur vaak sterker bepalend dan formeel beleid. Zelfs bij organisaties die in absolute zin omvangrijk zijn maar met relatief korte lijnen en zichtbare personen wegen informele signalen zwaarder dan procedures. Voor compliance betekent dit dat formele instrumenten alleen effectief zijn wanneer zij aansluiten bij de bestaande cultuur, of wanneer governance expliciet ruimte creëert om die cultuur ter discussie te stellen.

Deze spanning wordt versterkt wanneer groei gepaard gaat met externe invloeden: nieuwe toezichthouders, aangescherpte regelgeving, investeerders of maatschappelijke verwachtingen. Wat intern logisch en werkbaar was, wordt extern anders gewaardeerd. Compliance fungeert dan vaak als vertaler tussen werelden, maar ontmoet tegelijk weerstand van binnenuit. Niet omdat de boodschap onjuist is, maar omdat zij raakt aan diepgewortelde aannames over hoe het “altijd ging”.

Het is van belang te onderkennen dat deze cultuurconflicten geen falen van compliance zijn. Zij zijn het gevolg van veranderende omstandigheden waarin bestaande normen niet langer vanzelfsprekend functioneren. Compliance kan deze spanning niet oplossen, maar wel expliciteren. Dat vraagt om bestuurlijke bereidheid om ongemak te verdragen en om governance die ruimte laat voor reflectie, juist wanneer de druk toeneemt.

In die zin vormt cultuur geen achtergronddecor, maar een dynamisch krachtenveld. Naarmate organisaties groeien, verschuift dat veld. Compliance opereert daarin niet als scheidsrechter, maar als signaalfunctie. Of die signalen vervolgens leiden tot aanpassing, begrenzing of bevestiging van bestaand gedrag, is uiteindelijk een governancevraagstuk.

Governance als randvoorwaarde voor effectieve compliance

Governance is geen oplossing voor compliancevraagstukken, maar een noodzakelijke randvoorwaarde voor het functioneren van de compliancefunctie. Zij bepaalt of compliance kan waarnemen, onderzoeken en informeren, en of die informatie vervolgens betekenis krijgt in besluitvorming. Zonder passende governance kan compliance formeel aanwezig zijn, maar materieel tandeloos blijven.

Binnen organisaties is governance verdeeld over verschillende organen, ieder met een eigen rol en verantwoordelijkheid. Aan de basis staat de aandeelhoudersvergadering of, in partnerschapsstructuren, de partnervergadering. Hier liggen de uiteindelijke zeggenschap en de economische belangen. In sommige organisaties wordt deze laag beïnvloed door externe partijen, zoals private equity, die aanvullende prikkels introduceren gericht op groei, rendement en tijdshorizon. Waar zeggenschap en economisch belang zijn gescheiden, bijvoorbeeld via een STAK, ontstaat een extra governance-laag die zowel stabiliserend als vertragend kan werken.

Het bestuur draagt de verantwoordelijkheid voor de dagelijkse leiding en is de primaire gesprekspartner van compliance. Hier worden keuzes gemaakt, prioriteiten gesteld en risico’s geaccepteerd of gemitigeerd. De Raad van Commissarissen of een vergelijkbaar toezichthoudend orgaan houdt toezicht op het bestuur en vormt de institutionele tegenmacht. Niet door zelf te besturen, maar door te toetsen, te bevragen en zo nodig te begrenzen. In die gelaagde structuur krijgt compliance haar betekenis, niet als besluitvormer, maar als bron van informatie en duiding voor zowel bestuur als toezicht.

In sommige organisaties speelt ook de ondernemingsraad een rol in het governance-landschap. Hoewel de OR geen formele rol heeft in compliancebesluitvorming, kan zij signalen afgeven over cultuur, werkdruk en sociale veiligheid die relevant zijn voor het functioneren van compliance. Ook hier geldt dat effectiviteit niet zit in formele bevoegdheden, maar in de bereidheid van andere governance-organen om signalen serieus te nemen.

De plaats van compliance binnen dit geheel is daarmee niet los te zien van schaal en complexiteit. In grotere organisaties is functiescheiding vaak mogelijk en wenselijk. In kleinere en middelgrote organisaties ligt dat anders. Daar is het gebruikelijk dat compliance wordt gecombineerd met risicomanagement en soms ook met specialistische rollen zoals die van functionaris gegevensbescherming of CISO. Dat is geen tekortkoming, maar een realiteit. Functiescheiding is in zulke contexten een luxe; rolzuiverheid is een vereiste.

Dat betekent dat helder moet zijn vanuit welke rol wordt gehandeld, welke belangen worden gediend en welke waarborgen zijn getroffen om belangenverstrengeling te voorkomen. Juist in gecombineerde functies is governance bepalend. Duidelijke mandaten, transparante rapportagelijnen en toegang tot bestuur en toezicht zijn belangrijker dan formele organisatorische scheiding.

Effectieve compliance ontstaat daarmee niet door het optuigen van structuren, maar door samenhang. Samenhang tussen organen, tussen rollen en tussen formele bevoegdheden en informele praktijk. Governance creëert die samenhang niet automatisch, maar kan haar wel mogelijk maken. Waar governance fragmentarisch is of primair gericht op beheersing en snelheid, zal compliance moeite hebben haar rol te vervullen. Waar governance ruimte laat voor reflectie, begrenzing en aanspreekbaarheid, kan compliance functioneren zonder zichzelf te hoeven overschreeuwen.

In die zin is governance geen decor en geen sluitstuk, maar een voorwaarde. Niet voor perfecte compliance, maar voor betekenisvolle compliance: een functie die bijdraagt aan geïnformeerde besluitvorming binnen een organisatie die bereid is haar eigen spanningen onder ogen te zien.