My Essay

Tag: Compliance

  • De taal van de organisatie

    We geloven graag dat organisaties uit regels bestaan, maar het omgekeerde is waar: regels bestaan omdat wij proberen orde te maken in wat eigenlijk wanorde is. Achter beleid en procedures schuilt iets menselijks: de angst voor betekenisloosheid. Dit verhaal gaat over die drang tot orde, over verhalen die systemen worden, en over de mens die, ondanks alles, blijft vertellen.

    De behoefte aan orde

    Aan het einde van mijn accountantsstudie aan Nyenrode wilde ik een scriptie schrijven over “Belief Systems” uit Levers of Control van Simons. Ik vond dat boek fantastisch en inspirerend en wilde onderzoeken of valt aan te tonen dat Belief Systems werken. Spoiler: dat kan inderdaad.

    In de literatuurstudie die ik deed las ik Karl Weicks Sensemaking in Organizations en ik was overrompeld. Ik las het in eerste instantie uit professionele nieuwsgierigheid, maar het trof me als iets dat groter was dan theorie. Tot dat moment dacht ik over organisaties zoals de meeste mensen dat doen: als structuren die gedrag moeten sturen. Maar Weick liet zien dat het precies andersom is.

    Organisaties bestaan niet vóórdat mensen zich organiseren; ze ontstaan ín de interactie, in de poging om van verwarring iets begrijpelijks te maken. Weick liet zien dat orde niet het vertrekpunt is, maar het resultaat van een voortdurende poging tot duiding.

    Dat inzicht voelde als thuiskomen, een niet makkelijk te verklaren gevoel. Alsof na een lange reis de mist optrekt en het licht van Valinor zichtbaar wordt. Niet omdat er plots iets nieuws is, maar omdat je eindelijk ziet wat er altijd al was.

    Weick gaf woorden aan iets wat ik intuïtief al lang voelde: dat de mens niet leeft van regels, maar van betekenis. Dat hij de wereld pas kan verdragen wanneer hij haar kan vertellen. Later ging ik daar een stapje verder in. Ik ben ervan overtuigd dat de mens de wereld niet alleen pas kan verdragen als hij haar kan vertellen, maar dat de werkelijkheid van de mens het resultaat is van die vertelling. En ja, dat valt ook door te trekken naar organisaties en zelfs naar mijn eigen vak van compliance.

    Karl Weick: de ontdekking dat orde gemaakt wordt

    Karl Weick is sociaal psycholoog. Geen manager, geen bestuurder, maar iemand die probeert te begrijpen wat er in organisaties werkelijk gebeurt.

    Zijn eerste grote werk, The Social Psychology of Organizing (1969), verscheen in een tijd waarin het geloof in beheersbaarheid op zijn hoogtepunt was. Bedrijven werden gezien als systemen, mensen als onderdelen, en controle als de sleutel tot succes.

    Weick keek daar dwars doorheen. Hij richtte zich niet op de structuur, maar op wat mensen feitelijk doen wanneer ze proberen hun werk te begrijpen. In die momenten van onzekerheid en verwarring zag hij iets wezenlijks gebeuren.

    Mensen, zegt Weick, handelen vaak vóór ze weten waarom. Ze nemen beslissingen, reageren op elkaar, proberen iets op te lossen en pas daarna vertellen ze zichzelf een verhaal dat verklaart wat er is gebeurd. Dat achteraf geconstrueerde verhaal is geen leugen, maar een menselijke noodzaak. De wereld is te complex om zonder betekenis te verdragen.

    Dat proces noemde hij sensemaking: de poging om van wat er gebeurt iets samenhangends te maken. Niet de feiten staan centraal, maar de interpretaties die ons helpen om te handelen.

    Zo gezien is een organisatie geen machine, maar een gesprek dat voortdurend gaande wordt gehouden. De structuur bestaat uit taal: uit verhalen, rechtvaardigingen, rituelen en herinneringen die de werkelijkheid draaglijk maken.

    Je ziet het in elk team, elke afdeling, elk project dat ontspoort of slaagt. Eerst is er een gebeurtenis, een klacht, een fout, een succes, en pas daarna het verhaal dat uitlegt wat er “eigenlijk” aan de hand was. Weick schrijft dat organisaties zichzelf al vertellend bijeenhouden. Ze worden niet bestuurd, ze worden verteld.

    Robert Simons: de grammatica van betekenis

    Een kwart eeuw na Weick verscheen het werk van Robert Simons, hoogleraar aan Harvard. Zijn Levers of Control (1995) werd al snel een klassieker in de bestuurskunde, al was dat niet helemaal waarvoor het bedoeld leek. Managers lazen het als een handleiding om grip te krijgen op hun organisatie. In werkelijkheid is het subtieler. Simons beschrijft geen handboek voor beheersing, maar een balans tussen vrijheid en orde.

    Hij onderscheidde vier “hefbomen” waarmee organisaties richting geven aan gedrag:

    1. Belief systems – de overtuigingen die betekenis geven: missie, waarden, het verhaal van waarom we bestaan. In verhaaltermen: de mythe of het credo. Waarom we bestaan, wat goed is.
    2. Boundary systems – de grenzen van wat niet mag, de verboden hoofdstukken van het verhaal, het taboe.
    3. Diagnostic systems – de manier waarop prestaties worden gevolgd, de meetbare werkelijkheid. De kronieken, de toets of het verhaal nog klopt.
    4. Interactive systems – de dialoog waarmee aannames worden beproefd en het verhaal zich aanpast. Het herverdelen en herschrijven van betekenis.

    Simons laat zien dat controle niet de vijand van vrijheid is, maar haar voorwaarde. Zonder kaders vervalt de organisatie in willekeur. Zonder vrijheid verstikt zij in regels. De kunst is het samenspel.

    Wie Simons leest naast Weick, ziet hoe de verhalen waaruit organisaties bestaan ook een grammatica hebben. De beliefs geven toon en richting, de boundaries bepalen wat onzegbaar is, de diagnostics houden de consistentie bij, en de interactive systems zorgen dat het gesprek levend blijft.

    Denk daar compliance bij als vakgebied: geen hinderlijk stelsel van verplichtingen, maar een taalregeling. Beleid, toezicht en toetsing vormen de grammatica van het morele verhaal dat de organisatie over zichzelf vertelt. Ze zorgen ervoor dat dat verhaal verstaanbaar blijft, ook wanneer er fouten worden gemaakt of belangen botsen. Zonder grammatica geen taal, zonder control geen samenhang. En zoals taal alleen leeft door gebruik, leeft ook controle pas door dialoog.

    Arthur Schopenhauer: de wil tot orde

    Waar Weick beschrijft hoe mensen betekenis geven, en Simons hoe zij die betekenis structureren, legt Arthur Schopenhauer bloot waarom de mens dat doet.

    In zijn hoofdwerk Die Welt als Wille und Vorstellung (1819) stelt hij dat de wereld geen rationeel systeem is, maar de uitdrukking van een blinde wil. Alles leeft omdat het móét leven. Die wil is ongericht, doelloos en juist daarom rusteloos. De mens, begiftigd met bewustzijn, ervaart die wil als onbehagen: hij wil begrijpen wat hij nooit volledig kan doorgronden.

    Orde, zegt Schopenhauer, is geen natuurverschijnsel maar een projectie. Wij scheppen structuur niet omdat de wereld ordelijk ís, maar omdat wij de chaos niet verdragen. De wil tot orde is onze manier om met die existentiële onrust om te gaan.

    Daarom is een organisatie niet primair een economisch instrument, maar een menselijke uitvinding om het leven hanteerbaar te maken. Regels, procedures, vergaderingen, ze zijn niet de triomf van rationaliteit, maar haar symptoom. Ze tonen hoezeer wij verlangen naar rust in een wereld die die rust niet vanzelf biedt.

    Vanuit dat perspectief krijgt ook compliance een andere gedaante. Ze is geen verzameling verplichtingen die het ondernemen belemmert, maar een ritueel waarmee de mens zijn eigen onrust temt. Elk beleid, elk protocol is een tijdelijke poging om de willekeur te bedwingen. En tegelijk weet iedereen dat het nooit af is. De werkelijkheid ontsnapt altijd aan het systeem dat haar wil vangen.

    Toch blijven we bouwen, auditen, herzien, niet omdat we geloven in volmaaktheid, maar omdat we zonder die poging niet kunnen leven. Dat maakt compliance tot iets diepmenselijks: een rationele vorm van troost.

    De narratieve aap: de mens als verteller van orde

    Wat Weick, Simons en Schopenhauer afzonderlijk lieten zien, vormt samen een geheel.

    Weick toonde dat orde niet bestaat vóór het handelen, maar eruit voortkomt.

    Simons liet zien dat we die orde vormgeven via structuren en regels.

    Schopenhauer onthulde de dieperliggende noodzaak: de mens kán niet zonder orde, omdat hij anders zijn eigen bewustzijn niet verdraagt.

    Daaruit groeit het beeld van de narratieve aap. De mens is het dier dat verhalen vertelt om te kunnen bestaan. Hij leeft niet van voedsel of zekerheid, maar van betekenis. Alles wat wij cultuur noemen, religie, recht, wetenschap, kunst, is voortgekomen uit dat ene instinct: de behoefte om de chaos te benoemen, om het zinloze dragelijk te maken.

    Organisaties zijn daar geen uitzondering op, maar een eigentijdse uitdrukking van dezelfde drang. Ze scheppen een collectieve taal waarin handelen zin krijgt. Een visie, een strategie, een kwaliteitsstelsel; het zijn vormen van mythologie, gevat in Excel en beleidsdocumenten. En net als alle mythen moeten ze voortdurend worden verteld, herzien, bekritiseerd, verdedigd.

    De compliancefunctionaris is in dat opzicht geen controleur, maar een verhalenbewaker. Hij zorgt dat de taal van de organisatie zuiver blijft, dat woorden niet losraken van de werkelijkheid die ze moeten dragen. Hij weet dat regels geen waarheid garanderen, maar wel geloofwaardigheid.

    De narratieve aap weet dat zijn verhalen geconstrueerd zijn, maar kan niet zonder. Hij leeft van consistentie, niet van zekerheid.

    Zwijgen zou betekenen dat de wereld weer onbegrijpelijk wordt en dat kan hij niet verdragen.

    De morele opdracht van de verteller

    Als de werkelijkheid uit verhalen bestaat, rust op de verteller een morele plicht. Wie betekenis schept, draagt verantwoordelijkheid voor de wereld die daaruit ontstaat.

    In organisaties geldt dat evenzeer. De bestuurder, de manager, de compliancefunctionaris, de adviseur, allen zijn, bewust of niet, vertellers. Ze kiezen welke verhalen geloofwaardig blijven en welke verdwijnen. Ze beslissen of regels dienen om te beschermen of om te verbergen, of integriteit een principe is of een decorstuk.

    Integriteit is daarom geen kwestie van regels naleven, maar van verhalen eerlijk houden. Een organisatie die zichzelf beliegt, desintegreert van binnenuit, lang voordat iemand het van buiten ziet. En omgekeerd kan een organisatie die fouten erkent en erover spreekt, moreel sterker worden. Niet omdat ze foutloos is, maar omdat ze trouw blijft aan haar eigen taal, ook als haar verhaal verandert.

    De mens organiseert niet om te overleven, maar om zijn verhaal gaande te houden. En dat verhaal is nooit af. Het moet steeds opnieuw worden verteld, omdat de werkelijkheid zelf voortdurend verschuift.

    Dat is de opdracht van de verteller: niet om de chaos te ontkennen, maar om haar draaglijk te maken. Niet om te heersen, maar om te blijven vertellen.

  • Begripsverwarring in compliance

    Recent publiceerde Marcel Pheijffer een opinie over het mede tekenen van de accountantsverklaring door de OKB-er. Ik laat me hier niet uit over dat idee zelf, maar in de discussie die ontstond bleek begripsverwarring over enkele zaken. In een andere context liep ik ook al tegen wat begripsverwarring aan, daarom hier een korte uitleg bij enkele in de wereld van (accountants) compliance relevante begrippen.

    OKB, IKO, Review

    Een OKB is een opdrachtgerichte kwaliteitsbeoordeling. Het is een instrument dat is geïntroduceerd via de Wet toezicht accountantsorganisaties, en later ook een plaats heeft gekregen in de Nadere Voorschriften Kwaliteitssystemen van de NBA. De Wta en Bta bepaalden dat voorafgaand aan het afgeven van iedere verklaring voor een OOB, en voor een aantal op basis van kantoorbeleid te bepalen verklaringen voor niet-OOB’s, een OKB uitgevoerd diende te worden.

    Doel van de OKB is dus preventief vast te stellen dat de externe accountant redelijkerwijs tot diens beoogde verklaring kon komen. Wie exact de opdrachtgever van de OKB is staat niet vast. Anders dan vaker gedacht is het niet vanzelfsprekend de compliance officer. Dat kan ook niet, aangezien bij Reguliere Vergunninghouders een compliance officer niet door de wet wordt voorgeschreven, maar OKB’s wel.

    De OKB is gericht op het bevorderen van de kwaliteit van de accountantsverklaring en is daarmee dus onderdeel van het kwaliteitsstelsel. Daar is de accountantsorganisatie, de vergunninghouder, verantwoordelijk voor. Het lijkt redelijk voor de hand te liggen dat de functionaris die onder NVKS wordt aangeduid als kwaliteitsbepaler dus eindverantwoordelijk is voor de OKB. Dat neemt niet weg dat een compliance officer graag kennis zal nemen van het OKB-verslag en vooral van de verantwoording die de OKB-er aflegt aan de kwaliteitsbepaler.

    Een IKO is een Intern Kwaliteitsonderzoek, ook wel aangeduid als review. Het is in de praktijk een onderzoek met een dubbele functie. Het stelt achteraf vast of de kwaliteit van uitgevoerde controles afdoende was, en waar mogelijkheden zijn tot verbetering. In die zin is het onderdeel van het kwaliteitsstelsel en hoort dus net als de OKB bij de kwaliteitsbepaler. Maar de IKO heeft ook een formele insteek, de toetsing of bij de uitvoering van de controle aan de eisen van het kwaliteitsstelsel is voldaan. Vanuit dat perspectief is de IKO dus eerder een hulpmiddel voor compliance. In de praktijk zal je vaak zien dat beide doelen in één onderzoek worden gecombineerd, en zowel aansturing door de kwaliteitsbepaler, als door de compliance officer komt voor.

    Review is een wat onhandig begrip, omdat het in de accountantspraktijk een aantal betekenissen heeft:

    • De hiervoor genoemde IKO;
    • De beoordeling van het dossier door de tekenend accountant;
    • De beoordeling van secties, working papers, werkzaamheden van assistenten door de opdrachtleider;
    • De beoordeling van delen van de jaarrekening of andere door de klant aangeleverde informatie.

    Audit en onderzoek

    Een ander begrippenpaar dat nog wel eens tot verwarring kan leiden is onderzoek versus audit. Het zijn geen al te strak gedefinieerde begrippen, maar enige consensus kan wel gevonden worden in de volgende omschrijvingen, toegespitst op de rol van de compliance officer:

    Onderzoek betreft activiteiten door of namens de compliance officer waarbij inzicht wordt verkregen over een proces, organisatieonderdeel, informatie, etcetera, zonder dat getoetst wordt aan een norm. Populair is de term “verkennend onderzoek”, maar je mag je afvragen of dat niet vooral een soort verzachtende term is om duidelijk te maken dat het echt niet eng is om onderzocht te worden. Hoe dan ook, een onderzoek kan tot waarnemingen, inzichten, adviezen en allerhande andere rapportages leiden, maar zal in de regel niet tot een betrekkelijk scherp oordeel leiden. Daar is het andere instrument, de audit. Een audit is een gestructureerd onderzoek naar een feitelijkheid ten opzichte van een norm. Het heeft niet noodzakelijk de strikte structuur van assurance in de accountantspraktijk, maar het is wel vergelijkbaar, ook in de uitkomst. Een audit mondt uit in een oordeel door de compliance officer waarbij deze vaststelt dat de onderzochte feitelijkheid voldoet, niet voldoet, of beperkt voldoet aan de gehanteerde norm. Mocht een oordeel onmogelijk zijn, dan zal dat het resultaat van de audit zijn.

    Waar bij een onderzoek het gehanteerde normenkader vrij zacht en subjectief kan zijn, is dat bij een audit niet mogelijk. Althans, in de praktijk wordt een oordeel van het soort “de werkzaamheden van X in casus Y voldoen niet aan mijn onderbuikgevoel” zelden erg nuttig gevonden. De Autoriteit Financiële Markten vraagt, als toezichthouder, in voorkomende gevallen vrijwel altijd naar het gehanteerde normenkader. Ook bij een onderzoek is het alleen al daarom zinvol te overwegen of, en zo ja welk, een normenkader van toepassing is.

    Risico, Verslaggevingsrisico, Integriteitsrisico, Compliancerisico

    Tenslotte een begrippengroepje dat nog wel eens verwarring geeft. In algemene zin is een risico een begrip dat ziet op “iets” dat een bepaalde of inschatbare kans heeft zich voor te doen met een bepaalde of inschatbare impact. In formule gezegd: risico = kans x impact.

    Een verslaggevingsrisico is “iets” dat kan leiden tot een materiële afwijking in de jaarrekening. Zowel de controlerend accountant als de samenstellend accountant die risico-gericht samenstelt, heeft hier mee te maken. De werkzaamheden richten zich op het onderkennen van deze verslaggevingsrisico’s en op het vaststellen of deze zich daadwerkelijk hebben voorgedaan.

    Een integriteitsrisico zegt iets over de integriteit van een klant, een medewerker, een persoon. De impact kan velerlei zijn. Te denken valt aan de risico’s op witwassen en terrorismefinanciering uit de WWFT, of de risico’s die de beheerste en integere bedrijfsvoering van een accountantsorganisatie kunnen raken. Waar de verwarring kan ontstaan is in de impact die een integriteitsrisico kan hebben op de verslaggeving. Dat valt het eenvoudigst te zien via de route van fraude. Een integriteitsrisico leidt dan tot een frauderisico, dat vervolgens weer leidt tot een verslaggevingsrisico. Geen van deze risico’s zijn hetzelfde, maar ze kunnen dus wel samenhangen.

    Wat een compliancerisico precies is, lijkt vooral afhankelijk van degene aan wie je dat vraagt. Een overlappend begrip dat veel terug komt is dat het compliancerisico, mede, het risico betreft dat de organisatie interne en/of externe regels overtreedt. In de praktijk wordt dit regelmatig eng geïnterpreteerd, waarbij een compliancerisico rechtstreeks wordt gekoppeld aan een wet of een regel. Bijvoorbeeld als een WWFT audit wordt uitgevoerd, is voor vrijwel iedereen wel duidelijk dat dit een audit is gericht op een compliancerisico. Maar het begrip is breder. Ook het niet functioneren van interne systemen die niet direct gericht zijn of schijnen op compliance, kan leiden tot een compliancerisico. Stel bijvoorbeeld dat de cultuur binnen een kantoor erg informeel is, dan kan dat heel prettig zijn, maar het kan ook indirect leiden tot een al te losse omgang met vastleggingen die weer nodig zijn om te voldoen aan bepaalde wetgeving. Dan is “cultuur” dus een bron van een compliancerisico.

    Pietluttigheid is troef?

    Het is in dagelijks gebruik natuurlijk niet zo spannend als begrippen niet helemaal scherp zijn, zolang iedereen maar weet wat je bedoelt. In de discussie waarmee ik begon bleek echter dat de spraakverwarring over OKB en IKO wel degelijk tot inhoudelijk ontsporen van de discussie aanleiding gaf. Voor compliance officers is het de kunst pietluttigheid te vermijden maar wel degelijk nauwkeurig te zijn in formuleren.