De psychologie van Compliance: grip op gedrag

Een effectieve compliance officer richt zich naast de processen ook op de medewerkers van een organisatie. Immers, ook als de regels goed zijn opgesteld en vastgelegd, vinden medewerkers regelmatig manieren om ze te omzeilen. Compliance in een organisatie is zo sterk als de zwakste schakel, waarbij de mens vaak wordt gezien als de zwakste schakel. Pogingen om dit te verbeteren bestaan veelal uit awareness trainingen, maar daarvan is het resultaat tijdelijk of blijft het zelfs helemaal uit. Tijd voor een nieuwe strategie. In dit artikel wordt het stimuleren van integer gedrag van medewerkers besproken vanuit een psychologisch perspectief. Wat zegt de psychologie over gedragsverandering? Hoe kan dat worden ingezet en waarom bereiken de huidige awareness programma’s vaak niet het gewenste resultaat?

Het belang van de menskant

Vanuit de integrale benadering van risicomanagement zou een organisatie moeten zorgdragen voor:

  • de technische aspecten (zijn de juiste mensen voor de juiste systemen geautoriseerd?);
  • de organisatorische aspecten (zijn de regels duidelijk vastgesteld en vastgelegd?); én
  • de menselijke aspecten (gedragen de medewerkers zich naar de regels?).

In organisaties wordt vaak veel aandacht besteed aan de technische en organisatorische aspecten – deze zijn immers het best te sturen en controleren – en de menskant wordt onderbelicht. Dit artikel zoomt in op de menskant en geeft

inzicht in hoe compliance officers ervoor kunnen zorgen dat de medewerkers niet langer de zwakste schakel zijn. Een voorbeeld van de cruciale rol van de menskant in compliance is de ’15 euro regel’: een organisatie keert medewerkers maandelijks een vaste onkostenvergoeding uit voor zaken als koffie voor onderweg en parkeren. Daar tegenover staat dat men geen bonnetjes onder de €15,- mag declareren, omdat die binnen deze onkostenvergoeding vallen. Technisch is deze regel prima afgehecht; het systeem staat niet toe dat declaraties onder €15,- worden geaccordeerd. Organisatorisch is deze regel duidelijk vastgelegd en gecommuniceerd. Menselijk… blijkt uit ons onderzoek dat medewerkers manieren zoeken om bonnetjes van boven de €15,- te verkrijgen, bijvoorbeeld door wat extra’s te bestellen bij de lunch of in een duurdere parkeergarage te parkeren. Daar waar dit beleid dus in theorie zo duidelijk en waterdicht lijkt, blijkt het gedrag van de medewerkers ervoor te zorgen dat het leidt tot hogere kosten voor de organisatie. Dit voorbeeld illustreert waarom compliance officers hun vakgebied steeds integraal zouden moeten benaderen en naast aandacht voor technische en

organisatorische aspecten, ook aandacht zouden moeten hebben voor de menskant.

De traditie van bewustzijn creëren

Wanneer een compliance officer aan de slag wil met de menskant, wordt veelal ingezet op het verhogen van het bewustzijn van de medewerkers (ook vaak ‘awareness’ genoemd). Op velerlei creatieve manieren probeert men de medewerkers in een organisatie bewust te maken van het gedrag dat van hen wordt verwacht. De vorm varieert van trainingen tot lunchlezingen, van liftposters tot games en alles wat daartussen zit. De gemene deler van deze initiatieven is echter steeds hetzelfde; ze zijn allemaal gestoeld op het idee dat de medewerkers zich anders gaan gedragen, zodra hen wordt verteld wat van hen wordt verwacht. Was het maar zo eenvoudig…



In het dagelijks leven zijn tal van voorbeelden waaruit blijkt dat er een grote kloof is tussen bewustzijn en gedrag: we weten allemaal dat we eigenlijk niet mogen appen in de auto, toch is het aan de orde van de dag. Iedereen is zich bewust van het feit dat roken niet goed is voor je gezondheid, toch zijn er nog steeds rokers. Iedereen realiseert zich dat je je aan de maximumsnelheid dient te houden in het

verkeer, toch word je regelmatig hard voorbijgereden, en ga zo maar door. Als het dagelijks leven zo’n duidelijk voorbeeld geeft van het feit dat bewustzijn niet zomaar leidt tot het gewenste gedrag, waarom zou dat in compliance dan wel zo werken?



Dit leidt tot het volgend belangrijk inzicht, namelijk dat het creëren van bewustzijn niet het einddoel moet zijn van een compliance campagne. Immers, wat heeft een organisatie eraan als alle medewerkers een 10 scoren op een awareness test? Dat zegt alleen maar iets over dat men weet wat van hen wordt verwacht. Niets over wat men daadwerkelijk doet!

Psychologie & Compliance

Als niet het creëren van bewustzijn het einddoel van de compliance campagne is, wat dan wel? Integer gedrag! Uiteindelijk wil een organisatie dat de medewerkers zich

integer gedrágen. Bewustzijn is daar een onderdeel van, maar gedrag bestaat uit meer dan alleen bewustzijn. Om dit beter te begrijpen, ontlenen we kennis uit de psychologie – de wetenschap van het gedrag. De gedragstheorie van MacInnis, Moorman & Jaworski ontleedt gedrag in componenten. Specifieker betekent dit dat gedrag kan worden gezien als resultaat van drie factoren: motivatie, capaciteit en gelegenheid. Met andere woorden: wíl iemand het doen, heeft iemand de kennis en vaardigheden om het te doen en krijgt iemand de kans om het te doen? Deze theorie maakt meteen zichtbaar waarom awareness niet het gewenste einddoel moet zijn. Awareness valt onder capaciteit; ben je ervan bewust dat je het moet doen, kun je het doen, weet je hoe je het moet doen, etc. Naast capaciteit spelen echter ook motivatie en gelegenheid een bepalende rol in gedrag; iemand kan wel wéten dat iets wordt verwacht en hoe het moet, maar die persoon moet het ook nog wíllen en in staat worden gesteld om het te doen.



Er is sprake van een drempelwaarde voor alle drie de factoren; mensen moeten voldoende gemotiveerd zijn, over voldoende kennis en vaardigheden beschikken én zij moeten voldoende de kans krijgen. Pas als aan die drie voorwaarden is voldaan, zullen mensen bepaald gedrag ook daadwerkelijk vertonen. Om gedrag te kunnen veranderen, zal dus moeten worden onderzocht welk van deze factoren niet aan de drempelwaarde voldoet. Dat kan er één zijn, maar ook meerdere. Pas als duidelijk is wat mensen tegenhoudt om bepaald gedrag te vertonen, kan effectief worden  nagedacht over manieren om het gedrag te veranderen.

Opvallend is dat de redenen voor het (ontbreken van) gedrag van de medewerkers vaak niet dezelfde zijn als die vooraf door de managers worden aangegeven.

Ook het MT moet mee

Om gedragsverandering door te voeren leert de psychologie ons dat gedrag heel specifiek moet worden gedefinieerd. Immers, ‘veilig gedrag’, ‘compliant zijn’ en ‘integer gedrag’ zijn brede begrippen die niet goed meetbaar of grijpbaar zijn. Daarom zal een psycholoog altijd op zoek gaan naar concreter gedrag: wat is het precieze gedrag dat u wilt veranderen? Wat is het gewenste gedrag dat u graag zou zien? Pas op het moment dat dit concreet is gemaakt, kan  namelijk worden onderzocht of de drie factoren motivatie, capaciteit en gelegenheid in voldoende mate aanwezig zijn. 



Voorbeelden van concrete gedragingen in het compliancedomein

zijn het weigeren van cadeaus boven een bepaalde waarde, eerlijk declareren en overleggen in geval van twijfel. Een aantal gewenste gedragingen in het kader van compliance zijn universeel en gelden dus eigenlijk voor elke organisatie. Onze ervaring leert echter ook dat de gedragingen die gewenst zijn in het kader van compliance, soms zeer specifiek kunnen zijn voor een bepaalde organisatie. Dit hangt samen met een groot aantal zaken, zoals de aard van de organisatie, het domein waarin de organisatie zich bevindt, of de organisatie een publieke functie heeft, of er politieke belangen zijn, of er een verleden is met incidenten etc. Het is daarom belangrijk om altijd vooraf na te denken wat de concrete doelen en de

daarbij behorende gewenste gedragingen zijn voor de specifieke organisatie. Een ‘one size fits all’ oplossing voor de menskant van compliance is minder effectief. 



De concrete gewenste gedragingen kunnen gelden voor een gehele organisatie, maar er zijn ook gedragingen die vooral relevant zijn voor een bepaalde groep medewerkers van een organisatie. Te denken valt aan groepen met een voorbeeldfunctie, met een publieke functie of groepen medewerkers die dicht bij kwetsbare processen of systemen zitten. Juist wanneer een organisatie aan de slag gaat met de menskant van compliance, speelt het voorbeeldgedrag een belangrijke rol. Wanneer het MT laat zien ook de hand in eigen boezem te steken, vergroot dit het draagvlak in de rest van de organisatie.

Drie getekende poppetjes beelden gedrag uit. Gedrag is motivatie plus capaciteit plus gelegenheid.

Niet aannemen maar meten

Wanneer goed is nagedacht over het concrete gedrag van de medewerkers dat wenselijk is, kan de volgende stap worden gezet. Deze bestaat uit het zorgvuldig onderzoeken in welke mate het gewenste gedrag nu al optreedt. Maar belangrijker; indien het nog niet optreedt, wat de medewerkers ervan weerhoudt om het te doen. Met andere woorden; is het voornamelijk een gebrek aan motivatie, aan capaciteit of aan gelegenheid? De afgelopen jaren hebben wij met een team van psychologen dergelijke onderzoeken verricht in een grote diversiteit aan organisaties. Opvallend is dat de redenen voor het (ontbreken van) gedrag van de medewerkers vaak niet dezelfde zijn als die vooraf door de managers worden aangegeven. Er is sprake van de valkuil (als MT of compliance officer) te denken dat je wel weet wat mensen  weerhoudt of juist drijft om bepaald gedrag te vertonen. Aannames als “ze vinden het gewoon niet belangrijk”, “ze vinden dat ze in hun recht staan”, “de tone at the top is niet goed” zijn soms correct, maar zeer vaak zijn ze dat niet of zijn ze niet volledig. Daarom pleiten wij vanuit de psychologie voor een onafhankelijke gedragsmeting, waarin bij de doelgroep zelf wordt vastgesteld wat hen drijft of juist weerhoudt van bepaald gedrag. Dit doen wij in de vorm van semi-gestructureerde interviews door

psychologen.



Ook de keuze voor interviews is gebaseerd op ervaring. Veel metingen vinden plaats aan de hand van vragenlijsten. Het voordeel hiervan is dat een grote groep kan worden bereikt. Los van het feit dat sprake is van vragenlijstmoeheid, valt echter moeilijk te controleren hoe serieus mensen de vragenlijst invullen. Een groter bezwaar in het geval van compliance is echter de beperking in de  antwoorden die een vragenlijst oplegt. Wanneer de vragenlijst wordt opgesteld, wordt nagedacht over mogelijke redenen die iemand zouden kunnen weerhouden van het vertonen van bepaald gedrag. De vragenlijst meet vervolgens die redenen. Let wel; de vragenlijst meet alléén díe redenen! In de interviews die onze psychologen inmiddels hebben gehouden, blijkt dat juist het persoonlijk gesprek met bijbehorende gesprekstechnieken en doorvragen ervoor zorgen dat er redenen op tafel komen te liggen die vooraf nooit waren bedacht. Redenen om dingen niet of juist wel te doen, die soms heel makkelijk te veranderen zijn, als het maar bekend is bij de organisatie.

En dan nu: interventies

Op het moment dat duidelijk is gedefinieerd welk gedrag een organisatie wil zien van de medewerkers, en onderzocht is wat die medewerkers nu nog tegenhoudt om dat gedrag te vertonen, kan de volgende stap worden gezet: het doen van interventies om dit gedrag te stimuleren. Welke interventies dit zijn, is afhankelijk van de input die de medewerkers zelf hebben gegeven. Op basis van de gegeven redenen kan concreet worden uitgewerkt welke stappen nodig zijn om eventuele barrières op te heffen of andere zaken juist te stimuleren. Maar wèlke interventies effectief zijn, is niet vooraf te bedenken. De menskant van compliance is maatwerk, voor elke organisatie, voor elk gedrag.



Dit artikel is gepubliceerd in 'De Compliance Officer', editie november 2018.

Inge Wetzer werkt bij Hoffmann als sociaal psycholoog cybersecurity & compliance

Dr. Inge Wetzer heeft economische psychologie gestudeerd en is gepromoveerd in de sociale psychologie. Na tien jaar onderzoek naar gedragsbeïnvloeding bij TNO werkt zij sinds 2016 bij Hoffmann als sociaal psycholoog cybersecurity & compliance en leidt zij het team van psychologen. Hun opdracht is om hun kennis en ervaring op gebied van menselijk gedrag te koppelen aan de domeinen compliance & cybersecurity om zo medewerkers van organisaties weerbaarder te maken.