Optimaliseer uw klokkenluidersprogramma

Voor veel organisaties is een klokkenluidersprogramma een verplicht, maar zeker ook een belangrijk onderdeel van de bedrijfsvoering en compliance-strategie. Het hebben van een dergelijk programma is slechts de eerste stap. De echte uitdaging ligt in het continu verbeteren en optimaliseren van het programma. In dit artikel bespreken wij vijf vragen die u uzelf kunt stellen om het klokkenluidersprogramma naar een hoger niveau te tillen. Door deze vragen te beantwoorden, kunt u zwakke punten identificeren en gerichte verbeteringen doorvoeren die uw organisatie sterker en veerkrachtiger maken.

Zoals beschreven in het eerste artikel van deze reeks, is het hebben van een klokkenluidersprogramma (het geheel van de policies en procedures) belangrijk voor het beheersen van (fraude)risico's en het grip krijgen én houden op uw bedrijf. Zo volgt uit recent onderzoek naar ‘occupational fraud’ dat 43% van de onderzochte fraudegevallen te danken is aan ‘tips’ vanuit klokkenluidersmeldingen. Om meer uit uw huidige programma te halen, delen wij vijf vragen die u uzelf kunt stellen om de effectiviteit van het klokkenluidersprogramma te vergroten.

1. Is ons beleid duidelijk voor iedereen? Deze vraag ligt misschien voor de hand, maar de ervaring leert dat gedragsregels op verschillende manieren worden geïnterpreteerd. Dit hangt bijvoorbeeld af van de ervaring, achtergrond of persoonlijke voorkeuren van de lezer. Voor een klokkenluidersprogramma zijn er twee perspectieven: het interne en het externe perspectief. Voor beide perspectieven geldt dat onduidelijkheid de effectiviteit van het klokkenluidersprogramma ondermijnt. Om te beginnen met het externe perspectief (te zien als het perspectief van potentiële melders). Hierbij draait het om hoe, wat en waar gemeld kan worden. Als het beleid hieromtrent niet duidelijk is, aarzelen mensen om te melden. Dit kan leiden tot vertraging bij het signaleren van problemen, wat kan resulteren in escalatie van de problematiek. Idealiter is de policy beknopt, gemakkelijk te begrijpen en toegankelijk voor iedereen. Het advies is om duidelijke taal te gebruiken en voorbeelden te geven om verwachtingen te verduidelijken. Zorg ervoor dat de policy is afgestemd op uw gedragscode om verwarring over aangemoedigd en 'verboden' gedrag te voorkomen. Het interne perspectief (te zien als het perspectief van diegenen die betrokken zijn bij de behandeling van een melding) richt zich op de personen betrokken bij de ontvangst en verwerking van de melding. Bij een gebrek aan duidelijke richtlijnen lopen organisaties het risico dat meldingen inconsequent worden afgehandeld. Sommige zaken krijgen direct aandacht, terwijl andere zaken blijven liggen, waardoor de gelijkheid in de afhandeling en het vertrouwen in het proces in gevaar komen. Een onduidelijke aanpak verhoogt ook het risico op juridische uitdagingen en onnauwkeurige of onvolledige vastleggingen van genomen stappen. Dit laatste kan ook non-compliance met de Wet bescherming klokkenluiders opleveren. Denk hierbij bijvoorbeeld aan de verplichtingen tot de bevestiging van ontvangst van de melding en het registreren in een daarvoor ingericht register. 
2. Is het programma wel voldoende (en volledig) gedistribueerd? De effectiviteit van uw klokkenluidersprogramma hangt sterk af van de toegankelijkheid en de bekendheid ervan onder de doelgroep. In algemene zin geldt dat na lancering van het klokkenluidersprogramma niet voldoende aandacht wordt besteed aan de verdere verspreiding en bekendmaking hiervan. Hierdoor weten met name nieuwe werknemers en leveranciers niet waar ze informatie kunnen vinden, hoe zij een melding kunnen doen, of wat er gebeurt nadat de melding is gedaan. Dit kan de meldingsbereidheid beïnvloeden en daarmee de effectiviteit van het programma ondermijnen. Daarnaast wordt niet altijd het gehele programma gepubliceerd en verspreid. Denk bijvoorbeeld aan het niet verspreiden van de interne protocollen over wie de melding ontvangt, hoe wordt omgegaan met data en op welke manier met de melder wordt gecommuniceerd. Juist in de gevoelige situatie van het klokkenluiden werpt een gebrek aan informatie extra drempels op. Bijvoorbeeld als een melder overweegt om gedrag van het management te rapporteren, maar niet duidelijk is of het management toegang heeft tot de meldingen.
3. Hoe gebruiken wij data afkomstig uit het klokkenluidersprogramma? Zoals besproken in ons eerste artikel, is een klokkenluidersprogramma een bron van waardevolle informatie over uw bedrijf. Meldingen zijn bijvoorbeeld signalen van mogelijk (ongewenst) gedrag en een niet goed functionerende interne beheersing. Dit onderkennen is al een stap vooruit. Door deze informatie te combineren met andere elementen van (fraude)risicomanagement, tilt u de effectiviteit van het klokkenluidersprogramma naar een hoger niveau. Denk bijvoorbeeld aan de situatie waarin gerapporteerde signalen niet overeenkomen met de uitkomsten van het (fraude)risicoassessment. Dat kan een signaal zijn dat belangrijke risico's over het hoofd zijn gezien en een herbeoordeling nodig is. Daarnaast kan een integrale analyse van data terugkerende thema's of patronen aan het licht brengen. Dieper duiken in individuele gevallen kan helpen inzicht te krijgen in de onderliggende oorzaken van het (ongewenste) gedrag en de niet goed functionerende interne maatregelen. Deze kennis kan weer meegenomen worden in gerichte(re) training, het opzetten van bewustwordingscampagnes, beleidsaanpassingen of procesverbeteringen.
4. Beschermen wij klokkenluiders ook daadwerkelijk? En hoe? Met de nieuwe Wet bescherming klokkenluiders worden strengere eisen gesteld aan werkgevers, onder meer ten aanzien van de bescherming van klokkenluiders. Zo is het benadelingsverbod uitgebreid en is de bewijslast, in geval van benadeling, verschoven. Vroeger moest de melder bewijzen dat een relatie bestond tussen de melding en de benadeling. Volgens de nieuwe regeling rust deze bewijslast nu op de werkgever en hoeft de melder alleen aan te tonen dat hij benadeeld is en een melding heeft gedaan. Het is de verantwoordelijkheid van de werkgever om te bewijzen dat de benadeling niet gerelateerd is aan de melding. Niet minder belangrijk is het feit dat iemand die overweegt te melden, eerst een belangrijke horde moet nemen. Belangrijk daarbij is het gevoel daadwerkelijk beschermd te zijn tegen eventuele gevolgen. Klokkenluiders zich beschermd laten voelen wordt niet bereikt door enkel niet-vergeldingsclausules in de policies op te nemen. Praktische elementen zoals het inschakelen van een extern of objectieve vertrouwenspersoon / integriteit coördinator en getrainde onderzoekers kunnen daarbij helpen. Dit geldt ook voor het op de juiste wijze omgaan met relevante informatie, het regelmatig op de hoogte houden van de klokkenluider en een openlijk ondersteunend managementteam dat het belang van melden uitdraagt. Daarnaast is het wenselijk om, zodra de contouren van een zaak duidelijk zijn, na te denken over potentiële vergeldingsacties en proactieve maatregelen te nemen om deze te beperken. Idealiter worden dergelijke praktische elementen opgenomen in het onder punt twee beschreven interne protocol, zodat deze stappen ook consequent genomen worden.
5. Hoe wordt de effectiviteit van het programma gemeten? En hoe kan deze worden verbeterd? Tot slot moet, zoals bij alle elementen van (fraude)risicomanagement, het monitoren en testen van de effectiviteit van het programma vanzelfsprekend zijn. Wat 'effectief' betekent en hoe vaak dergelijke tests worden uitgevoerd, verschilt per organisatie. Als prestatie-indicatoren kunnen gegevens uit rapporten worden gebruikt, zoals trends en patronen in frequentie, onderwerp, geografische locatie, afstemming op risicomanagement en de anonimiteit van rapporten. Actie: definieer wat 'effectief' betekent voor uw bedrijf en begin met het bijhouden van de prestatie-indicatoren. De volgende stappen zijn kwartaalrapporten delen met het management, de betrokkenheid van deskundigen en het uitvoeren van ontwerp-, implementatie- en effectiviteitsaudits.

Samengevat willen wij u het volgende meegeven: net als bij andere onderdelen van (fraude)risicobeheersing is alleen het implementeren van een klokkenluidersprogramma niet voldoende. Door uw programma continue te monitoren, evalueren en verbeteren blijft uw organisatie proactief in het herkennen en mitigeren van (fraude)risico's. Dit draagt bij aan het creëren van een transparante en ethische bedrijfscultuur waarin medewerkers zich gehoord en veilig voelen om misstanden te melden. Het opzetten van een effectief klokkenluidersprogramma vergt tijd en inspanning. Rome is immers ook niet in één dag gebouwd. Uiteraard kunnen onze specialisten van Forvis Mazars u hierbij ondersteunen.