Vanessa Jeurissen-Kohn: ‘De mens, cultuur en gedrag zijn financiële risico’s

Compliance staat volop in de belangstelling. De regels worden complexer, de handhaving strenger en reputaties staan steeds vaker op het spel. Toch ontstaan vaak de grootste incidenten niet door een fout in het systeem, maar door wat er tussen mensen gebeurt: cultuur, gedrag en macht.

Daarover gaan we in gesprek met Vanessa Jeurissen-Kohn, bestuurder, toezichthouder en adviseur op het gebied van governance, risk en compliance. We verkennen met haar onder meer de verschuiving van regels naar realiteit, de belangrijkste trends en ontwikkelingen, en de beweging van afvinken naar voorbeeldgedrag.

Van regels naar realiteit
“Financiële risico’s zijn bij de meeste organisaties inmiddels goed beheerst. De cijfers kloppen, de dashboards draaien, de controles staan strak”, begint Vanessa Jeurissen-Kohn. “Toch lees je met zeer grote regelmaat over bedrijven die in opspraak raken door integriteitsproblemen, reputatieschade of een schending van vertrouwen. De grootste risico’s van nu zijn niet-financieel van aard, maar menselijk, cultureel en gedragsmatig. De echte uitdaging ligt vandaag in het domein van non-compliance.”

Jeurissen-Kohn onderscheidt vijf opvallende trends en ontwikkelingen op het gebied van compliance:

1. Cultuur, ethiek en mensen aan tafel:

“Compliance gaat steeds meer over ‘hoe we dingen doen’ en minder alleen over ‘wat we moeten doen’: Er is een groeiende nadruk op cultuur van de organisatie en ethiek, ‘speak-up’-mogelijkheden, integriteit van processen en ook van medewerkers. Ook de rol van de derde partij, denk aan leverancier of partner, en interne stakeholders wordt belangrijker: het gaat niet alleen om regels, maar vooral om gedrag. Het is dus essentieel dat je niet alleen kijkt naar de formele compliance-systemen, maar vooral ook naar de informele cultuur en de signalen.”

2. Verhoogde handhaving en reputatierisico’s
“Niet alleen regels veranderen, maar ook de handhaving wordt strenger, en non-compliance wordt steeds vaker aangemerkt als reputatierisico. Zo komen er hogere boetes, is er meer media-aandacht en zijn de consequenties voor organisaties die tekortschieten veelal significant. Het risico is niet alleen financieel zoals een boete, maar vooral ook strategisch en op reputatievlak: verlies van vertrouwen, vertraging van groei en schade aan merk. Compliance is geen check achteraf, maar zou onderdeel moeten zijn van de strategische agenda, op board-niveau.”

3. Technologie en AI in compliance
“Steeds vaker wordt compliance niet alleen reactief – regels volgen – maar proactief door technologie ingezet. Zo maken organisaties steeds vaker gebruik van data-analyses, machine-learning en AI om afwijkingen, risico’s en derde partijen ‘real-time’ te monitoren. Tegelijk erkent men dat AI ook nieuwe risico’s oplevert. Denk aan bias, onvoldoende transparantie en manipulatie. Hier worden nu weer nieuwe compliance programma’s voor ontwikkeld, zodat de organisatie zicht heeft op hoe de organisatie omgaat met deze technologische inspanningen én de bijkomende risico’s. Oftewel: technologie veilig en verantwoord laten werken.”

4. Ketenrisico’s en duurzaamheid als compliance-vraagstuk
“De focus verschuift van puur financiële- en regelgevings-compliance naar bredere thema’s zoals milieu, sociale verantwoordelijkheden en governance (ESG) en de toeleveringsketen. Zo is de Corporate Sustainability Reporting Directive (CSRD) in de EU een concreet voorbeeld waarmee bedrijven verantwoordelijk worden te rapporteren over onder andere milieu- of mensenrechtenrisico’s in hun keten. Zo groeit de aandacht voor de hele supply-chain compliance, zoals ethisch inkopen en cyberveiligheid bij leveranciers, sterk. En is belangrijk dat je je klant kent, diens eindklant en type transacties van de klant. Denk aan de UBO (Ultimate Beneficial Owner) kennen en het begrijpen hoe de geldstromen lopen van je klant ter voorkoming van witwassen.”

5. Globalisering en complexiteit van regelgeving
“Met de globalisering wordt ook wet- en regelgeving steeds internationaler, meer versnipperd en complexer. Zelfs binnen Europa verschillen de regels voor privacy- en gegevensbescherming, cyber en voorkoming witwassen. ‘Heeft de organisatie voldoende know-how en structuur om in dit complexe landschap te opereren? Zijn de procedures robuust genoeg? Is de governance hierop ingericht?’”

Jeurissen-Kohn ziet één ontwikkeling als het meest opvallend: de verschuiving van compliance naar strategische governance. “Compliance is niet langer een onderdeel van de compliance-afdeling, juridische zaken of de interne audit-functie”, legt ze uit. “Het is verworden tot een kernonderdeel van de bestuurs- en commissarissenagenda, van toezicht en strategie.”

De uitdagingen die leiders het meest onderschatten
Een effectieve compliance-aanpak begint bij leiderschap en voorbeeldgedrag, niet bij regels of checklists, stelt Jeurissen-Kohn. “Bestuur, directies en RvC’s moeten compliance zien als onderdeel van de organisatiecultuur en strategie, niet als een verplichting.” Volgens haar liggen de grootste uitdagingen daarbij op drie punten:

1. Tone at the top:
“Als bestuur, management en de RvC niet zichtbaar het goede voorbeeld geeft, blijft het bij woorden.”

2. Cultuur en gedrag:
“Regels werken pas als mensen begrijpen waarom ze er zijn. Ook hier is weer voorbeeldgedrag cruciaal.”

3. Integratie in de business
“Compliance moet meebewegen met innovatie, digitalisering en veranderende risico’s. Hier is van belang dat de medewerkers elkaar begrijpen en met elkaar actief contact hebben om oplossingsgericht – binnen de risk appetite van de organisatie – te werken. Hier zijn ook weer cultuur en voorbeeldgedrag van belang.”

De valkuil is de ‘afvinkcultuur’, benadrukt ze. “Denken dat ‘naleving’ hetzelfde is als ‘integriteit’. Echte compliance vraagt om moed, dialoog en moreel kompas, niet alleen om beleid.”

De eerste stap: maak compliance persoonlijk aan de top
Een effectieve integratie van compliance begint bij leiders die het gesprek zelf voeren, stelt Jeurissen-Kohn. “Een krachtige eerste stap is compliance persoonlijk en bespreekbaar maken aan de top”, legt ze uit. “Laat bestuurders en commissarissen niet alleen rapportages ontvangen, maar zelf het gesprek voeren over dilemma’s, gedrag en waarden binnen de organisatie. Laat leidinggevenden zelf deelnemen aan compliance-trainingen, in plaats van alleen goedkeuring te geven. Stimuleer een ‘speak up’-cultuur door als bestuurder of commissaris zichtbaar te reageren op meldingen of zorgen, niet defensief, maar lerend.”

“Als de top open praat over fouten, dilemma’s en keuzes, wordt compliance onderdeel van de dagelijkse besluitvorming in plaats van een verplicht nummer. Zodra de top dat gesprek normaliseert, volgt de rest van de organisatie vanzelf, want cultuur verandert niet door beleid, maar door voorbeeldgedrag.”

AI in de fiscale praktijk

Ontdek hoe AI jouw fiscale werk sneller, slimmer en betrouwbaarder maakt.
Leer hoe ChatGPT, Copilot en Agentic AI je ondersteunen bij analyse, onderzoek en schrijven, én hoe je deze tools verantwoord inzet in de fiscale praktijk. Met aandacht voor adoptie, veiligheid en collega’s meenemen in verandering. Vergroot vandaag nog je AI-geletterdheid als fiscalist.

Meld je hier aan

Wanneer cultuur faalt, faalt compliance
Jeurissen-Kohn bespreekt de KPMG-examenfraudekwestie als treffend praktijkvoorbeeld waarin cultuur en gedrag niet op orde waren en daarmee ook de compliance-aanpak faalde. In april 2024 kreeg KPMG Nederland een boete van 25 miljoen dollar van de Amerikaanse toezichthouder  PCAOB (Public Company Accounting Oversight Board) wegens grootschalig onderling delen van antwoorden op interne examens onder honderden medewerkers, waaronder ethiek- en compliance-trainingen. Het delen van deze antwoorden gebeurde zeker vijf jaar en ook partners en leidinggevenden deden mee.

Het bestuur wist of had ervan moeten weten, maar informeerde de toezichthouder pas na een whistleblower-melding. De toezichthouder PCAOB concludeerde dat het ging om een inappropriate tone at the top en een fundamenteel gebrek aan ethische cultuur en toezicht.

“De link met cultuur en gedrag is dat het niet om één fout ging, maar om een patroon dat jarenlang doorging. De opgestelde en afgesproken regels werden systematisch omzeild. Het compliance issue was een gedrags- en moreel probleem: medewerkers werden geacht mee te doen, de top gaf het impliciete signaal dat integriteit onder druk kon staan. Omdat de cultuur het mogelijk maakte, bleef het lang ongezien en ongeadresseerd, wat er ook voor zorgde dat de schade zoals boete en reputatieverlies vergrootte.”

Wat bestuurders hiervan leren
Een tone at the top waarin integriteit geen prioriteit is, maakt regels betekenisloos. Jeurissen-Kohn licht toe: “Natuurlijk zijn dashboards met een overzicht van ‘aantal trainingen voltooid’ belangrijk, maar uiteindelijk gaat het erom hoe medewerkers écht het ethische klimaat ervaren. Wordt er open gesproken? Worden fouten besproken en wordt ervan geleerd?”

En, adviseert ze: “Monitor soft controls. Zorg dat er ruimte is voor twijfel en tegenspraak. Daarnaast, maak de procedure en interne regels levend, bijvoorbeeld doordat compliance-trainingen niet éénmalige box-ticking zijn, maar zijn ingebed in de dagelijkse waan van de dag door dilemma’s te bespreken en een ‘speak up’-cultuur. En uiteraard is een goed whistleblower-mechanisme én follow-up belangrijk, al wil je natuurlijk voorkomen dat je in het stadium van melden terecht bent gekomen. Kortom: voorkomen is beter dan genezen.”

Soft signals als vroege waarschuwing
Een effectieve tool die Jeurissen-Kohn vaak inzet, is de soft signals scan. “Dat is een methode om niet alleen naar cijfers en rapportages te kijken, maar naar wat er écht leeft in de organisatie. Door periodiek gesprekken te voeren op verschillende niveaus, worden subtiele signalen zichtbaar: spanning tussen wat er gezegd en gedaan wordt, druk om doelen te halen of gebrek aan psychologische veiligheid.” Bestuurders en commissarissen krijgen op deze wijze vroegtijdig inzicht in cultuur- en gedragsrisico’s en kunnen ze deze thema’s gericht op de boardagenda zetten, nog vóór ze uitgroeien tot een compliance-issue.

Hoe compliance structureel op de boardagenda komt
Over hoe je compliance structureel en effectief op de boardagenda zet, is Jeurissen-Kohn stellig. “De sleutel is om compliance niet als apart agendapunt te behandelen, maar als onderdeel van strategische besluitvorming. Het mag geen ‘laatste punt voor de lunch’ zijn, maar een vast onderdeel van hoe de organisatie risico’s, gedrag en reputatie aanstuurt. Je kunt dat borgen door net zo structureel als financiële updates, ook met regelmaat met elkaar te spreken over morele dilemma’s, druk op targets die wordt ervaren en dergelijke.” Oftewel, vat ze scherp samen, compliance hoort niet op de agenda omdat het moet, maar omdat het de spiegel is van wie je als organisatie bent.

De toekomst: van controle naar bewustzijn
De komende vijf jaar zal Compliance nog verder verschuiven van controle naar bewustzijn, voorspelt Jeurissen-Kohn. “De klassieke ‘afvinkfunctie’ maakt plaats voor een strategische, data-gedreven en gedragsgerichte rol. Eerder gaf ik al de beweging van ‘regels naar real time inzicht’ aan. Door technologie en AI wordt het mogelijk om afwijkingen, datalekken of belangenconflicten direct te signaleren. Gevolg is dat Compliance minder reactief, maar meer voorspellend wordt. De spanning, ook voor toezichthouders, zit in ‘hoe algoritmes beslissingen nemen en welke ethische risico’s daarin schuilen’.”

Daarom is volgens haar cruciaal dat toezichthouders begrijpen wat AI, data-ethiek en algoritmische bias betekenen. “Door de globalisering en nieuwe wetgeving, zoals ESG-rapportage en due diligence-wetgeving, volgt complexere ketenverantwoordelijkheid. Het is nu des te belangrijker dat bestuurders en toezichthouders holistisch leren kijken naar risico’s die buiten de organisatie ontstaan, zoals bij leveranciers, data-partners en technologie-aanbieders. Maar ook naar integriteit en waar regels botsen, want technologie kan regels afdwingen, maar cultuur, leiderschap en psychologische veiligheid zijn bepalend voor duurzame compliance.”

Ze benadrukt dat voor boardmembers leiderschap belangrijk is en blijft, zoals reflecteren, vragen stellen en fouten bespreekbaar maken. Net als systemisch denken: risico’s niet per afdeling, maar met helikopterview voor de organisatie dan wel als verbonden ecosysteem te zien.

Boodschap aan boardmembers
In haar jarenlange carrière als bestuurder, commissaris en adviseur heeft Jeurissen-Kohn veelvuldig ervaren dat in boardrooms integriteit niet bepaald wordt door papieren procedures, maar door menselijke dynamiek. “De echte gesprekken over integriteit gaan zelden over regels, maar over ego, moed en vertrouwen. Ik heb vaak gezien dat in boardrooms alles strak geregeld is: beleid, toezicht en rapportages. Maar zodra het spannend wordt, dus als er mogelijke reputatierisico’s of morele dilemma’s spelen, draait het niet meer om procedures, maar om mensen. De echte vragen zijn dan: Durft iemand het ongemakkelijke punt te benoemen? Durft een commissaris door te vragen, ook als het de sfeer breekt?”

Lees ook: Risicomanagement heruitgevonden: van beheersen naar waarde creëren

Dit artikel verscheen eerder bij onze kennispartner Sijthoff Accountants Academy.

AI in de fiscale praktijk

Ontdek hoe AI jouw fiscale werk sneller, slimmer en betrouwbaarder maakt.
Leer hoe ChatGPT, Copilot en Agentic AI je ondersteunen bij analyse, onderzoek en schrijven, én hoe je deze tools verantwoord inzet in de fiscale praktijk. Met aandacht voor adoptie, veiligheid en collega’s meenemen in verandering. Vergroot vandaag nog je AI-geletterdheid als fiscalist.

Meld je hier aan