Compliance, ethics en data

De laatste tijd houd ik me vooral bezig met de morele aspecten van techniek en innovatie.  En dat is nogal een omvattend – en boeiend – onderwerp.  Dus er is veel tijd gaan zitten in het inlezen op dit onderwerp, het onderzoeken van de heikele issues met diverse experts, en het vertalen van inzichten naar mooie ‘producten’.

Zoals daar is de samenwerking met het Human and Tech Institute HTi om tot een netwerk van experts te komen, die organisaties kunnen bijstaan in het komen tot maatschappelijk verantwoorde innovaties.  Daarnaast ook de recente editie voor het Tijdschrift voor Compliance, geheel gewijd aan data.

Ethics in het compliance domein

Al doende bekroop me dat de groei in technische mogelijkheden behoorlijke gevolgen voor het compliance domein zou kunnen hebben.  Met gevolgen voor het aanpalende domein ‘ethics’.

Over de jaren heb ik in mijn carriere ‘ethics’ en ‘compliance’ zien convergeren.  Gedrag, en daarmee cultuur, werd een belangrijk ding, het begrip ‘soft controls’ werd geïntroduceerd, op weg naar het bewerkstelligen van een omgeving gekenmerkt door psychosociale veiligheid en vertrouwen waarin mensen elkaar zouden durven aanspreken op ongewenst gedrag.  Dit, aangezien schandalen aantoonden dat enkel het hebben van beleid, processen, en controlemechanismen nog niet betekende dat mensen zich ernaar gedroegen.  Men sprak niet meer over de ‘CO’, maar over de ECO of CECO: de Chief Ethics & Compliance Officer.  Maar zet deze trend zich door?

Effect van de inzet van data op compliance

Door de ontwikkelingen in kunstmatige intelligentie zijn de bakens volgens mij weer wat aan het schuiven.  Op weg naar een wereld van meten is weten.  De mogelijkheden van big data zijn eindeloos, waardoor er meer grip mogelijk lijkt op het opsporen en aanpakken, en het voorspellen en voorkomen van onregelmatigheden of misstanden. Woorden als ‘data analytics’, ‘data driven compliance’, machine learning en articificial intelligence[1] doen hun intrede, gebruik makend van uiteenlopende sets van data, bijvoorbeeld ontleend aan de ‘wearables’ te dragen door medewerkers.  Met deze technieken wordt ons gedrag steeds beter te monitoren, te voorspellen en te sturen op basis van de hoeveelheden data die organisaties verzamelen.  Mensen zullen zelf hun gedrag gaan aanpassen (ook wel het ‘chilling effect’ genoemd), of mensen zullen gedwongen worden hun gedrag aan te passen.

Hoe ver dat kan gaan is bijvoorbeeld te zien in de film ‘sorry we missed you’.  Een excellente, maar behoorlijk deprimerende film waarin de werkdag van een pakketjesbezorger constant gestuurd en gemonitord wordt door een scanner dat alles voorschrijft; de pakketjes, de routes, de tijden.  Met dusdanige targets dat de beloofde ‘vrijheid’ als ‘franchisenemer’ zich al snel vertaalt naar een onhoudbare situatie.  De strakke monitoring van prestaties, naast een set van regels die elk risico in zijn werk op hem afwentelen, maakt dat je niet vrolijk over een door data gestuurde wereld de bioscoop uit komt. Een beeld doemt op van een wereld waarin controle en de technische maat leidend is geworden in de werkrelatie, met weinig ruimte voor autonomie en (mede)menselijkheid.

Effect van de inzet van data op ethics

Betekent bovenstaand nu dat in de toekomst een effectief en efficiënt compliance programma voor de Ethics & Compliance officer enkel een zaak gaat worden van inzet van de juiste data-systemen?  Ik waag het te betwijfelen.  Daarbij denk ik bijvoorbeeld aan het effect van een dergelijk ‘big brother’ regime op:

  • De bereidheid van mensen om zich uit spreken of anderen aan te spreken om gedrag wat niet in lijn is met de vigerende gedragscode (de systemen zullen wel corrigeren waar nodig, daar hoeven wij niet meer op te letten).
  • De bereidheid om vermoedens van integriteitsschendingen te melden bij een hotline (want dat moeten ze maar uit hun systemen halen) Zie ook mijn blog over het belang hiervan; meer dan de helft van de huidige fraudezaken komt nu nog aan het licht via een melding naar de hotline. Nu zullen data-systemen wellicht in de toekomst deze verhoudingen veranderen, maar vooralsnog spelen medewerkers een belangrijke rol in het ontdekken en stoppen van frauduleus handelen!
  • Het effect van controle- en beloonsystemen op het gedrag van de mens, in die situaties dat er geen controle- of beloonsytemen zijn, of deze niet 100% dekkend zijn. Maken we dan nog steeds de ‘goede’ keuzes? Of wordt iedere maas in de deken dan een ‘opportunity’, want wat niet verboden of onmogelijk is, mag, en geen beloning, dan ook geen gewenste gedrag.
  • De schijnveiligheid die controles met zich meebrengen, bijv. als gevolg van ‘false positives’, misinterpretatie van data, of conclusies op verkeerde aannames en interpretaties van data
  • Het risico dat mensen vergaande inzet van controle ervaren als een uiting van wantrouwen, en zich daarnaar gaan gedragen

Aandacht voor de morele kant van de inzet van techniek is op dit moment hot, en de ene ethics standaard na de andere ziet het licht.  Een manier om dergelijke standaarden te operationaliseren is middels een MIA; een moral impact assessment, zoals oa bepleit door Edgar Karssing in dit artikel.  Middels een MIA zouden compliance officers zicht kunnen krijgen op de (negatieve) gevolgen van de inzet van data, en helder kunnen krijgen welke mogelijke waarden en belangen van derden met deze inzet botsen, zodat juiste keuzes afgewogen, en mitigerende maatregelen genomen kunnen worden.

Ethics gereduceerd tot compliance tool?

De MIA is een tool, net zoals de PIA op gebied van privacy en de HRIA op gebied van mensenrechten.  Prima tools, maar ze zijn niet meer dan dat; een hulpmiddel.  De schaduwkant die ik daarbij zie is dat de inzet van deze tools mogelijk verwordt tot een risicobenadering waar niet het risico voor betrokkenen maar het (reputatie)risico van de organisatie centraal komt te staan, en waar de afwegingen van keuzes met name ten voordele van de organisatie zullen uitvallen. Gewoon, omdat het kan, en omdat het risico het vraagt.  Risicomanagement is een bruikbare lens voor besluitvorming, maar toch ook een met tekortkomingen, waaronder de verleiding van het vooropstellen van het eigen belang.

Wil de inzet van dergelijke MIAs, PIA’s of HRIA’s slagen, dan vraagt dat m.i. om een sterk waardengedreven cultuur, als fundament voor deze exercities.  Anders zullen ze snel als extra ‘speedbumps’ ervaren worden, die enkel opgepakt zullen worden als de wet daarom vraagt.  En op de manier zoals hierboven beschreven; vanuit de risicomanagement gedachte.

Divergentie compliance-ethics

Dus eigenlijk zie ik het liefst dat compliance en ethics weer meer gaan divergeren.  Dat zou inhouden dat de wereld van de compliance officer steeds meer gedreven zal gaan worden door de inzet van data ter verhoging van de efficiency en effectiviteit van het compliance programma.

De ethics officer daarentegen zal zich dan dienen toe te leggen op het faciliteren van die waardengedreven cultuur; een conflictvaardige cultuur waarin men doordrongen is van de ‘purpose’ van de organisatie met de daarbij horende kernwaarden, al dan niet uitgewerkt in bijbehorende gedragscode.  Een cultuur ook waarin men aangemoedigd wordt te bespreken, zich uit te spreken, en aan te spreken.  Daarmee verbonden zal de ethics functie zich ook dienen te richten op het inrichten en operationaliseren van een effectieve meldregeling en -procedure. Met oog voor melder en andere betrokkenen, en gekenmerkt door  zorgvuldigheid, in aanpak en afhandeling.  Een dergelijke aanpak zal ten goede komen aan het gevoel van organisatorische rechtvaardigheid, waardoor mensen zich weer eerder zullen uitspreken.  Een zichzelf versterkende cirkel.

Ethics als counterveiling power

Ook zal deze functie bij tijd en wijle als een counterveiling power moeten dienen, in die gevallen waar het (reputatie)risico te leidend zou dreigen te worden in de besluiten van de compliance functie, bijv. in het kader van de MIA discussie. Dat beide functies namelijk behoorlijk met elkaar op gespannen voet kunnen komen te staan lijkt me een grote waarschijnlijkheid, en goed voor beide rollen.  Het houdt elkaar scherp.  Dat is gelijk ook een additionele reden om beide functies naast elkaar te zetten, als communicerende vaten, en niet meer het pad van convergentie te blijven bewandelen.

Onder het motto ‘zonder wrijving geen glans!’

 

 

[1] Voor een heldere uitleg over het verschil tussen deze termen zie ook dit artikel ‘variance explained’ van David Robinson (in het engels)