Risicocultuur verwijst naar de normen, attitudes en gedragingen met betrekking tot risico’s binnen een organisatie. Het bepaalt in belangrijke mate hoe risico’s worden herkend, besproken, afgewogen en beheerst. Risicocultuur omvat de formele beheersingsmaatregelen, maar ook de ongeschreven normen, waarden en gedragingen die bepalend zijn voor het handelen van medewerkers. Een gezonde risicocultuur draagt bij aan betere besluitvorming, ethisch gedrag en de duurzaamheid van de organisatie. Zeker in de financiële sector, waar vertrouwen centraal staat, is risicocultuur cruciaal.
Veel beleggingsondernemingen zijn relatief klein en denken daarom wellicht dat ‘risicocultuur’ vooral iets is voor grote banken of verzekeraars. Toch is het ook voor kleinere partijen essentieel. In een kleinere setting zijn informele structuren vaker leidend, waardoor risico’s sneller over het hoofd worden gezien. Daarnaast is het risico op groepsdenken groter en kan de afstand tot een onafhankelijke toets ontbreken. Fouten of ongewenst gedrag vallen minder snel op, terwijl één incident al grote reputatieschade of zelf boetes kan opleveren. Een gezonde risicocultuur helpt ook kleinere ondernemingen bij:
Een gezonde risicocultuur helpt ook kleinere ondernemingen bij:
- Het maken van integere keuzes,
- Het beschermen van reputatie en vergunning,
- Het tijdig signaleren van conflicten of compliance risico’s,
- En het borgen van klantbelang in alle facetten van het werk.
Wat gaat er mis bij anderen en wat kunnen we daarvan leren?
Dagelijks zijn er tal van voorbeelden die worden uitgelicht in de media waarbij een verstoorde cultuur leidde tot problemen. Denk hierbij aan De Giro, De Volksbank, ING of ABN Amro. Maar ook buiten de financiële sector zijn er genoeg voorbeelden: Ajax The Voice of Holland, DWDD en de TU Delft, om er maar een paar te noemen
Onderliggende oorzaken zijn vaak onder andere:
- Ontoereikende checks and balances,
- Een gebrekkige meldcultuur
- Governance kwesties,
- Angst om meldingen te doen,
- Resultaatgerichte targets,
- De neiging om de andere kant op te kijken,
- Of angst voor hiërarchie.
En waar dit niet direct naar buiten kwam als grensoverschrijdend of cultuur problemen was niet naleven van regelgeving de eerste formele trigger voor de toezichthouder om ook vragen te stellen over de informele organisatie (gedrag en cultuur).
De rode draad: Risico’s werden onvoldoende besproken, signalen werden genegeerd of medewerkers voelden zich niet veilig om te spreken.
De les: Een cultuur waarin openheid, tegenspraak en reflectie worden gestimuleerd, is essentieel.
Wat zeggen toezichthouders over risicocultuur?
De AFM, DNB en ECB benadrukken al jaren dat gedrag en cultuur (‘de zachte factoren’) bij het beheersen van risico’s minstens zo belangrijk zijn als de ‘harde factoren’ zoals regels en procedures.
Volgens hen draagt een gezonde risicocultuur bij aan integere besluitvorming, zorgvuldige klantbediening en het voorkomen incidenten.
- AFM noemt risicocultuur als onderdeel van integere bedrijfsvoering en ziet het als fundament voor goed klantbelang.
- DNB heeft sinds 2011 gedrag en cultuur opgenomen in haar toezichtmethodiek, met focus op leiderschap, besluitvorming en groepsdynamiek.
- De ECB heeft in 2024 een nieuwe Draft Guide on Governance and Risk Culture waarin gedrag, cultuur, leiderschap en controlemiddelen worden geïntegreerd in toezichtverwachtingen.
Zowel de AFM, DNB als de ECB besteden expliciet aandacht aan risicocultuur in hun richtlijnen, guidance documenten en toezichtkalenders. Hieronder een overzicht van publicaties.
| Publicatie | Belangrijkste boodschap |
|---|---|
| AFM Gedragswetenschappelijk toezicht 2015 | Toezicht dat kijkt naar waarom mensen doen wat ze doen is effectiever. |
| AFM Bouwen aan een gezonde organisatiecultuur 2016 | Een sterke cultuur helpt risico’s eerder te signaleren en bespreekbaar te maken. |
| AFM Evenwichtige besluitvorming: omgaan met blinde vlekken 2017 | Inzicht in groepsdynamiek en besluitvorming helpt tunnelvisie voorkomen |
| AFM Open foutencultuur 2016 | Leren van fouten vraagt om een open cultuur waarin fouten bespreekbaar zijn. |
| AFM Agenda 2024 | Wij letten op de integriteit van bedrijfsvoering, passend risicobeheer, belangenconflicten en de werking van compliance – óók bij kleinere ondernemingen. |
| AFM Toezicht op beleggingsondernemingen 2023-2024 | Wij letten op de integriteit van bedrijfsvoering, passend risicobeheer, belangenconflicten en de werking van compliance – óók bij kleinere ondernemingen. |
| ECB Draft Guidance on Governance and Risk Culture | Deze guidance vervangt de SSM-verklaring 2016 . Gedetailleerde verwachten over hoe banken hun governance en risicocultuur moeten vormgeven. Er is speciale aandacht voor gedragsaspecten, de rol van management en de interne controle functies. |
| DNB Toezicht op governance, gedrag en cultuur 2023 | Benadrukt het belang van gedrag en cultuur in haar toezicht op financiële instellingen (focus op leiderschap, besluitvorming en communicatie). |
| DNB Toezicht methodieken en cultuur 2015 | Beschrijft hoe de DNB gedrag en cultuur onderzoekt binnen financiële instellingen met focus op leiderschap, besluitvorming en communicatie. |
| Toezicht in beeld 2024-2025 | Jaarlijkse publicatie waarin de toezichtsprioriteiten worden benoemd en ook hierin aandacht voor gedrag en cultuur. |
| Gedrag en cultuur in de financiele sector, 2025 | Pagina op website DNB, waar DNB benadrukt dat gedrag en cultuur invloed hebben op de resultaten van financiele instellingen. Bestuurders moeten zich bewust zijn van hun rol en het effect van hun gedrag. |
| ECB Guide to fit and proper assessments 2021 | Richtlijnen voor de beoordeling van geschiktheid leden van bestuur met aandacht voor integriteit, kennis en ervaring. |
De lessen uit deze publicaties zijn niet alleen toepasbaar op grote banken of verzekeraars. Ook kleinere beleggingsondernemingen hebben baat bij het herkennen en bespreekbaar maken van risico’s en besluitvorming.
Denk aan:
- Het bespreekbaar maken van fouten of twijfels
- Alertheid op belangenverstrengeling
- Het bouwen van een cultuur waar niet alleen ‘ wat moet’, maar ook ‘ wat klopt’ centraal staat.
De DSi over risicocultuur en wat er van compliance wordt verwacht
DSi, als normstellende organisatie voor de beleggingssector, wijst erop dat compliance niet alleen een kwestie is van regels volgen, maar ook van het creëren van een integere cultuur. In diverse lezingen en nieuwsbrieven is risicocultuur benoemd als thema waar compliance officers een actieve rol in hebben:
- Bevorderen van bespreekbaarheid van dilemma’s,
- Signaleren van patronen,
- Adviseren over governance-structuur en checks & balances
- En het vertalen van gedragscodes naar de dagelijkse praktijk.
Inmiddels is het onderwerp ook opgenomen in de vakbekwaamheidseisen voor de Compliance Professional. De in het programma van de permanente vakbekwaamheid voor 2025 zijn de volgende leerdoelen opgenomen:
- Benoemen wat de invloed is van publicaties over risicocultuur van toezichthouders op de rol van de compliance functie (voorbeeld ECB ‘Guide on governance and risk culture’).
- Beschrijven wat onder risicocultuur wordt verstaan en op welke manier risicocultuur de werkzaamheden van de compliance professional beïnvloedt.
- Concrete voorbeelden beschrijven waarin de risicocultuur van een bedrijf heeft geleid tot non-compliance.
- Good practices benoemen die de risicocultuur van een organisatie ten goede komen en de beheersingsmaatregelen versterken.
Praktische tips voor kleinere beleggingsondernemingen
Hoe breng je risicocultuur tot leven in een kleine organisatie?
- Maak cultuur bespreekbaar: : plan regelmatig teamgesprekken over dilemma’s of incidenten.
- Stimuleer tegenspraak: geef medewerkers de ruimte om vragen te stellen of zorgen te uiten.
- Rolmodelgedrag: : leiders moeten het goede voorbeeld geven in openheid, reflectie en integriteit.
- Gebruik praktijkvoorbeelden: leer van incidenten in de sector om bewustwording te vergroten.
- Borg checks & balances: ook in kleinere teams kan een (externe) compliance officer of toetsend oog uitkomst bieden. Bespreek rollen: weet iedereen in de organisatie waarop hij/zij aanspreekbaar is?
- Veranker risicocultuur in de integere beheerste bedrijfsvoering en compliance cirkel: gebruik de gedragscode als levend document, niet als formaliteit. Maak verbinding met de dagelijkse praktijk en zorg voor herkenbare voorbeelden voor de medewerkers.
Een sterke risicocultuur begint bij bewustwording en aandacht. Juist in kleine ondernemingen maakt elke stem het verschil – en daarmee ook de cultuur. Benieuwd hoe je risico kunt verankeren in jouw dagelijkse werkzaamheden? Neem contact met ons op voor praktische ondersteuning op maat van kleinere beleggingsondernemingen.