Risk based compliance
Versplinterde wet- en regelgeving is voor veel organisaties een steeds groter wordend risico. En niet alleen deze versplintering is een groot euvel, sommige wetgevingen zijn ook nog eens tegenstrijdig aan elkaar. De reden hierachter is dat steeds meer stakeholders en toezichthouders zich met organisaties bezig zijn gaan houden. Daarnaast worden ze steeds actiever en wordt er geëist dat organisaties aantoonbaar acteren binnen de voor hen geldende wet- en regelgeving.
Samen met de technologische ontwikkelingen rondom data en privacy, zorgt dit voor steeds meer werk voor de juristen (naast hun reguliere werk rondom contracten en juridische procedures).
De ISO 19600 van 15 december 2014 kiest voor een risk based aanpak. Zelf denk dat dit zeker kan helpen, er moeten immers prioriteiten worden gesteld. Wel ontbreekt mijns inziens een belangrijke stap; het bepalen van de risk appetite. Hieronder zal ik kort de stappen uiteenzetten die ik zelf waarneem:
Scope Risk based compliance
Gestart moet worden met het in kaart brengen van relevante interne en externe wet- en regelgeving. Belangrijk is dit vooral in het begin breed te benaderen, en hierbij ook te kijken naar regels waar men vrijwillig aan wil voldoen. Tevens is het essentieel vooruit te kijken en de nieuwe wet – en regelgeving of veranderingen van bestaande hier nauw bij te betrekken. Kijk bij de scope ook naar de overlap tussen de verschillende wet-regelgeving; als men aan de ene norm voldoet voldoet met ook gelijk aan andere norm.
Risicoanalyse
Daarna dient per verplichting te worden vastgesteld wat de impact is, mocht men zich niet aan de wet houden. Hierbij dient vooral gekeken te worden naar de imago- en continuïteitimpact, welke vaak net zo belangrijk is als de financiële impact. Wie zich niet aan de wet houdt, creëert een behoorlijk negatief imago. Denk hierbij bijvoorbeeld aan het Volkswagen dieselfraude dossier. Kijk vervolgens naar de kans op niet naleving en dus een compliance issue. De kans wordt bepaald door het aantal bestaande beheersmaatregelen die reeds aanwezig zijn.
Risk appetite
Van die wet-en regelgeving waar de grootste risico’s zitten, moet men de diepte in. Als men 100% risk based compliance wil zijn, dan brengt dit aanzienlijke kosten met zich mee. De vraag die gesteld moet worden aan de specialist is hoe compliant de organisatie nu is en hoe compliant ze zou moeten zijn? 100% of kan het ook 70% zijn? Eigenlijk bepaalt de organisatie bottom up wat haar risk appetite is. Dit overzicht dient vervolgens helder aan de directie te worden gepresenteerd.
Beheersmaatregelen
Voor die wet- en regelgeving waarvan de risk appetite beduidend lager ligt dan uit de analyse blijkt, dienen aanvullende beheersmaatregelen te worden genomen. Deze zullen in de praktijk bestaan uit het vergroten van het kennisniveau en het risicobewustzijn van de organisatie. Daarnaast hangt het naleven van regels en codes nauw samen met het integer handelen, en de cultuur van de organisatie. Zorg dus bijvoorbeeld voor voldoende checks en balances bij de echte risk takers binnen het bedrijf.
Continu proces
Uiteraard gaat het in dit soort processen niet om één foto, maar om een gehele film. Er dient dan ook regelmatig geëvalueerd te worden of de genomen extra beheersmaatregelen daadwerkelijk effectief zijn. Ook dient de organisatie alert te zijn, juist op de nieuwe wet- en regelgeving die moet worden geïmplementeerd. Heldere taken en verantwoordelijkheden moeten daarom aan de juristen of legal officers worden overgedragen. Het onderwerp dient daarnaast ook regelmatig op de agenda centraal en decentraal te verschijnen.
