Risk based compliance in 5 stappen

Versplinterde wet- en regelgeving is voor veel organisaties een steeds groter wordend risico. En niet alleen deze versplintering is een groot euvel, sommige wetgevingen zijn ook nog eens tegenstrijdig aan elkaar. De reden hierachter is dat steeds meer stakeholders en toezichthouders zich met organisaties bezig zijn gaan houden. Daarnaast worden ze steeds actiever en wordt er geëist dat organisaties aantoonbaar acteren binnen de voor hen geldende wet- en regelgeving.

Samen met de technologische ontwikkelingen rondom data en privacy, zorgt dit voor steeds meer werk voor de juristen (naast hun reguliere werk rondom contracten en juridische procedures).

De ISO 19600 van 15 december 2014 kiest voor een risk based aanpak. Zelf denk dat dit zeker kan helpen, er moeten immers prioriteiten worden gesteld. Wel ontbreekt mijns inziens een belangrijke stap; het bepalen van de risk appetite. Hieronder zal ik kort de stappen uiteenzetten die ik zelf waarneem:

Scope

Gestart moet worden met het in kaart brengen van relevante interne en externe wet-  en regelgeving. Belangrijk is dit vooral in het begin breed te benaderen, en hierbij ook te kijken naar regels waar men vrijwillig aan wil voldoen. Tevens is het essentieel vooruit te kijken en de nieuwe wet – en regelgeving of veranderingen van bestaande hier nauw bij te betrekken. Kijk bij de scope ook naar de overlap tussen de verschillende wet-regelgeving; als men aan de ene norm voldoet voldoet met ook gelijk aan andere norm.

Risicoanalyse

Daarna dient per verplichting te worden vastgesteld wat de impact is, mocht men zich niet aan de wet houden. Hierbij dient vooral gekeken te worden naar de imago- en continuïteitimpact, welke vaak net zo belangrijk is als  de financiële impact. Wie zich niet aan de wet houdt, creëert een behoorlijk negatief imago. Denk hierbij bijvoorbeeld aan het Volkswagen dieselfraude dossier.   Kijk vervolgens naar de kans op niet naleving en dus een compliance issue.  De kans wordt bepaald door het aantal bestaande beheersmaatregelen die reeds aanwezig zijn.

Risk appetite

Van die wet-en regelgeving waar de grootste risico’s zitten, moet men de diepte in.  Als men 100% compliant wil zijn, dan brengt dit aanzienlijke kosten met zich mee. De vraag die gesteld moet worden aan de specialist is hoe compliant de organisatie  nu is en hoe compliant ze zou moeten zijn? 100% of kan het ook 70% zijn?  Eigenlijk bepaalt de organisatie bottom up wat haar risk appetite is. Dit overzicht dient vervolgens helder aan de directie te worden gepresenteerd.

Beheersmaatregelen

Voor die wet- en regelgeving waarvan de risk appetite beduidend lager ligt dan uit de analyse blijkt, dienen aanvullende beheersmaatregelen te worden genomen. Deze zullen in de praktijk bestaan uit het vergroten van het kennisniveau en het risicobewustzijn van de organisatie. Daarnaast hangt het naleven van regels en codes nauw samen met het integer handelen, en de cultuur van de organisatie. Zorg dus bijvoorbeeld voor voldoende checks en balances bij de echte risk takers binnen het bedrijf.

Continu proces

Uiteraard gaat het in dit soort processen niet om één foto, maar om een gehele film. Er dient dan ook regelmatig geëvalueerd te worden of de genomen extra beheersmaatregelen daadwerkelijk effectief zijn. Ook dient de organisatie alert te zijn, juist op de nieuwe wet- en regelgeving die moet worden geïmplementeerd. Heldere taken en verantwoordelijkheden moeten daarom aan de juristen of legal officers worden overgedragen. Het onderwerp dient daarnaast ook regelmatig op de agenda centraal en decentraal te verschijnen.

Auteur: Robert ’t Hart

Senior partner Governance & risicomanagement Board room advisor, met een brede ervaring op het gebied van strategische dillema’s, risk appetite en disruptie. Ziet angst voor verlies als belangrijkste denkfout in het menselijk brein en bepalend voor onze angst om risico’s te nemen: ‘Zonder risico’s geen vooruitgang’. Altijd op zoek naar de balans tussen risico’s nemen en beheersen. Confronterend op een creatieve en tevens inspirerende manier. Brengt het liefst complexe problematiek rondom stakeholders, technologie en compliance terug naar de kern. Ervaren docent op Universiteit van Twente en het Zijlstra Center & gedreven blogger. Schrijver van artikelen en het boek “No risk No Fun” BLOG TRENDS RISICOMANAGEMENT https://robertthart.wordpress.com Risicomanagement decentralisaties gemeenten 2014 FD outlook special, HRO organizations, sept. 2012 FD outlook special DURF; 4 best practices risicomanagement sept.2011 Risicomanagement; meer EQ dan IQ; ControllersMagazine nr. 1, 2009 Een directeur risicomanagement binnen de overheid TPC09, 2009 Een positieve blik op modellen risicomanagement TPC04, 2010 VGS publicatie ” Risicoperceptie van de gemeentesecretaris”. 7 eigenschappen voor de effectieve implementatie van risicomanagement; BNG magazine okt.08 De tien risicomanagement lessen uit Engeland ; Editie B&G, juli/augustus 2007, p. 33-38 Is de controller wel een goede risicomanager? ControllersMagazine nr. 7, 2006 Bekijk alle berichten van robertthart

Share on linkedin
LinkedIn
Share on twitter
Twitter
Share on facebook
Facebook
Share on email
Email
Share on print
Print

In het kort:

Over de auteur
Over de auteur

Robert ’t Hart is directeur van Naris. Hij is een veel gevraagde spreker op congressen vanwege zijn positieve kijk op het onderwerp risicomanagement. Daarnaast is hij een enthousiaste blogger over de nieuwste ontwikkelingen. Als docent is Robert verbonden aan de Universiteit Twente en Haagse Hogeschool en tevens is hij trainer aan de Naris Risk Academy. Hij is thuis op het gebied van governance en risicomanagement en helpt organisaties bij het daadwerkelijk implementeren daarvan. Risico-cultuur en het creëren van draagvlak behoort tot zijn expertise.

Meer artikelen: