My Essay

Tag: Risicomanagement

  • 1. Compliance: judo met risico’s

    Inleiding

    De compliancefunctie wordt vaak gezien als de afdeling of persoon die bewaakt of de organisatie zich strikt houdt aan wet- en regelgeving. In dat beeld gaat het vooral om het naleven van regels, waarbij de compliance officer fungeert als een soort toezichthouder die erop toeziet dat iedereen binnen de gestelde kaders blijft. Dit paradigma, de compliance officer als politie-agent, is binnen de accountantssector nog redelijk breed ingeburgerd. Het is het paradigma van waaruit criticasters op de sector vaak praten over een compliance gedreven werkwijze, in plaats van een kwaliteitsgedreven werkwijze. De toevoeging die je dan vaak ziet is dat het zou gaan om afvinken van lijstjes, en daarmee wordt niets positiefs bedoeld.

    Ik stel dat dit paradigma te beperkt is en niet het volledige beeld geeft van wat compliance betekent binnen een organisatie. In plaats van compliance te zien als het bewaken van regelconformiteit, pleit ik voor een benadering waarin compliance wordt gezien als een functie die bevordert dat, en monitort of, risico’s worden beheerst die de realisatie van de doelstellingen van de organisatie bedreigen. Wet- en regelgeving zijn daarbij niet het doel op zich. Het niet naleven van regels is relevant omdat het juist een risico vormt voor het bereiken van de strategische, tactische en operationele doelen van de organisatie. Om het heel expliciet te maken: de organisatie houdt zich niet aan de wet omdat dat moet van “compliance”, maar omdat de organisatie een intrinsieke motivatie heeft die voortkomt uit de strategie om zich aan de wet te houden. De compliance officer bewaakt aldus niet dat de organisatie zich aan de wet houdt, vanwege de wet, maar omdat het zich niet aan de wet houden een “voorval” is, een realisatie van een risico. Het is dan feitelijk niet de overtreding van de wet die de primaire aandacht heeft, maar het feit dat een voorval zich heeft kunnen voordoen dat buiten de risk appetite van de organisatie valt en door interne beheersing had moeten worden voorkomen. De mitigering van het risico heeft niet afdoende plaats gevonden, en dat is wat tot het primaire aandachtsgebied van de compliancefunctie behoort.

    Met andere woorden, compliance kan worden beschouwd vanuit twee paradigma’s:

    • Het paradigma van regelnaleving, waarin de nadruk ligt op het voorkomen van overtredingen van wet- en regelgeving.
    • Het paradigma van risicobeheersing, waarin compliance wordt begrepen als een dynamische functie die zich richt op de opzet, bestaan en werking van maatregelen ter beheersing van risico’s die de doelstellingen van de organisatie kunnen schaden.

    Deze twee paradigma’s overlappen in uiterlijk maar sluiten elkaar uit in fundamentele visie. De uiterlijkheid van het nalevingsparadigma is bijvoorbeeld dat de compliancefunctie de naleving van een regel checkt, terwijl de uiterlijkheid van het tweede paradigma dezelfde is. Maar in het eerste paradigma wordt de check uitgevoerd om de regel zelf, en in het tweede paradigma wordt de check uitgevoerd om de werking van een onderliggende risico-mitigerende maatregel te toetsen.

    Mijn visie is dat de compliancefunctie zinvoller is indien opgezet vanuit het tweede paradigma, dan wanneer deze is opgezet vanuit het eerste paradigma. Dat betekent wel dat een organisatie niet alleen een compliancefunctie moet inrichten, maar evenzeer een risicomanagementfunctie die complementair moet zijn met de compliancefunctie. Dit samenspel van risk en compliance haalt kracht haalt uit het vermogen om vanuit een integrale risicobenadering te werken, waardoor compliance niet slechts een blokkade wordt, maar een partner in het veilig en effectief realiseren van organisatiedoelen.

    Om deze visie te illustreren gebruik ik een metafoor uit de vechtsport: judo. Net zoals judo niet draait om brute kracht, maar om het meebewegen met en sturen van de kracht van de tegenstander, werkt compliance met de risico’s binnen een organisatie. Compliance is niet het hard neerslaan van risico’s, maar het gebruik van slimme technieken om risico’s te beheersen zonder de organisatie te verstikken.

    De filosofie van judo

    Hoewel judo tegenwoordig vooral bekendstaat als een olympische vechtsport, gaat de oorsprong ervan veel verder dan louter fysieke techniek. Jigoro Kano, de grondlegger van judo, ontwikkelde het als een levensfilosofie en een leer voor persoonlijke ontwikkeling. Judo is daarmee niet alleen een sport, maar een manier van denken en handelen die zich uitstrekt tot alle facetten van het leven.

    De kern van deze filosofie wordt gevormd door twee fundamentele principes:

    • Wederzijds profijt en welbevinden (jita kyōei, 自他共栄): dit principe benadrukt dat het succes van de één onlosmakelijk verbonden is met het succes van de ander. In plaats van winnen ten koste van de ander, streeft judo naar situaties waarin alle betrokkenen voordeel hebben en kunnen floreren. Samenwerking, respect en harmonie staan hierin centraal.
    • Het maximale effect met minimale inzet (seiryoku zenyō, 精力善用): dit principe draait om efficiëntie en doelgerichtheid. Het gaat erom met zo min mogelijk inspanning het best mogelijke resultaat te bereiken. Slimme techniek, timing en het gebruiken van de kracht van de ander spelen hierbij een cruciale rol.

    Deze filosofische principes vertalen zich in de sport tot het toepassen van technieken die niet gericht zijn op brute kracht of schade, maar op beheersing, balans en het ombuigen van de kracht van de tegenstander. Judo leert je om altijd respectvol en met zelfdiscipline te handelen, met oog voor het welzijn van iedereen die betrokken is. Uitingen in de sport hiervan zijn bijvoorbeeld:

    • Nooit permanente schade toebrengen
    • De “meerdere” stelt zich beschikbaar aan de “mindere” om deze de kans te geven zich te ontwikkelen
    • Gebruik van de kracht en de beweging van de tegenstander
    • Blokkeren en uit balans brengen in plaats van stoten en trappen
    • Uitschakelen door beheersing, niet door verwonding
    • Respect, zelfdiscipline en harmonie

    Voor de compliancefunctie binnen een accountantsorganisatie biedt deze filosofie een krachtig kader. Net als in judo gaat het bij compliance niet om het keihard neerzetten van regels of het uitschakelen van risico’s met brute kracht, maar om het slim meebewegen met risico’s en het gebruik van technieken die risico’s beheersbaar maken zonder de organisatie te verstikken. Compliance streeft naar een balans waarbij de organisatie veilig en effectief kan opereren, met respect voor alle belangen die meespelen. Het maximale effect, beheersing van risico’s, wordt bereikt met een minimale inzet van middelen.

    Wat is een risico

    Binnen risicomanagement wordt een risico gedefinieerd als de combinatie van de kans dat een bepaalde gebeurtenis plaatsvindt en het effect dat deze gebeurtenis heeft op de doelstellingen van de organisatie. Risico’s zijn er in vele vormen en maten, en het is essentieel om deze systematisch te begrijpen en te beheersen om succesvol te kunnen opereren.

    Om risico’s goed te kunnen managen, is het belangrijk een aantal kernbegrippen te kennen:

    • Voorval (event): de feitelijke gebeurtenis waarbij een risico zich manifesteert. Dit is het moment waarop een potentieel risico werkelijkheid wordt.
    • Risicobereidheid (risk appetite): het niveau van risico dat een organisatie bereid is te accepteren in haar streven naar doelstellingen. Het is een strategische keuze die richting geeft aan het risicomanagement.
    • Soorten maatregelen: manieren waarop een organisatie risico’s kan aanpakken:
      • Mitigeren (beheersen): risico’s verminderen door maatregelen te treffen.
      • Overdragen (verzekeren): het risico gedeeltelijk overdragen aan een derde partij, bijvoorbeeld een verzekeraar.
      • Accepteren: bewust het risico nemen zonder verdere maatregelen, bijvoorbeeld omdat de kosten van beheersing hoger zijn dan het risico zelf.
      • Elimineren(activiteit beëindigen): het risico volledig wegnemen door de betreffende activiteit stop te zetten.
    • Bruto risico: het risico dat bestaat voordat er beheersmaatregelen zijn genomen.
    • Netto risico: het risico dat overblijft nadat beheersmaatregelen zijn toegepast.
    • Kans (probability): de waarschijnlijkheid dat het risico zich daadwerkelijk voordoet.
    • Impact (effect): (de ernst van) de gevolgen als het risico werkelijkheid wordt.
    • Horizonten: de tijdsdimensies waarin risico’s kunnen optreden en beheerst moeten worden:
      • Operationeel: risico’s die het dagelijkse functioneren beïnvloeden.
      • Tactisch: risico’s die de organisatie op middellange termijn raken.
      • Strategisch: risico’s die verband houden met lange termijn doelen en de algemene richting van de organisatie.
    • Domeinen: de verschillende gebieden waarbinnen risico’s zich kunnen manifesteren:
      • Integriteit: risico’s met betrekking tot ethisch gedrag en vertrouwen.
      • Kwaliteit: risico’s die samenhangen met processen en producten.
      • Financieel: risico’s die betrekking hebben op financiële gevolgen en verliezen.
    • Kwantitatief: risico’s die meetbaar zijn of in meetbare grootheden voorspelbaar zijn, in kans, impact of beiden, zoals financiële verliezen of aantallen.
    • Kwalitatief: risico’s die lastig in cijfers te vatten zijn, zoals reputatieschade of ethische kwesties.

    Risicomanagement is geen statisch begrip, maar een continu proces dat bestaat uit verschillende stappen om risico’s effectief te beheersen. Deze stappen zijn:

    1. Risico-identificatie: het systematisch in kaart brengen van risico’s die de doelstellingen van de organisatie kunnen beïnvloeden.
    2. Risicobeoordeling: het inschatten van de kans en impact van de geïdentificeerde risico’s, en het bepalen van de risicobereidheid van de organisatie.
    3. Risicobeheersing: het nemen van maatregelen om risico’s te mitigeren, te accepteren, over te dragen of te elimineren.
    4. Monitoring en rapportage: het continu volgen van risico’s en de effectiviteit van beheersmaatregelen, en hierover rapporteren aan de relevante stakeholders.

    Door dit proces cyclisch en integraal toe te passen, kunnen organisaties risico’s niet alleen beheersen, maar ook tijdig anticiperen op veranderingen en nieuwe bedreigingen.

    Tussen al deze begrippen bestaan verbanden. De begrippen geven zo de syntax, en de verbanden de grammatica, waarin een taal gevonden kan worden om over risico’s te communiceren binnen een organisatie. Het is van belang dat de verschillende onderdelen van de organisatie hierin dezelfde taal spreken: medewerkers, management, bestuurders, risk management, compliancefunctie, interne en bij voorkeur ook externe toezichthouders.

    Binnen risicomanagement geldt een aantal basisregels, zoals:

    • Als bruto risico > risicobereidheid en netto risico < risicobereidheid => de maatregel effectief
    • De kosten van een maatregel mogen niet hoger zijn dan de kosten van een voorval

    Het is hierbij wel van belang te bedenken dat de kosten niet altijd worden uitgedrukt in euro’s. De kosten in dit verband zijn de impact van een risico. De afweging van kosten kan dus ingewikkeld worden als de prijs van een maatregel in euro’s moet worden afgewogen tegen een kwalitatieve impact. Net zo kan een kwantitatieve impact gemitigeerd worden door een maatregel met kwalitatieve kosten, bijvoorbeeld verminderde werknemerstevredenheid, waarbij de kosten/baten afweging ingewikkeld is.

    Compliance als judo met risico’s

    Compliance & Risk, ik zal de begrippen overigens wat losjes door elkaar gebruiken, vergelijk ik graag met judo, een vechtsport die veel meer is dan brute kracht. Hoewel judo een vechtsport is, richt judo zich niet op het uitschakelen van de tegenstander, maar op het beheersen van de vijandigheid. Niet de aanvaller wordt gestopt, maar de aanval. Judo draait om het meebewegen met en sturen van de kracht van de tegenstander. Zo werkt ook compliance: niet door risico’s hard neer te slaan, maar door ze slim te beheersen en om te buigen zonder de organisatie te verstikken.

    Judo-principes gekoppeld aan risicomanagementbegrippen

    • Nooit permanente schade toebrengen In compliance & risk betekent dit dat risico’s beheerst worden zonder onnodige negatieve gevolgen voor de organisatie of haar medewerkers. Het doel is om schade te minimaliseren en tegelijkertijd ruimte te houden voor ontwikkeling en groei.Bijvoorbeeld: bij nieuwe wetgeving zoekt compliance de balans tussen noodzakelijke aanpassingen en het voorkomen van overbelasting van medewerkers.
    • De betere helpt de mindere zich ontwikkelen Dit weerspiegelt de rol van compliance in het bevorderen van een cultuur van bewustwording en integriteit. Risk management fungeert als coach die medewerkers helpt risico’s te herkennen en er effectief mee om te gaan.
    • Gebruik van de kracht en beweging van de tegenstander Compliance erkent risico’s niet alleen, maar benut ze als kansen om te leren en te verbeteren. Na een incident worden niet primair sancties opgelegd, maar wordt gekeken naar onderliggende oorzaken om toekomstige problemen te voorkomen en dus te leren.
    • Blokkeren en uit balans brengen in plaats van brute kracht Effectieve risicobeheersingsmaatregelen zijn proportioneel en gericht, zodat kleine afwijkingen geen onnodige bureaucratie veroorzaken maar wel adequaat worden aangepakt.
    • Uitschakelen door beheersing, niet door verwonding Compliance streeft naar het voorkomen en minimaliseren van risico’s zonder overmatige restricties die innovatie en flexibiliteit belemmeren.
    • Respect, zelfdiscipline en harmonie Compliance bouwt op ethiek en integriteit en bevordert een harmonieuze organisatie waar alle belanghebbenden zich gehoord en gerespecteerd voelen.

    Rituelen en communicatie: de taal van compliance

    Net als in judo zijn rituelen en vaste communicatievormen essentieel binnen compliance. In judo groeten tegenstanders elkaar en hun scheidsrechters als teken van respect en vertrouwen. Compliance kent haar eigen rituelen, zoals regelmatige rapportages, audits en formele communicatie, die transparantie en duidelijkheid bevorderen.

    De gekleurde banden symboliseren niveaus van ervaring en vaardigheid en vormen een gestandaardiseerde taal binnen judo. In compliance vertaalt dit zich naar gestandaardiseerde rapportages en procedures, waardoor alle betrokkenen binnen en buiten de organisatie dezelfde taal spreken en verwachtingen helder zijn.

    De ‘sensei’ in judo is coach en mentor, net als de Compliance Officer die adviseert, begeleidt en helpt risico’s te beheersen zonder autoritair op te treden. Daarbij wordt gevraagd en ook ongevraagd advies gegeven of simpelweg een waarneming gedeeld.

    Harmonie is het ultieme doel in judo en symboliseert het evenwicht binnen een organisatie. Compliance fungeert als een kracht die verschillende belangen samenbrengt en zorgt voor een robuuste, veerkrachtige organisatie.

    De filosofische betekenis van compliance

    Compliance in het eerder geschetste paradigma is meer dan het strikt naleven van wet- en regelgeving. Het vormt het ethische en normatieve fundament waarop vertrouwen, integriteit en maatschappelijke verantwoordelijkheid binnen organisaties worden gebouwd. Compliance creëert de voorwaarden voor een organisatie om haar missie en doelen op een verantwoorde manier te realiseren, waarbij niet alleen wordt gekeken naar het ‘wat’ van de regels, maar vooral naar het ‘waarom’ en waarbij de intrinsieke motivatie van de organisatie, haar missie en haar strategie voorrang hebben op externe regeldruk.

    In veel organisaties bestaat de neiging om compliance te reduceren tot een lijstje regels waaraan moet worden voldaan — een extern opgelegde verplichting. Dit paradigma onderschat echter de kracht van compliance als een intrinsiek gedreven proces, ingebed in de identiteit en strategie van de organisatie zelf. Compliance is het interne kompas dat de organisatie in staat stelt zichzelf te reguleren, te anticiperen op risico’s en zich proactief aan te passen aan veranderende omstandigheden.

    De filosofische kern van compliance ligt in deze intrinsieke motivatie. Organisaties die compliance als een uitdrukking van hun missie en waarden zien, maken van naleving geen last, maar een vanzelfsprekend onderdeel van hun bestaan. Dit betekent dat compliance niet slechts een extern opgelegde eis is, maar een innerlijke overtuiging die voortkomt uit het besef dat integriteit en verantwoordelijkheid onlosmakelijk verbonden zijn met duurzame prestaties en het vertrouwen van stakeholders.

    Deze zelfregulatie wordt gestimuleerd door een cultuur van leren en verbeteren. Compliancefuncties zijn niet louter controlerend, maar vervullen een partnerrol waarin ze als bruggenbouwer fungeren. Ze verbinden afdelingen, perspectieven en belangen en dragen zo bij aan een harmonieuze samenwerking die het gehele organisatielandschap versterkt. Compliance wordt daarmee een katalysator voor duurzame verandering en een bewaker van het ethische geweten van de organisatie.

    De menselijke en sociale dimensies van compliance zijn onmiskenbaar. Compliance raakt niet alleen aan regels en processen, maar ook en vooral aan de wijze waarop mensen binnen de organisatie met elkaar omgaan. Respect, openheid en dialoog zijn essentiële voorwaarden voor een levendige compliancecultuur waarin ruimte is voor ethische reflectie en het bespreekbaar maken van dilemma’s. Effectieve compliance is daarom ook een sociale onderneming die bouwt aan vertrouwen en gemeenschappelijke waarden.

    Een belangrijk aspect van deze bredere visie op compliance is de relatie met reputatie. De reputatie van een organisatie is een immaterieel kapitaal dat cruciaal is voor het vertrouwen van klanten, toezichthouders, medewerkers en de samenleving. Compliance helpt dit kapitaal te beschermen en te versterken door het waarborgen van consistent gedrag en transparantie. Het voorkomen van schendingen, het adequaat omgaan met incidenten en het tonen van verantwoordelijkheid dragen direct bij aan de reputatie. In die zin is compliance niet alleen een intern instrument, maar ook een strategische factor die het imago en de continuïteit van de organisatie beïnvloedt.

    Deze bredere kijk op compliance maakt het tot een filosofie die voorbij regelnaleving reikt. Het is een dynamisch en holistisch kader dat organisaties helpt om niet alleen te voldoen aan externe eisen, maar vooral om zichzelf te zijn — verantwoordelijk, integer en wendbaar in een wereld van voortdurende verandering.

    Terug naar de inhoudsopgave

    Klik hier voor de inhoudsopgave.