De controle- en verantwoordingstoren is in deze onzekere, complexe tijden groter dan ooit. Steeds meer zien we de trend om governance, risk en compliance, GRC, geïntegreerd op te pakken. Door deze integrale aanpak sluiten de processen van risicomanagement en compliance naadloos aan op de strategie van de organisatie. Althans, dat is de doelstelling.
Voor mij is het allereerst belangrijk om te stellen dat de bovengenoemde elementen onderling sterk verbonden zijn.
Governance
Governance is een onderwerp dat ik sinds mijn afstuderen nauwlettend volg. Dit deed ik onder andere door de college’s van Glasz (de eerste Hoogleraar Governance van NL) te volgen, maar ook door met Peters (commissie Peters) in gesprek te gaan. Niet verwonderlijk, aangezien ik altijd enorm geboeid ben geweest door de keuzes van mensen aan de top. Meer over dit onderwerp kun je terugvinden in mijn eerdere blogs over narcisme-indicatoren en het winnaarseffect.
Governance staat voor goed bestuur met als kernbegrippen transparantie, verantwoording en zeggenschap. Governance is dus vooral een zaak voor het bestuur en de besturing van de organisatie. In de praktijk zie je echter dat veel wordt neergelegd bij de juridische afdelingen, doordat de codes dicht bij wet- en regelgeving liggen. Niet gek, aangezien je in de codes behoorlijk wat juridische eisen terugvindt. Denk hierbij aan de RvC, nevenfuncties en externe rapportages. De meest recente code van Van Manen legt de nadruk op waardecreatie op de lange termijn, maar ook op de meldcultuur, risk appetite en internal audit.
Risicomanagement
Nadat ik mij 20 jaar geleden realiseerde dat transparantie van slecht nieuws uiterst moeilijk is, werd risicomanagement mijn specialisme. Ik besefte dat je hiervoor een cultuur maar ook een proces (risicomanagement) nodig hebt. De balans tussen risico’s nemen en beheersen is essentieel. Een aantal belangrijke vragen zijn: wat is de risk appetite van de directie? Hoeveel risico’s wil en kan de directie nemen in het realiseren van de organisatiestrategie? Ten aanzien van de belangrijkste risico’s moeten beheersmaatregelen daarnaast goed doordacht worden. De nieuwe COSO ERM 2017 koppelt risicomanagement aan de strategie en de performance van de organisatie. Dit maakt risicomanagement een management skill, waardoor ze niet langer een aparte afdeling is.
Compliance
Vanuit mijn studie rechten aan de UvA heb ik een overvloed aan wet- en regelgeving meegekregen. Uiteindelijk leerde ik dat het belangrijk is op dit gebied genuanceerd te zijn. Achter elke wet gaat een diepere achtergrond schuil (the why). Dit zorgt er echter voor dat de wet- en regelgeving onderhevig is aan vrije interpretatie. Compliance betekent voor mij voornamelijk: het naleven van de wet. Organisaties dienen ervoor te zorgen dat de eerste lijn voldoende bewust is van de wet- en regelgeving, waaronder ook de integriteit van de organisatie valt. Maar al snel duikt een paradox op: door de regelreflex is de laatste tijd steeds meer wet- en regelgeving ontstaan, waardoor de compliance-emmer bomvol lijkt. Hierdoor blijft weinig tijd over om naar de achterliggende risico’s te kijken.
Het begrip GRC kun je op vele manieren uitleggen, maar tot op heden is het vooral door specialismen uitgedragen. In de ideale wereld echter, wordt dit thema integraal aangepakt.
Samenwerken GRC; van rule-based naar risk-based
GRC staat voor het richting geven aan de organisatie, het omgaan met onzekerheden (binnen de wet) en de verantwoording die hierover afgelegd moet worden. Het is een combinatie van strategie, sturing en control.
Het is hoog tijd dat strategen, management, compliance & audit functies over hun specialismen heenstappen en hun krachten gaan bundelen. Een GRC-afdeling dient boven alles de organisatie te faciliteren en ervoor te zorgen dat de specialismen niet doorslaan. De focus moet liggen op risico’s rondom de strategische doelstellingen en de daarmee verbonden risk appetite van het management.
Nog afgezien van de samenwerking dient de kracht van risicomanagement optimaal benut te worden: stel prioriteiten door middel van risicosturing.
Een paar voorbeelden van risicosturing op governance en compliance:
- Streef er niet naar alle juridische dossiers op orde te hebben, maar vooral die dossiers waar de grootste risico’s in schuilen
- Poog niet alle processen te beschrijven, maar alleen die processen waar de grootste risico’s in schuilen
- 100% compliant zijn is een kostbare zaak. Bepaal je risk appetite ten aanzien van al die wet- en regelgeving. Vraag je bijvoorbeeld af bij welk onderdeel van de AVG je voor een 6 gaat en bij welke onderdeel voor een 9
Governance Risk en Compliance (GRC). Dat Risk in het midden staat is geen toeval: de tijd dat het risk-based denken het rule-based denken verslaat staat voor de deur.