Als risk management en compliance gebaseerd zijn op vertrouwen, kunnen zij succesvol zijn.

Een dictatuur kan best effectief zijn! Met 'macht' als basis en angst zaaien voor represailles, moeten de burgers wel gehoorzamen. Eigen initiatief wordt niet gewaardeerd en er wordt voor je gedacht. Burgers leren af om zelfstandig na te denken en in het beste geval volgen ze slaafs de kleine groep machthebbers… Vanuit het perspectief van de dictator een zeer effectief model. Dit model verliest echter zijn effectiviteit en leidt tot chaos op het moment de dictatuur 'onthoofd' wordt.

Riskmanagers en Compliance Officers, die vervelende regeltjes uitvaardigen en menig business manager tot wanhoop drijven, hebben soms wel iets weg van een dictator. Dat moet toch anders kunnen!?

Van macht naar kracht

Het uitgangspunt bij ‘macht’ is ongelijkheid, overwicht en een gebrek aan (het geven van) argumenten: ‘omdat ik het zeg’. Macht is gebaseerd op wantrouwen en ‘kracht’ gaat uit van gelijkheid, van redeneren en overtuigen, maar ook van aanpassen als er een nog betere route is. Kracht is gebaseerd op vertrouwen. Als er al een bepaalde basis voor macht is, wordt het primaire doel mogelijk sneller bereikt. Als kracht de basis is, wordt sneller de gewenste gedragsverandering bereikt, waardoor de verandering bestendiger is.

Minder vakjargon en meer business-taal

Herformuleer 'machtgerelateerde argumenten', zoals ‘het moet van de toezichthouder’ of ‘het moet omdat het in de wet staat’ in 'krachtgerelateerde argumenten, zoals ‘het aantal klachten neemt af’ of ‘de effectiviteit en efficiency nemen toe, en daarmee de klanttevredenheid.’ Maak van de afdeling Risicomanagement een afdeling die de omslag maakt van controles, formele implementaties en monitoring naar een adviesbedrijf dat uitgaat van proactief handelen, preventie, samenwerking en enabling, oftewel faciliteren. Dit laatste vooral om de medewerkers te helpen voldoende volwassenheid te bereiken in het managen van compliance- en andere risico’s en het maken van keuzes daarbij. Zo draagt risico- en compliancemanagement bij aan de verbetering van producten, om met een grotere mate van zekerheid de (business)doelstellingen te halen en wordt het steeds meer een positief kritische businesspartner.

De effectiviteitscurve integraal risicomanagement

De effectiviteitscurve integraal risicomanagement heeft een top (maximale effectiviteit: 10) die via twee zijden te bereiken is. Er is een route via de ‘kracht-kant’ en een route via de ‘macht-kant’. De route start met een effectiviteit van nul en stijgt naar de maximale effectiviteit van 10. De route via de ‘macht-kant’ is langer, omdat door het gebruik van macht het altijd langer duurt voordat het meest effectieve gedrag wordt bereikt.

Wanneer de afdeling Compliance, op basis van de wet een verordening of regels kenbaar maakt bij het management (de eerste lijn) zonder dit beleid voldoende toe te lichten of te laten zien hoe dit beleid geïmplementeerd moet worden, wordt de effectiviteitscurve vanaf de ‘macht-kant’ ingestoken. De effectiviteit van naleving van het beleid of de maatregel groeit dan maar langzaam.

Afhankelijk van de taakvolwassenheid (gebaseerd op Hersey & Blanchard, Situationeel leiderschap) van het management, kan de effectiviteit hoger of lager op de curve ‘beginnen’. Als het beleid ‘over de schutting’ wordt gegooid in de verwachting dat het management het dan wel goed zal implementeren, levert dit – afhankelijk dus van de taakvolwassenheid – een lage effectiviteit op. De kans bestaat zelfs, dat de tweede lijn de implementatie zelf maar moet uitvoeren, omdat er uiteraard uiteindelijk wel effectiviteit verwacht wordt. Niet voor niets beschrijft Cialdini in het eerste hoofdstuk van zijn klassieker Influence: the psychology of persuasion dat mensen veel eerder geneigd zijn iets te doen als ze een instructie horen in combinatie met een motivatie (de WHY).

Overtuigen van nut en noodzaak

Als de tweede lijn echter begint met het voordoen van de implementatie van een richtlijn, is de effectiviteit van implementatie al snel hoger. Dit is de route via de ‘kracht-kant’ van de curve. Het vraagt namelijk kracht van de tweede lijn om niet vanuit macht te handelen en te zeggen dat het management beleid moet volgen omdat het in de wet staat, maar om de 1e lijn te overtuigen van het nut en de noodzaak van implementatie.

Al snel kan dan de stap gezet worden van VOORdoen naar MEEdoen en zal het management de taken samen met de tweede lijn op zich nemen, of dit delegeren. Het meest effectief is dan uiteraard de implementatie die het management ZELF wil uitvoeren. De steile route via de kracht-zijde vraagt wel meer van de tweede-lijnfunctionaris.

Daar waar je aan de macht-kant en het VOORdoen kunt volstaan met voldoende inhoudelijke kennis, komt er bij het MEEdoen en het ZELFdoen ook nog een houding & gedrag-component om de hoek kijken. Om het management te overtuigen is uitsluitend kennis van de inhoud of een beroep doen op wet- en regelgeving niet voldoende. De tweede lijn zal de relevantie van een bepaald beleid moeten kunnen aantonen.

Bescherming tegen onheil

Het voorgaande deel van de blog is gebaseerd op een artikel van Wim Pauw van circa een decennium geleden. Dat artikel beschrijft de veranderingen en verschuivingen bij zijn divisie bij Achmea vanuit zijn visie op de rol van risicomanagement, compliance en informatie risicomanagement. Die visie is op dit moment nog steeds springlevend en bijvoorbeeld terug te vinden in de nieuwste versie van COSO (2020) en de veranderingen in het Three Lines-model (2021). Daar waar de voorloper, het Three Lines of Defense (3LoD)-model, nog vooral gebaseerd was op elkaar controlerende lijnen als bescherming tegen mogelijk onheil, is in dat nieuwe model (Three Lines-model) veel meer ruimte voor actieve samenwerking tussen de verschillende lijnen. Met als doel het met een grotere mate van zekerheid bij het behalen van bedrijfsdoelstellingen.

De dynamiek in het Three Lines model

Organisaties hebben een eigen operationele en politieke dynamiek. Deze complexe dynamiek vraagt om een duidelijke governance en heldere afspraken over de verantwoordelijkheden. Dat kan bijvoorbeeld prima binnen het Three Lines-model, dat met name populair is binnen de financiële dienstverlening zoals bij banken en verzekeraars.

Een korte toelichting: De eerste lijn bestaat uit het lijnmanagement. Het management is primair verantwoordelijk voor het managen van risico’s en voert dagelijks impliciet en expliciet werkzaamheden uit ten aanzien van beheersen of accepteren van risico’s. De tweede lijn bestaat uit ondersteunende stafafdelingen, zoals compliance, risicomanagement en integrity. Zij ondersteunen (enabelen) het management met uitzetten van beleid, kaders en werkzaamheden en zien tevens toe op de implementatie en uitvoering ervan.

Deze tweede lijn neemt de verantwoordelijkheid voor risicomanagement niet over, maar ondersteunt actief de eerste lijn en het management van de organisatie bij het bereiken van een hogere mate van beheersing van de organisatie en de bedrijfsprocessen. Internal Audit vormt de derde lijn. Internal Audit is geen onderdeel van het primaire proces en kan daarom aan Raad van Bestuur en Audit & Risk Committee een onafhankelijk oordeel geven over de beheersing van de organisatie. De uitdaging voor de tweede lijn ligt voornamelijk in de manier waarop invulling wordt gegeven aan de begeleiding van de eerste lijn. Hiertoe is in het ‘van macht naar kracht model’ het principe ‘voordoen, meedoen, zelf doen’ geformuleerd.

Op deze manier wordt ‘willen’ binnen de eerste lijn meer gestimuleerd dan ‘moeten’, waardoor de stap van meedoen naar ‘zelf willen’ nog maar klein is. Daarnaast kan de tweede lijn als positief-kritische, faciliterende en monitorende partner samen met de interne, en in voorkomende gevallen, externe accountant optrekken om de beheersing van de organisatie aan te tonen. Ze doet dit uiteraard wel binnen de eigen identiteit en rekening houdend met de verantwoordelijkheden van de afzonderlijke ‘lijnen’. Waar de Riskmanagers en Compliance Officers in het 3LoD nogal eens op hun strepen gingen staan, worden prioriteiten dan samen met de medewerkers bepaald. Zij worden op deze manier beter in staat gesteld zelf verantwoorde keuzes en afwegingen te maken.

Duidelijke integrale risicoaanpak

Andersom zullen Riskmanagers en Compliance Officers ook de noodzaak van bepaalde eisen en de gevolgen van het niet (direct) kunnen voldoen aan die eisen, uitleggen aan de externe- en interne kaderstellende organisatie. Altijd vanuit de dialoog, met oog voor elkaars belangen. De risico’s moeten worden beheerst op de plek waar ze zich kunnen voordoen en het risico eigenaarschap ligt daarmee in de eerste lijn, bij de business.

Businessafdelingen moeten dus zelf aan de slag met risicomanagement, volgens het principe dat het voorkomen en beheersen van risico’s iets is wat je samen doet. Op die manier zal een duidelijke, integrale risicoaanpak ontstaan waarbij op alle niveaus mét elkaar in plaats van naast elkaar wordt gewerkt.

Auteurs
Rob van Erp 
Universitair Docent, trainer en Chief Risk Officer bij Stedin

Wim Pauw 
Universitair Docent, trainer, adviseur en partner bij Gilde van Adviseurs