Wanneer is ‘light governance’ niet meer voldoende?

Light governance en impliciet risk management

In jonge en relatief kleine organisaties is risk management meestal aanwezig, maar impliciet. De belangrijkste risico’s worden herkend, besproken en gemitigeerd, alleen niet structureel vastgelegd. Nieuwe klantafspraken worden bijvoorbeeld “gewoon goed geregeld”, security wordt “met gezond verstand” ingericht en contractrisico’s worden “gecheckt als het aan de orde is”.

Ook compliance krijgt soms pas aandacht wanneer het nodig lijkt. De aandacht is in eerste instantie meestal wat meer gericht op legal aspecten. Vandaar dat we het toch belangrijk vinden om het onderscheid aan te geven tussen legal en compliance:

• Legal richt zich primair op juridische correctheid: contracten, aansprakelijkheid, voorwaarden, claims, governance documenten, privacyteksten.
• Compliance gaat over aantoonbare naleving van regels, normen en afspraken, inclusief het organiseren van gedrag, processen, controles en rapportage. Denk aan klantvereisten, certificeringen, sectorspecifieke regels, interne policies en het vermogen om vragen van auditors, toezichthouders of klanten overtuigend te beantwoorden.

Met andere woorden: legal kan een risico juridisch “afdekken”, maar compliance maakt het naleefbaar en aantoonbaar in de praktijk.

Zolang de organisatie klein is en de externe druk beperkt blijft, kan een impliciete aanpak prima werken. Maar bij groei verandert het speelveld. Niet alleen de complexiteit neemt toe, ook de aard en impact van risico’s verschuift. Operationele risico’s, IT en datarisico’s, compliance risico’s en reputatierisico’s worden structureler, onderling verweven en minder afhankelijk van één beslismoment.

[....]