Van macht naar kracht

– Niet in de weg, maar mee op weg –

Een dictatuur kan best effectief zijn! Met ‘macht’ als basis en veelal de angst voor represailles moeten de burgers wel gehoorzamen. Eigen initiatief wordt niet gewaardeerd en er wordt voor je gedacht. Burgers ontleren zelfstandig na te denken en in het beste geval volgen ze slaafs de kleine groep machthebbers … vanuit het perspectief van de dictator een zeer effectief model.
Dit model stopt echter met effectief zijn en leidt tot chaos op het moment de dictatuur ‘onthoofd’ wordt.

Riskmanagers en Compliance officers, die vervelende regeltjes uitvaardigen en menig business manager tot wanhoop drijven hebben daar soms wel iets van weg. Dat moet toch anders kunnen!?
Van macht naar kracht, of hoe risk management en compliance succesvol kan zijn.

Het uitgangspunt bij ‘Macht’ is ongelijkheid, een overwicht en een gebrek aan (het geven van) argumenten: ‘omdat ik het zeg’ en heeft de basis in wantrouwen. ‘Kracht’ gaat uit van gelijkheid, van redeneren en overtuigen, maar ook aanpassen als er een nog betere route is. Kracht heeft de basis in vertrouwen.

Wanneer er reeds een bepaalde basis voor Macht is, wordt mogelijk sneller het primaire doel bereikt. Bij Kracht wordt sneller de gewenste gedragsverandering bereikt waardoor de verandering meer bestendig is.

Hoe dan?

Minder vakjargon en meer businesstaal. Herformuleer ‘macht-argumenten’, zoals: ”Het moet van de toezichthouder” of “omdat het in de wet staat” in ‘kracht-argumenten, zoals “het aantal klachten neemt af” of “de effectiviteit en efficiency nemen toe, en daarmee de klanttevredenheid.”

Maak van de afdeling Risicomanagement een afdeling die de slag maakt van controles, formele implementaties en monitoring naar een adviesbedrijf dat uitgaat van proactief handelen, preventie, samenwerking en enabling, het ‘mogelijk maken’. Dit laatste vooral om de business te helpen zelf voldoende volwassenheid te bereiken in het managen van compliance- en andere risico’s en het maken van keuzes daarbij.

Risico- en Compliance management draagt bij om een beter product te maken, om met een grotere mate van zekerheid de (business)doelstellingen te halen en wordt steeds meer een positief kritische business partner.

Macht en Kracht zijn twee verschillende routes die beide kunnen leiden naar effectiviteit, maar er is een duidelijke voorkeur bij de auteurs.

De effectiviteitcurve integraal risicomanagement

De effectiviteitcurve integraal risicomanagement heeft een top (maximale effectiviteit: 10) die via twee zijden te bereiken is. Er is een route via de ‘Kracht-kant’ en een route via de ‘Macht-kant’. De route start met een effectiviteit van nul en stijgt naar de maximale effectiviteit van 10. De route via de ‘Macht-kant’ is langer, omdat het door het gebruik van Macht altijd langer duurt voordat het meest effectieve gedrag wordt bereikt.

Een voorbeeld: Wanneer de afdeling Compliance, op basis van de wet een verordening of regels kenbaar maakt bij het management (de eerste lijn), zonder dat dit beleid voldoende toegelicht wordt of voorgedaan wordt hoe dit beleid geïmplementeerd moet worden, wordt de effectiviteitcurve vanaf de ‘Macht-kant’ ingestoken. De effectiviteit van naleving van het beleid of de maatregel groeit dan maar langzaam. Rekening houdend met de taakvolwassenheid (gebaseerd op Hersey & Blanchard, situationeel leiderschap) van het management kan de effectiviteit hoger of lager op de curve ‘beginnen’. Wanneer het beleid ‘over de schutting’ wordt gegooid, in de verwachting dat het management het dan wel goed zal implementeren levert dit – wederom afhankelijk van de taakvolwassenheid – een lage effectiviteit op. De kans bestaat zelfs, dat de 2e lijn de implementatie zelf maar moet uitvoeren, omdat er uiteraard uiteindelijk wel effectiviteit verwacht wordt.

Niet voor niets beschrijft Cialdini in het eerste hoofdstuk van zijn klassieker ‘Influence: the psychology of persuasion’ dat mensen veel eerder geneigd zijn iets te doen als ze een instructie horen in combinatie met een motivatie (de WHY).

Wanneer de 2e lijn echter start met het voordoen van het implementeren van een richtlijn, is de effectiviteit van implementatie al snel hoger. Dit is de route via de ‘Kracht-kant’ van de curve. Het vraagt namelijk kracht van de 2e lijn om niet vanuit Macht te zeggen, dat het management beleid moet volgen omdat de wet het zegt, maar om de 1e lijn te overtuigen van het nut en de noodzaak van implementatie. Al snel kan dan de stap gezet worden van VOORdoen naar MEEdoen en zal het management (al dan niet gedelegeerd aan medewerkers) de taken samen met de 2e lijn op zich nemen. Het meest effectief is dan uiteraard de implementatie die het management ZELF wil doen.

De steile route via de Kracht-zijde vraagt wel meer van de 2e lijnfunctionaris.

Daar waar je aan de Macht-kant en het VOORdoen kunt volstaan met voldoende inhoudelijke kennis, komt er bij het MEEdoen en het ZELFdoen ook nog een Houding & Gedrag component om de hoek kijken. Overtuigen van management gaat niet met uitsluitend kennis van de inhoud of met woorden als ‘je moet’ of ‘de wet zegt’. De 2e lijn zal de relevantie van een bepaald beleid moeten kunnen aantonen.

2013

Het voorgaande deel van de blog is gebaseerd op een artikel van Wim Pauw van praktisch een decennium geleden. Dat artikel beschreef de veranderingen en verschuivingen bij zijn divisie bij Achmea vanuit zijn visie op de rol van Risicomanagement, Compliance en Informatie Risicomanagement. Die visie is op dit moment nog steeds springlevend en bijvoorbeeld terug te vinden in de nieuwste versie van COSO (2020) en de veranderingen in het Three Lines model (2021). Daar waar de voorloper, het Three Lines of Defense (3LoD) model, nog vooral gebaseerd was op elkaar controlerende lijnen ter verdediging tegen onheil is in dat nieuwe model (Three Lines model) veel meer ruimte voor actieve samenwerking tussen de verschillende lijnen. Met als doel het met een grotere mate van zekerheid behalen van bedrijfsdoelstellingen.

De dynamiek in het Three Lines model

Organisaties hebben een eigen operationele en politieke dynamiek. Wat je wilt is niet altijd zomaar geregeld. Deze complexe dynamiek vraagt om een duidelijke governance en heldere afspraken over de verantwoordelijkheden. Dat kan bijvoorbeeld prima  binnen dat three lines model, dat met name populair is binnen de financiële dienstverlening zoals banken en verzekeraars.

Een korte toelichting:

De eerste lijn bestaat uit het lijnmanagement. Het management is primair verantwoordelijk voor het managen van risico’s en voert dagelijks impliciet en expliciet werkzaamheden uit ten aanzien van beheersen of accepteren van risico’s.

De tweede lijn bestaat uit ondersteunende stafafdelingen, zoals compliance, risicomanagement en integrity. Zij ondersteunen (enabelen) het management met uitzetten van beleid, kaders en werkzaamheden en zien tevens toe op de implementatie en uitvoering.

Deze tweede lijn neemt de verantwoordelijkheid voor Risicomanagement niet over, maar ondersteunt actief de eerste lijn en het management van de organisatie bij het bereiken van een hogere mate van beheersing van de organisatie en het ‘in control’ van de bedrijfsprocessen.

Internal Audit vormt de derde lijn. Internal Audit is geen onderdeel van het primaire proces en kan daarom aan Raad van Bestuur en Audit & Risk Committee een onafhankelijk oordeel geven over de beheersing van de organisatie.

De uitdaging voor de tweede lijn ligt voornamelijk in de manier waarop invulling wordt gegeven aan de begeleiding van de eerste lijn. Hiertoe is in het ‘van macht naar kracht model’ het principe ‘voordoen, meedoen, zelfdoen’ geformuleerd.

‘Willen’ wordt binnen de eerste lijn op deze manier meer gestimuleerd dan ‘Moeten’, waardoor de stap van ‘meedoen naar ‘zelf willen’ nog maar klein is. Daarnaast kan de tweede lijn als positief kritische faciliterende- en monitorende partner samen met de interne-, en in voorkomende gevallen, de externe accountant optrekken bij het aantonen van de beheersing van een organisatie.. Ze doet dit uiteraard wel binnen de eigen identiteit en rekening houdend met de verantwoordelijkheden van de afzonderlijke ‘lijnen’.

Waar de Risk managers en Compliance-officers in het 3LoD nogal eens op hun strepen gingen staan, worden prioriteiten dan meer samen met de business bepaald. De business wordt op deze manier beter in staat gesteld zelf verantwoorde keuzes en afwegingen te maken.

Andersom zal ook de noodzaak van bepaalde eisen en de gevolgen van het niet (direct) kunnen naleven ervan aan de externe- en interne kaderstellende organisatie worden uitgelegd. Altijd vanuit de dialoog, met oog voor elkaars belangen.

De risico’s moeten worden beheerst op de plek waar ze zich kunnen voordoen en het risico eigenaarschap ligt daarmee in de eerste lijn, bij de business.

Businessafdelingen moeten dus zelf aan de slag met risicomanagement, volgens het principe dat het voorkomen en beheersen van risico’s iets is wat je samen doet. Op die manier zal een duidelijke, integrale risicoaanpak ontstaan waarbij op alle niveaus mét elkaar in plaats van naast elkaar wordt gewerkt.

Geschreven door Rob van Erp en Wim Pauw

Meer weten over het proces van risico management en de beginselen van operationeel risicomanagement? Schrijf je dan nu in voor de Masterclass Risico Management onder leiding van Rob van Erp en Wim Pauw.

vacature
Nieuwsbrief

Als eerste op de hoogte van nieuwe opleidingen, trainingen en aanbiedingen

"*" geeft vereiste velden aan