Risicobeheersing in balans - de sleutel tot duurzaam succes

Regelgericht én waarde gedreven: hoe balans tussen hard en soft controls leidt tot duurzaam succes

In de dynamische wereld van zakendoen is risicobeheersing vaak een van de belangrijkste aspecten voor het behalen van succes. Toch zien veel organisaties compliance en risico beheersing als een noodzakelijke verplichting — iets wat moet worden geïmplementeerd om aan externe eisen te voldoen en waarbij je bijna alles probeert te vermijden wat mogelijk mis kan gaan.

Dit leidt vaak tot een aanpak waarin procedures en controles leidend zijn, daarnaast blijft de focus op prestatie(beloning), groei en omzet. Uiteraard is het neerzetten, laten functioneren evalueren van een risico control framework is van belang voor beheersing van risico. Maar ook om aan stakeholders, waaronder de toezichthouder te kunnen laten zien dat deze maatregelen zijn genomen.

Maar is een grote hoeveelheid aan procedures en controle maatregelen echt de meest effectieve manier om risico’s aantoonbaar te beheersen en duurzaam succes te garanderen? Wat als risicobeheersing niet alleen een kwestie van beperking is, maar van balans? Wat als het beheersen van risico’s niet draait om het uitsluiten van alles wat onzeker is, maar om het vinden van de juiste balans die ruimte biedt voor groei en innovatie?

Wij zijn van mening dat de sleutel ligt in balans. Controle en vertrouwen gaan hand in hand waarbij een teveel aan controle maatregelen de bureaucratie versterkt en te veel vertrouwen zonder maatregelen en het ontbreken van aantoonbaar bewijs van beheersing ook niet werkt (‘iemand op zijn blauwe ogen geloven’). Het gaat creëren van een evenwicht tussen harde en zachte controle maatregelen. Deze noemen we in dit artikel en in de door Projective gebruikte Compliance Risk Management Cycle: hard en soft controls.

Het gaat dus niet alleen processen, controls en audits, maar ook om de tone at top, waarbij het belang van risico cultuur wordt uitgedragen door het leiderschap, waarin we samenwerking belangrijk vinden en elkaars rol in het grote geheel begrijpen en er een intrinsieke motivatie aanwezig is om juridisch en moreel het juiste te doen. Een bedrijf dat deze balans vindt, creëert een gezonde risicocultuur, verbetert zijn reputatie én bereikt duurzame groei.

Laten we niet alleen naleven omdat het moet, maar omdat het waarde toevoegt.

De organisatie-ijsberg: de complexiteit achter beheersing van risico’s in een organisatie

De organisatie-ijsberg is een krachtige metafoor die de complexiteit van organisatiestructuren en -dynamieken illustreert door ze te verdelen in twee hoofdcomponenten: het zichtbare en het onzichtbare. Het zichtbare deel, of de bovenstroom, omvat alle formele en gemakkelijk waarneembare elementen van een organisatie, zoals haar structuren, beleid, en officiële processen die helpen bij het inrichten van een control framework.

In contrast, het grootste deel van de ijsberg ligt onder de oppervlakte en vertegenwoordigt de informele, vaak ongrijpbare aspecten, zoals onderlinge relaties, ongeschreven regels, en de cultuur die binnen een organisatie heerst. Deze metafoor benadrukt het belang van zowel de zichtbare als onzichtbare factoren van menselijk handelen in organisaties en helpt in het begrijpen en effectief managen van risico’s in organisaties.

Het model van de organisatie-ijsberg is niet het resultaat van één enkele auteur of moment, maar een evolutie van inzichten uit psychologie, sociologie en managementwetenschappen. De oorsprong ervan is deels terug te voeren op de psychodynamische theorieën van Sigmund Freud, die de menselijke geest beschreef als een ijsberg, waarbij het grootste, onbewuste deel onder de oppervlakte verborgen blijft (Freud, 1915). Later werd deze metafoor aangepast om de complexiteit van organisaties te illustreren, waarbij de nadruk lag op de zichtbare en onzichtbare aspecten van structuren en processen.

De verdere ontwikkeling van het model werd beïnvloed door onderzoek naar organisatiecultuur, met name door Edgar Schein, die de diepere lagen van organisaties analyseerde. In Organizational Culture and Leadership (Schein, 2010) beschrijft hij hoe onderliggende waarden, overtuigingen en aannames het gedrag binnen organisaties beïnvloeden, hoewel ze vaak onzichtbaar blijven. Dit gedachtegoed vormt de basis van het organisatie-ijsbergmodel zoals we dat vandaag kennen.

Beheersing risico’s bedrijfsvoering: Hard & Soft controls

Het ijsberg model geeft inzicht in de complexiteit van organisatiestructuren en -dynamieken en daarmee ook de werking en risico’s in het managen van een organisatie. Risico’s zijn onlosmakelijk verbonden aan ondernemen en daarmee ook aan het succes van de onderneming. Risicobeheersing betekend niet dat je risico’s perse volledig moet vermijden wel is het van belangen deze effectief te managen. Bij het doen van een risico assessment is dan ook interessant om naast vereisten te kijken naar de formele en informele organisatie en haar impact op de beheersmaatregelen.

Beheersing van de risico’s gericht op de formele organisatie zijn veelal verankerd in ‘hard controls’, waar de informele organisatie en daarmee het menselijk handelen vaak lastiger aan te tonen is, echter met behulp van ‘soft controls’ de gewenste risico cultuur kan stimuleren.

Wat zijn hard en soft controls eigenlijk?

Het ijsberg model geeft inzicht in de complexiteit van organisatiestructuren en -dynamieken en daarmee ook de werking en risico’s in het managen van een organisatie. Risico’s zijn onlosmakelijk verbonden aan ondernemen en daarmee ook aan het succes van de onderneming. Risicobeheersing betekend niet dat je risico’s perse volledig moet vermijden wel is het van belangen deze effectief te managen. Bij het doen van een risico assessment is dan ook interessant om naast vereisten te kijken naar de formele en informele organisatie en haar impact op de beheersmaatregelen.

Beheersing van de risico’s gericht op de formele organisatie zijn veelal verankerd in ‘hard controls’, waar de informele organisatie en daarmee het menselijk handelen vaak lastiger aan te tonen is, echter met behulp van ‘soft controls’ de gewenste risico cultuur kan stimuleren.

Wat zijn hard en soft controls eigenlijk? 'Hard controls' refereren naar formele, tastbare maatregelen die zijn ontworpen om regelgeving te implementeren, gewenst gedrag af te dwingen en ongewenst gedrag te voorkomen. Deze maatregelen zijn vaak vastgelegd in documenten en richten zich op structurele aspecten van de organisatie, zoals procedures, protocollen, taakomschrijvingen en administratieve systemen. Het doel is om via duidelijke richtlijnen en regels de efficiëntie en effectiviteit van bedrijfsprocessen te waarborgen.

Soft controls, oftewel culturele en gedragsbeïnvloedende factoren, spelen een cruciale rol in het effectief beheersen van risico's binnen organisaties—mits ze op de juiste manier worden ingezet. Dit benadrukt hoogleraar Muel Kaptein, die in zijn onderzoek aantoont dat een sterke morele bedrijfscultuur bijdraagt aan duurzaam succes en integer gedrag binnen organisaties (Kaptein, M., 2018, Business Ethics: Managing Corporate Integrity and Responsibility).
'Soft controls' worden ook wel mensgerichte beheersmaatregelen genoemd en refereren naar de menselijke factor in een organisatie. Deze omvatten de kennis, motivatie, loyaliteit, integriteit, inspiratie, normen en waarden van medewerkers. Bij soft controls ligt de nadruk op het creëren van een motiverende en stimulerende omgeving. In de veronderstelling dat daarmee de persoonlijke doelstellingen in het verlengde van de organisatiedoelstellingen komen te liggen. En de werknemer daarmee handelt in belang van de organisatie.

De risico cultuur binnen een organisatie is een belangrijke oorzaak van incidenten, misstanden, ongewenst gedrag en strategische misstappen. Zelfs de beste beleidsstukken, procedures en regels hangen uiteindelijk af van de factor ‘mens’ binnen een bedrijf of organisatie. Elementen uit de onderstroom van de ijsberg kunnen een diepgaande invloed hebben op de dagelijkse werking van de risico cultuur van een organisatie. Denk hierbij aan informele netwerken en relaties, overtuigingen, macht, ongeschreven regels, verborgen agenda’s, informele communicatie kanalen.

Betere soft controls en/of meer aandacht voor soft controls verlagen de noodzaak tot onnodige bureaucratie in de hard controls daarnaast ontstaan er door meer aandacht aan soft controls te geven meer begrip en intrinsieke motivatie voor de noodzaak en het belang van regelgeving en een juiste risico cultuur. De sleutel ligt in balans: een evenwicht tussen hard en soft controls. Niet alleen processen, controls en audits, maar ook leiderschap, samenwerking en intrinsieke motivatie. Een bedrijf dat deze balans vindt, creëert een gezonde risicocultuur, verbetert zijn reputatie én bereikt duurzame groei.

Voorbeelden van instrumentele beheers maatregelen/hard controls:

• Doelstellingen: specifieke, meetbare doelen die de organisatie streeft te bereiken binnen een bepaald tijdsbestek
• Wet- en regelgeving: de externe wettelijke en regelgevende vereisten waaraan de organisatie moet voldoen.
• Compliance beleid en procedures: de officiële regels, richtlijnen en standaardwerkprocedures die bepalen hoe taken worden uitgevoerd.
• Productontwikkeling / NPAP: de (new) product approval processen waarbij risico’s worden assessed alvorens producten te lanceren.
• Formele communicatiekanalen: de vastgestelde manieren waarop informatie wordt gedeeld binnen en buiten de organisatie, zoals vergaderingen, memo’s en rapporten.
• Governancestructuur: de systemen en processen die gebruikt worden om de organisatie te besturen.
• Rapportage: de processen en richtlijnen voor (compliance en risk) reporting.
• Prestatiebeoordelingssystemen: de methoden en criteria die worden gebruikt om de prestaties van medewerkers te evalueren en te belonen.
• Kernwaarden: de formeel gecommuniceerde waarden en gedragsnormen die worden verwacht van medewerkers.
• Technologische infrastructuur: de technologische systemen en tools die worden gebruikt voor de operaties van de organisatie, zoals IT-systemen, software en communicatieplatforms.
• Opleidings- en ontwikkelingsprogramma's: de programma’s en initiatieven voor de professionele ontwikkeling en opleiding van medewerkers.
• Veiligheidsprotocollen: de procedures en maatregelen die zijn ontworpen om de veiligheid van de werkomgeving te waarborgen en te reageren op noodsituaties.

Professor Muel Kaptein ontwikkelde een model waarin hij acht soft controls identificeert die gedrag binnen organisaties beïnvloeden. Deze soft controls zijn: helderheid, voorbeeldgedrag, betrokkenheid, uitvoerbaarheid, transparantie, bespreekbaarheid, aanspreekbaarheid en handhaving. In 2003 benadrukte hij al het belang van deze controlemaatregelen in zijn artikel 'Controlling the soft controls' (Tijdschrift voor Organisatie en Control), een visie die hij nog steeds uitdraagt in al zijn publicaties, waaronder 'Soft controls: wat houdt het in en wat kan ik ermee?' gepubliceerd door de Erasmus Universiteit Rotterdam.

Dit artikel biedt verdere verdieping en voorbeelden van soft controls in de praktijk:

• Organisatiecultuur en communicatie: heldere verwachtingen over de gedeelde waarden, normen en wat gepast gedrag is binnen de organisatie.
• Veiligheid om elkaar aan te spreken: feedback cultuur, maar ook gehoord worden.
• Bespreekbaar maken van zorgen en of ideeën: : open communicatie waarin een ieder gehoord mag worden en dilemma’s bespreekbaar zijn en belangen worden afgewogen. Mogen escaleren en zien dat er opvolging aan wordt gegeven.
• Betrokkenheid: het geven van vertrouwen aan medewerkers: betrekken van medewerkers bij de bedrijfsvoering en zo gezamenlijke belangen voelen en uitdragen. Vertrouwen en verantwoordelijkheid geven aan medewerkers krijgen om bij te dragen aan de organisatie doelen.
• Tone at the top: : voorbeeldgedrag managers waarbij gewenste risico cultuur oprecht en intrinsiek wordt uitgedragen.
• Psychologische veiligheid: : het gevoel dat je jezelf kunt zijn in je team, zonder bang te zijn voor negatieve gevolgen. Het is essentieel voor een goede samenwerking, innovatie en leerproces.
• Leer-cultuur in de organisatie: : creëren, behouden en overdragen van kennis binnen een organisatie. Een lerende organisatie die haar medewerkers in staat stelt de dienstverlening aan te passen aan een voortdurend veranderende omgeving door scholing, ontwikkeling en initiatief te stimuleren.
• Intrinsieke motivatie: om integer te handelen: kennis en begrip van integriteit en compliance risk management (en hoe dit de organisatie ten goede komt) is aanwezig.
• Veiligheid binnen een groep/team: samenwerken, grotere belang overzien, wederzijds vertrouwen.
• Handhaving: waarderen/belonen van gepast gedrag en bestraffen van ongewenst gedrag.
• Monitoring van de risico cultuur: waar naar diverse elementen kan worden gekeken zoals leiderschap, team dynamiek & samenwerking, besluitvorming, risk awareness, communicatie, of anderen voorbeelden zoals hierboven genoemd.

Een van de meest krachtige manieren om risicobeheersing in balans te brengen, is door het te verankeren in de cultuur van een organisatie. Wanneer risicobeheersing niet alleen als een taak van het management wordt gezien, maar als een gezamenlijke verantwoordelijkheid van het hele team, ontstaat er een proactieve benadering van risico’s. Medewerkers voelen zich betrokken bij het proces en zijn beter in staat om risico’s te signaleren en te beheersen. Dit creëert niet alleen een veiliger werkklimaat, maar versterkt ook de innovatie en de samenwerking binnen de organisatie.

Belang beheersing risico cultuur volgens diverse stakeholders - waaronder specifieke referenties van toezichthouders uit de financiële sector (DNB, AFM, ECB)

Regelgeving alleen is niet genoeg. .
Een gezonde risicocultuur – waarin integriteit wordt beleefd, niet alleen afgedwongen – is essentieel voor het behoud van vertrouwen, reputatie en duurzame groei. Niet alleen in de financiële sector zien we een verschuiving: van incidenten die voortkomen uit schendingen van regelgeving naar integriteitskwesties die diepgeworteld zijn in gedrag, rolmodellen, leiderschap, teamdynamiek en groepsdruk.

Integriteit gaat verder dan het opbouwen van een sterk controle framework; het vraagt om ethisch juist handelen en om aandacht voor de menselijke kant en informele kant van de organisatie. Ook de stakeholders van uw organisatie hebben hoge verwachtingen als het gaat om beheersing van risico’s, cultuur, duurzaamheid en reputatie:

• Cliënten & Samenleving: j: "Reputatieschade, schandalen en het negeren van maatschappelijke wensen beïnvloeden mijn keuze om klant te worden of te blijven.“
• Toezichthouders (en regelgeving zelf) benadrukken belang van juiste risico cultuur: : "Gedrag en cultuur zijn de kernoorzaken van falende organisaties. Daarom is dit een integraal onderdeel van ons toezicht, naast naleving van regelgeving en richtlijnen."
• Werknemers ervaren de kracht van een sterke cultuur: : "Een werkomgeving gedreven door een duidelijke missie en heldere verwachtingen motiveert en inspireert mij om me meer betrokken te voelen bij mijn werk en collega’s. Dit leidt tot hogere betrokkenheid en productiviteit."
• Organisaties willen zelf toekomstbestendig en veerkrachtig zijn : "Wij streven ernaar een robuuste, toekomstbestendige en wendbare organisatie te zijn die aantoonbaar grip heeft op integriteitsrisico’s."
• Vooruitstrevende banken pakken gedrag en cultuur structureel aan: Grote banken zoals ABN AMRO, ING en RBS hebben gespecialiseerde teams opgezet die zich richten op gedragsrisico’s binnen hun organisaties.
• Een bredere kijk op integriteitsrisico’s: : De compliance functie (ook gedragen door de beroepsvereniging VCO) wordt steeds vaker geacht zich niet alleen op regelgeving en hard controls te richten, maar ook op de menselijke factor: het gedrag achter de risico’s.

Wat de Projective Group voor jouw organisatie kan betekenen?

Onze Consultants helpen je graag te voldoen aan compliance vereisten, zodat jouw risico's beheersbaar blijven en jouw reputatie behouden blijft. Implementatie van regelgeving alleen is echter niet genoeg. Een gezonde risicocultuur – waarin integriteit wordt beleefd – is essentieel voor het behoud van vertrouwen, reputatie en duurzame groei. Regelgericht én waarde gedreven. Wij zijn van mening dat balans tussen hard en soft controls leidt tot duurzaam succes.

Daarom bieden wij ook diverse services aan om jouw aandacht te geven aan het vergroten of versterken van jouw risico cultuur. Waarbij het altijd goed is met elkaar te inventariseren wat de gewenste cultuur zou zijn en waar je op dit moment met jouw organisatie staat. Met de juiste cultuur kan het aantal hard controls en de intensiteit van de monitoring daarvan omlaag.

Een aantal mogelijkheden waarmee wij je kunnen ondersteunen:

• Inventarisatie gewenste risico cultuur vs huidige situatie (“nulmeting”);
• Inrichten van het proces van risk culture monitoring voor jouw organisatie, of
• Het periodiek uitvoeren van risk culture monitoring;
• Inventariseren balans tussen hard & soft controls;
• Hoe organiseer je de beheersing rondom integriteit, gedrag en cultuur binnen de organisatie (oa. rol Compliance Officer / team – Integriteitsplan gedrag en cultuur);
• Integriteit in besluitvorming (bijvoorbeeld Dilemma dialoog, Product Approval, vergadercultuur) (training, faciliteren workshops);
• Diversiteit aan trainingen; en
• Op maat gemaakte projecten afgestemd op jouw situatie.