Op 1 September jongstleden heeft Lawrence Uebel zijn artikel: “Why startups shoud leverage compliance” gepubliceerd. Hij vat zijn artikel met de volgende zin samen: “Building compliance into the fabric of a company positions it to deal effectively with the regulatory and competitive challenges of growth.” Helaas is het inbouwen van compliancy-eisen bij het ontwerpen van bedrijfsprocessen niet vanzelfsprekend. Vaak wordt er bij het ontwerpen alleen in termen van efficiëntie en effectiviteit gedacht. Efficiëntie en effectiviteit zijn beide (zeer valide) gezichtspunten wanneer er door een ‘performance-bril’ wordt gekeken, maar voor een goed ontwerp dient er ook vanuit andere gezichtspunten gekeken te worden.

Naast het kijken vanuit een ’performance-bril’ kan er ook vanuit een ‘risicomanagement-bril’ en ‘compliance-bril’’ naar een bedrijfsproces gekeken worden. Wanneer een bedrijfsproces wordt bekeken met een focus op risicomanagement en/of compliancy komen er mogelijk andere aandachtspunten aan het licht. De visie dat het ontwerpen van bedrijfsprocessen vanuit verschillende oogpunten dient te gebeuren wordt al langer uitgedragen door de Open Complicance and Ethics Group (OCEG). Zij definiëren dit als: ’Principled Performance’. Principled Performance gaat uit van drie pijlers: 1) Governance, 2) Management en 3) Assurance, zie figuur 1. Waarbij er vanuit drie gezichtspunten: performance, risicobeheersing en compliance naar elke pijler wordt gekeken. In dit artikel worden de onderdelen van de management-pijler beschreven. In een volgend artikel komen de pijlers Governance en Assurance aan bod.

De Management disciplines

De eerste management discipline, performance, houdt zich bezig met het zo efficiënt, effectief, consistent en nauwkeurig mogelijk uitvoeren van processen. Hierbij ligt de focus op het elimineren van verspillingen in het proces en tegelijk zoveel mogelijk waarde creëren voor klanten. Voorbeelden van verspillingen waar naar gekeken wordt zijn: 1) het onnodig verplaatsen van producten en informatie, 2) het onnodig of overmatig documenteren en 3) wachttijden.

De tweede management discipline, compliancy, focust zich op (Tarantino, 2008): risico’s die voortkomen uit het niet handelen in overeenstemming met de vastgestelde wet- en regelgeving”, verder aangeduid als compliance risico’s. Risicomanagement, de derde management discipline, focust zich op: risico’s die voortkomen uit het gebrek aan interne controles op mensen, processen en technologie, verder aan geduid als operationale risico’s. In de bestaande literatuur worden deze twee typen risico’s vaak apart behandeld waardoor ze ook worden gezien als twee verschillende disciplines (Zur Muehlen and Rosemann, 2005; Carroll, 2001).

artikel_principled_performance_figuur1

Figuur 1: Principled Performance House

Om het verschil tussen compliance management en risicomanagement te duiden worden er in de literatuur vaak drie verschillen aangevoerd. Het eerste verschil betreft de bron (organisatie/overheid) die bepaalt of een zekere gedraging een risico is. Bij compliancy bepaalt een externe partij welke gedraging een risico is. Met betrekking tot risicomanagement bepaalt de organisatie zelf welke gedragingen zij als risico classificeert. Het tweede verschil is de bewijsplicht ten aanzien van de risicobeheersing. Met betrekking tot operationele risico’s worden er van buitenaf geen criteria opgelegd en is er geen plicht tot het bewijzen van voldoende risicobeheersing. In dit geval kunnen organisaties hun eigen criteria definiëren en dit middels een eigen systematiek controleren. Met betrekking tot compliance risico’s bepalen derde partijen of en hoe risico’s opgevangen dienen te worden. Daarnaast kunnen eisen gesteld worden aan de rapportage die als bewijs aangeleverd dient te worden. Het derde verschil dat vaak wordt aangegeven is de mate van schade die het ineffectief beheersen van de risico’s tot gevolg heeft. Hierbij wordt gesteld dat het ineffectief managen van compliance risico’s over het algemeen grotere schade oplevert dan het ineffectief managen van operationele risico’s.

Hoewel wij het eens zijn met de eerste twee geïdentificeerde verschillen tussen compliance risico’s en operationele risico’s is het af te vragen in hoeverre het laatste verschil valide is. Bijvoorbeeld in het werk van Zur Muehlen en Rosemann (2005) wordt een universiteit beschreven waarbij een operationeel risico de oorzaak was van het significant uitputten van de kasreserves. Dit voorbeeld demonstreert dat ook het ineffectief beheersen van operationele risico’s ernstige gevolgen voor organisaties met zich mee kan brengen. Ondanks dat de bron, een compliance risico of een operationaal risico, verschilt heeft dit geen effect op het gevolg. Daarom beargumenteren wij dat dit derde verschil geen verschil maar een overeenkomst is.

Wanneer een bedrijfsproces ontworpen wordt is het belangrijk dat performance-, compliance- en risicomanagement integraal worden meegenomen. Wel moet het effect van elke management disicipline op het bedrijfsproces onderscheiden kunnen worden. Met andere woorden, een ontwerpbeslissing dient herleidt te kunnen worden naar een performance eis, een compliance eis of een risicomanagement eis. Hierdoor kunnen eventuele wijzigingen eenvoudig doorgevoerd worden.

Uitdagingen Principled Performance

Om principled performance in een organisatie toe te passen dienen een aantal uitdagingen overwonnen te worden. Een van deze uitdagingen is het verenigen of bijeenbrengen van de expertises van verschillende medewerkers. De expertise van een bedrijfsproces-analist ligt namelijk op een ander vlak dan die van een medewerker compliance of risico management.

Een tweede uitdaging is het inzichtelijk maken van de ontwerpbeslissingen. Tijdens het inrichten van bedrijfsprocessen worden meerdere ontwerpbeslissingen gemaakt met betrekking tot het ontwerp. Deze ontwerpbeslissingen zijn onder andere gebaseerd op de inzichten van mensen, wet- en regelgeving en risico analyse. Helaas worden deze ontwerpbeslissingen vaak impliciet gelaten. Vanuit het principled performance gedachtegoed is het belangrijk dat deze beslissingen expliciet gemaakt worden. Naast het expliciet maken van de ontwerpbeslissing dient ook de bron die als basis voor de ontwerpbeslissing heeft gediend vastgelegd te worden. Dit wordt traceerbaarheid genoemd.

Traceerbaarheid heeft als doel de relatie(s) tussen brondocumentatie, de ontwerpkeuzes en implementatiekeuzes zichtbaar te maken. Hierdoor kan er worden nagegaan welke wettelijke bronnen, beleidsbronnen en/of persoonlijke meningen van medewerkers er aan een ontwerpbeslissing ten grondslag hebben gelegen. Het inzichtelijk en traceerbaar maken van de ontwerpbeslissingen leidt ook tot twee aanvullende voordelen: 1) het kunnen simuleren van wijzigingen in wet- en regelgeving en 2) het kunnen uitvoeren van impactanalyses.

De belangrijkste boodschap met betrekking tot principled performance is om het niet te beschouwen als een eenmalig project. Het dient een onderdeel te worden van het DNA van de organisatie of zoals Lawrence Uebel het formuleert: “Building compliance into the fabric of a company positions it to deal effectively with the regulatory and competitive challenges of growth.”

Een middel om principed performance in het DNA van de organisatie te krijgen is business rules management. Business Rules Management (BRM) wordt ook wel aangeduid als Policy Lifecycle Management, Wetsgebaseerd Werken of Wendbare Wetsuitvoering. BRM kan worden ingezet om bedrijfsprocessen op een efficiënte, effectieve en herhaalbare wijze plaats te laten vinden rekening houdend met wet- en regelgeving en intern gedefinieerde risico’s. Potentiële baten van BRM zijn: 1) het bevorderen van rechtmatigheid en rechtszekerheid van de uit te voeren bedrijfsprocessen, 2) het transparant maken van de bedrijfsvoering van de organisatie naar toezichthouders en klanten en 3) het sneller kunnen implementeren van wijzigingen in wet- en regelgeving. In komende artikelen zullen we hier verder op ingaan.

Co-Auteur: Koen Smit

Bronnen

Carroll, R. (2001). Risk Management Handbook for Health Care Organisations. San Francisco: Chicago Jossey Bass.

Tarantino, A. (2008). Governance, Risk, and Compliance Handbook. New Jersey: Wiley.

Zur Muehlen, M., & Rosemann, M. (2005). Integrating Risks in Business Process Models. Proceedings of the 16th Australasian Conference on Information Systems, Sydney.