Compliance groeit bijna vanzelf.
Na een incident komt er een registratie bij. Na een auditbevinding ontstaat een actie. Nieuwe eisen leiden tot extra documentatie, controles of rapportages. Wat zelden gebeurt, is het omgekeerde. Er wordt weinig weggehaald.
Na verloop van tijd ontstaat daardoor een herkenbaar patroon. De hoeveelheid vastlegging neemt toe, maar het overzicht niet altijd. Documentatie groeit, registraties stapelen zich op en controles worden uitgebreid, terwijl het steeds lastiger wordt om snel uit te legen waar de belangrijkste risico’s zitten en welke keuzes zijn gemaakt.
Precies daar begint een vraag die verrassend weinig wordt gesteld: wat is eigenlijk het minimale dat nodig is om aantoonbaar in control te zijn?
Dat is de kern van Minimum Viable Compliance. Niet minder serieus omgaan met risico’s, maar scherper worden op wat werkelijk nodig is om risico’s te beheersen en keuzes te kunnen verantwoorden.
Wat “viable” in compliance betekent
Het woord minimaal roept al snel de associatie op met oppervlakkig of uitgekleed. In compliance werkt dat misleidend.
Viable betekent niet dat je zo weinig mogelijk doet. Het betekent dat je precies genoeg organiseert om beslissingen te kunnen onderbouwen en later te kunnen uitleggen.
In de praktijk komt dat neer op vier vragen:
- Welke risico’s lopen we?
- Welke maatregelen hebben we gekozen?
- Wie is daarvoor verantwoordelijk?
- Hoe weten we dat die maatregelen werken?
Wanneer een organisatie deze vragen overtuigend kan beantwoorden, staat de basis van compliance.
Alles wat daar niet direct aan bijdraagt, verdient kritische heroverweging.
De minimale bouwstenen van compliance
Wanneer je compliance terugbrengt tot de kern, blijven een aantal eenvoudige bouwstenen over. Niet als model of methodiek, maar als ondergrens voor bestuurbaarheid.
Heldere definities
Veel complianceproblemen beginnen bij interpretatieverschillen. Mensen gebruiken dezelfde woorden, maar bedoelen iets anders.
Wanneer is iets een risico?
Wanneer noem je iets een incident?
Wanneer is een maatregel afgerond?
Wat betekent afgehandeld?
Zonder gedeelde definities verliest vastlegging betekenis. Registraties worden inconsistent en discussies blijven terugkomen.
Juist daarom helpt het om een paar kernbegrippen expliciet vast te leggen. Niet uitgebreid, maar wel eenduidig. Dat voorkomt dat compliance verandert in implementatie.
Dit raakt direct aan het onderwerp van de blog Waarom compliance software pas werkt als iedereen hetzelfde bedoelt.
Eén plek waar risico’s en besluiten samenkomen
Een lijst met risico’s is op zichzelf nog geen beslissing. Pas wanneer zichtbaar is wat ermee is gedaan, ontstaat sturing.
Bij elk risico hoort daarom een besluit. Wordt het risico gemitigeerd of vermeden? Waarom is dat besluit genomen? En door wie?
Wanneer risico’s, acties en besluiten verspreid raken over verschillende documenten, verdwijnt de samenhang. Dan wordt het lastig om het verhaal achter een keuze terug te vinden.
Een risico zonder een besluit is uiteindelijk alleen een inventarisatie.
Wie meer wil lezen over de basis van risicobeheer, kan ook kijken naar De risicoanalyse: een onmisbaar instrument voor elke ondernemer.
Expliciet eigenaarschap
Veel compliancevraagstukken zijn uiteindelijk geen inhoudelijk probleem, maar een verantwoordelijkheidsprobleem.
Acties blijven liggen omdat niemand expliciet eigenaar is. Niet omdat ze onbelangrijk zijn, maar omdat opvolging impliciet blijft.
Daarom is een eenvoudige regel vaak voldoende:
- Elk risico heeft één eigenaar
- Elke maatregel heeft een verantwoordelijke
- Elke actie heeft een termijn.
Zodra eigenaarschap helder is, ontstaat voortgang vanzelf sneller.
Basisbewijs dat maatregelen werken
Compliance vraagt aantoonbaarheid. Dat betekent niet dat alles uitgebreid moet worden gearchiveerd, maar wel dat de maatregelen zichtbaar functioneren.
Dat bewijs kan bestaan uit besluitnotities, voortgangsoverzichten, reviewmomenten of een logische audittrail vanuit het proces zelf.
Belangrijk is dat bewijs voortkomt uit het werk zelf. Wanneer bewijs alleen achteraf wordt verzameld, ontstaat juist twijfel over de betrouwbaarheid.
De manier waarop organisaties omgaan met opvolging en verbeteringen zegt daarom vaak meer over hun compliancevolwassenheid dan de hoeveelheid documentatie. Dat onderwerp komt uitgebreider terug in Wat de opvolging van verbeterpunten zegt over hoe serieus je compliance neemt.
Periodieke herijking
Risico’s veranderen. Organisaties veranderen. Prioriteiten verschuiven.
Toch wordt compliance nog vaak behandeld als een eenmalige analyse die daarna vooral wordt onderhouden. Zonder een vast moment van herijking veroudert zo’n analyse vanzelf.
Een eenvoudig ritme helpt om dat te voorkomen. Een kwartaalreview, een jaarlijkse herbeoordeling of een evaluatie bij een belangrijke wijziging kan al voldoende zijn. Zolang het maar een terugkerend moment is waarop risico’s en uitzonderingen opnieuw worden bekeken.
Wat vaak wél gebeurt, maar weinig toevoegt.
Compliance wordt regelmatig zwaarder gemaakt door activiteiten die weinig bijdragen aan besluitvorming of beheersing.
Voorbeelden zijn dubbele registraties, detailniveau dat niemand gebruikt, documenten die nooit worden geraadpleegd of dashboards die geen actie opleveren.
Het probleem zit niet in dat ze bestaan. Het probleem is dat ze vaak blijven bestaan zonder dat iemand nog toetst of ze werkelijk iets toevoegen.
Zodra vastlegging niet helpt om risico’s beter te begrijpen, keuzes explicieter te maken of maatregelen te toetsen, verandert ze in overhead.
En overhead maakt compliance wel drukker, maar zelden beter.
Eenvoud versus zekerheid
Veel organisaties ervaren spanning tussen eenvoud en zekerheid. Certificering vraagt aantoonbaarheid. Wetgeving vraagt zorgvuldigheid. Klanten willen bewijs zien.
Dat leidt gemakkelijk tot de reflex om meer vast te leggen.
Toch blijkt in de praktijk dat een slanke inrichting vaak betrouwbaarder werkt. Wanneer rollen helder zijn, besluiten expliciet zijn vastgelegd en er een ritme van evaluatie bestaat, blijft compliance beter bestuurbaar.
Eenvoud werkt alleen wanneer keuzes bewust zijn gemaakt. Minimum Viable Compliance betekent daarom niet minder discipline, maar gerichte discipline.
Hoe toets je of jouw compliance “minimum viable” is
Een eenvoudige zelftoets is vaak al voldoende.
Kun je in tien minuten uitleggen:
- Wat de belangrijkste risico’s zijn
- Wie daarvoor verantwoordelijk is
- Welke maatregelen momenteel lopen
- Welke uitzonderingen bewust zijn geaccepteerd
Wanneer dat overzicht ontbreekt, ligt het probleem meestal niet in een tekort aan documentatie. Vaker ontbreekt de structuur waarin risico’s, besluiten en opvolging logisch samenkomen.
Minder is alleen beter als het bewust is
Minimum Viable Compliance betekent niet dat je minder serieus met risico’s omgaat.
Het betekent dat je alleen vastlegt wat nodig is om keuzes te dragen, risico’s te beheersen en verantwoording af te leggen.
Compliance moet geen archief worden waarin alles ooit is opgeslagen. Het moet een geheugen zijn waarin zichtbaar blijft welke keuzes zijn gemaakt, waarom ze zijn gemaakt en wie daarvoor verantwoordelijkheid draagt.
Zolang dat geheugen helder blijft, blijft ook de organisatie bestuurbaar.
Verder lezen
Deze artikelen sluiten inhoudelijk goed aan:
Geef een reactie