Renze Munnik: Houd het eenvoudig en veeg het bij elkaar

23 maart 2021

Voor de beheersing van risico’s is er – conform het three lines model – een tweede lijn gedefinieerd. Vanuit deze tweede lijn wordt de organisatie enerzijds ondersteund en anderzijds uitgedaagd en gemonitord ten aanzien van de beheersing van risico’s.

Hiervoor is de risicomanagement- of risicobeheerfunctie in het leven geroepen, die een onderdeel is van de tweede lijn. Deze overziet al het risicobeheer van de organisatie, van strategisch naar uitvoering, en zowel financiële risico’s als niet-financiële risico’s.

Compliance en privacy in de tweede lijn

Vanuit wet- en regelgeving zijn echter ook andere vereisten ontstaan, waardoor ook functies zoals compliance en privacy in de tweede lijn zijn beland. Deze functies hebben eenzelfde rol als de risicobeheerfunctie, maar dan alleen voor één deelgebied.

Wat onderscheidt deze rollen in de tweede lijn? Waar trek je de grens tussen het een en het ander? Wie is waarvoor verantwoordelijk? In praktijk zie ik dat organisaties hiermee worstelen en/of omslachtige of gekunstelde oplossingen kiezen, terwijl het toch zo moeilijk niet hoeft te zijn.

Functies als compliance en privacy zijn immers niet meer dan specifieke expertisegebieden binnen het beheersen van risico’s. In die context zie je overigens ook de information security officer steeds meer een soortgelijke rol innemen. Die zit veelal nog iets meer tegen de uitvoering aan, maar heeft in essentie ook een adviserende en controlerende rol.

Die drie rollen overlappen al met de risicobeheerfunctie, maar ze overlappen ook nog met elkaar. Geef maar eens aan waar de grens ligt bij informatiebeveiliging, tussen de privacy officer en de information security officer. En cybersecurity en datalekken worden doorgaans ook bij het integriteitsrisico genoemd.

Het belang van samenwerking

Laat de verschillende expertisegebieden met elkaar samenwerken. Ze werken naar hetzelfde doel (het beheersen van de risico’s), hebben dezelfde taken (adviseren/ondersteunen en monitoren) en gebruiken dezelfde aanpak/werkwijze (identificeren risico’s, inschatten kans en impact, bepalen beheersmaatregelen, monitoren effectiviteit en evalueren en bijsturen waar nodig).

Wat de information security officer al heeft gedaan, hoeft de privacy officer niet nog eens te doen. Wat de compliance officer al heeft gedaan, hoeft niet door de risicobeheerfunctie dunnetjes te worden overgedaan. Zie ze daarom niet als separate functies of afdelingen. Dat komt de samenwerking en het gebruikmaken van elkaars werkzaamheden niet ten goede.

Ga geen dagen besteden aan het uitpluizen hoe je deze rollen in kaart moet brengen. Zie het als een geheel. Heb je een compliance officer? Mooi, dat is dus die risk manager met specifieke kennis over integriteitsrisico’s en wet- en regelgeving. Heb je een privacy officer en een information security officer? Goed, dat zijn je risk managers die zich verdiepen in hoe je met (persoons)gegevens omgaat en hoe je die beveiligt.

In theorie (lees: wetgeving e.d.) worden het afzonderlijke functies genoemd. Maar zie het zelf als één ‘afdeling’, één clubje waar ieder z’n eigen expertise inbrengt om samen ervoor te zorgen dat de risico’s in brede zin zo goed mogelijk worden beheerst. We spreken niet voor niets van integraal risicomanagement. Trek de onderwerpen dan ook niet verder uit elkaar dan strikt noodzakelijk. Houd het eenvoudig en pragmatisch. Veeg ze bij elkaar. Daar wordt het efficiënter en effectiever van.

Probability & Partners is een Risk Advisory Firm die geïntegreerde risicomanagement en kwantitatieve modelleringsoplossingen biedt aan de financiële sector en aan data-gedreven ondernemingen.

 

Meer columns van Renze Munnik