In deel 1 van dit drieluik legden we het fundament: een geïntegreerd risico- en controleraamwerk met many-to-many koppelingen. Maar een raamwerk dat alleen op papier bestaat, is een papieren tijger. In dit tweede deel laat ik zien hoe je onder meer met een PDCA-cyclus je compliance-inspanningen blijvend effectief houdt. Voor de leesbaarheid verdeel ik dit in 3 blogdelen (1. Intro en Plan, 2. Do en Check, 3. Act en Samenvatting).
Een ecosysteem in plaats van een document
Denk aan je risico- en controleraamwerk als een ecosysteem. Net zoals een gezond bos afhankelijk is van de juiste balans tussen bomen, planten, dieren, water en zonlicht, zo is duurzame compliance afhankelijk van de samenhang tussen governance, risico's, controls, cultuur/mensen en processen.
Haal één element weg, of vergeet het te onderhouden, en het systeem raakt uit balans. Een control die niet werkt, beïnvloedt meerdere risico's. Een medewerker die vertrekt zonder kennisoverdracht, laat een gat achter. Nieuwe wetgeving die je niet integreert, verstoort bestaande maatregelen. En een tweede lijn die niet praat met de eerste lijn, mist de signalen waar het misgaat. Alleen kort voor de audit hieraan werken, laat ook geen gezond ecosysteem zien.
Van registreren naar begrijpen
Veel organisaties hebben wel een iets van een raamwerk, maar dat is vaak niet meer dan een registratiesysteem. Risico's worden gedocumenteerd, controls worden gemarkeerd als "aanwezig", een beleidsdocument wordt geüpload, een vinkje wordt groen. Totdat er iets misgaat en je beseft dat het vinkje niet de werkelijkheid weerspiegelde.
Duurzame compliance vraagt om (continue) begríjpen: waarom bestaat een control, wat veranderde er waardoor je risicoregister achterhaald is, hoe beïnvloeden veranderingen in één deel het geheel.
De PDCA-cyclus: motor voor een levend ecosysteem
De sleutel tot een gezond ecosysteem is de PDCA-cyclus: Plan, Do, Check, Act. Deze cyclus zorgt dat alle onderdelen in balans blijven: de waterkringloop van je ecosysteem.
Plan: risicobereidheid als kompas
Het moeilijkste deel is vaak het begin: waar begin je en wat prioriteer je als alles belangrijk lijkt?
De oplossing zit in een vastgestelde risicobereidheid en -tolerantie. Hoeveel risico (per type) is een organisatie bereid te nemen om strategische doelen te behalen. Beschrijf dit in statements op basis van de organisatiestrategie, -doelen en vervolgens de risicotypes (strategisch, operationeel, financieel en compliance). Concretiseer dit met scenario’s.
Een voorbeeld: bij een middelgrote zorginstelling wordt het scenario voorgelegd waarbij een medewerker per ongeluk een patiëntendossier naar een verkeerd adres stuurt, wat gemiddeld 2 x per jaar plaats vindt. De twee datalekken per jaar vallen vermoedelijk binnen de financiële risicobereidheid (bijvoorbeeld boetes tot €100.000 zijn op te vangen), maar het reputatierisico vraagt om actie. De instelling investeert zodoende in een e-mail DLP-tooling of afgesloten patiënten portaal.
Risico statements helpen de organisatie bij risicobewustzijn, focus, toekennen van resources, besluitvorming, structureren van risicomanagement en zelfs voldoen aan wetgeving, normeringen en klanteisen.
Voor consistente prioritering heb je een risico-methodologie nodig. Kans × impact is het uitgangspunt, maar denk ook na over objectieve indicatoren voor impactcategorieën (financieel, reputatie, juridisch), schaalverdeling en context, een zorginstelling weegt patiëntveiligheid anders dan een softwarebedrijf.
Met methodologie en risicobereidheid op zak, kun je concreet plannen: wat moet er gebeuren, wie voert uit, wanneer, en met welke prioriteit. Doordat je de risico’s op een consistente wijze weegt, kun je ze ook in 1 overzicht voor management weergeven. Veelal zullen er moeilijke gesprekken gevoerd gaan worden over prioritering en verdeling van resources. Keuzes zullen gemaakt moeten worden en bij een goede toepassing wordt ook voor management inzichtelijk welke risico’s pas later opgepakt kunnen worden. Dit inzicht helpt daarnaast bij het snel kunnen schakelen als het risico zich materialiseert.
Belangrijk is om met een rolling roadmap te werken (eventueel middels agile) die je elk kwartaal herziet, met prioritering, capaciteitsplanning, ingebouwde trigger-events voor nieuwe wetgeving of incidenten. De toekomst ligt in continue monitoring in plaats van periodieke control-uitvoering.
In het volgende blog ga ik verder in op de stappen Do en Check.
Lees hier het eerste blog uit de reeks.
