In onze opleidingen en in onze dagelijkse praktijk als compliance officer komen we de spraakverwarringen vrijwel dagelijks tegen: controls, controle, monitoring, in control en/of compliant zijn. Wat betekent nu eigenlijk wat? En waarom is dit een gespreksonderwerp voor de compliance officer?
Het is tijd om duidelijk te maken wat we bedoelen en hoe de verschillende begrippen op elkaar ingrijpen. Zodat we bij onze werkzaamheden elkaar begrijpen. En zo ?in control? zijn op ons werk, om er nog maar eens een modewoord bij te halen.
En in ieder geval voor mijn eigen begrip, want soms dreig ik ook de samenhang uit het oog te verliezen?
Het woordenboek
In oudere definities is controle gedefinieerd als toezicht, inspectie, onderzoek of nazien. De activiteit van het vaststellen van de juistheid van iets of van een handeling. Controle is dus (negatief geformuleerd) het zoeken naar fouten, of (positief geformuleerd) het vaststellen of iets correct is uitgevoerd.
To control is het Engelse werkwoord dat ?beheersen? betekent. In de twintigste eeuw zijn de woorden controle en control naar elkaar toe geschoven en zelfs deels gaan overlappen.
Monitoren wordt wel gedefinieerd als nauwlettend volgen, continu in de gaten houden. En ook daar verschijnt in definities ook het begrip controleren: tijdens een proces controle uitoefenen bijvoorbeeld. Monitoren schuift dan naar ?to control? en controleren’.
Dit geeft mij niet het gevoel dit ik hier wijzer van word, laat staan dat ik het een ander kan uitleggen?
In gewoon Nederlands?
Laten we eens kijken of het Nederlands uitkomst biedt voor de compliance officer en de riskmanager.
Als we spreken over controls, dan bedoelen we beheersmaatregelen. Alles wat we doen om processen in de greep te krijgen en houden, om risico?s te beheersen. We kennen hard controls en soft controls, organisational controls en ga zo maar door. En we bedoelen dan steeds beheersmaatregelen.
In de praktijk kom ik eigenlijk nooit tegen dat onder een control een controle wordt verstaan. Controles worden zo genoemd, of audits of checks in het Angelsaksische jargon. Voor mij is controleren het vergelijken van een werkelijkheid met een norm. Een toets, zal ik maar zeggen. Controleren is dus toetsen, kijken of het goed is; laten we die werkdefinitie maar hanteren.
En we willen grip krijgen en houden op onze processen, wat volgens mij een goede vertaling is van in control zijn. Daarom nemen we beheersmaatregelen. En we toetsen of die goed werken, om zeker te weten dat het volgens plan gaat. En als het niet volgens plan gaat nemen we actie, dan sturen we bij.
Als je het zo stelt, is het begrijpelijk, makkelijk zelfs. Maar het klinkt wat boers: in het Engels klinkt alles mooier en internationaler. En het is makkelijker uit te leggen in onze internationale maatschappij.
Hoe noemen we het in het Engels?
Een veel gebruikt model voor het in de greep krijgen van processen is de plan-do-check-act cyclus. Hieronder is deze weergegeven.
Toelichting:
En daarmee is de cirkel gesloten; dit is een continu proces. Met als doel het behalen van de doelstelling van de organisatie, in het midden weergegeven als GOAL. Want daar ging het om.
Terug naar het controleren van controls
Laten we gemakshalve dit model en de gebruikte termen hanteren als uitgangspunt, omdat op zo veel plekken deze cyclus wordt gebruikt. Wat en waar vallen dan al die termen?
Controls of beheersmaatregelen zijn zaken die je in de fase Plan terugziet. Want de fase Plan bepaalt het wat (beleid) en hoe (procedures). Dus worden daar de beheersmaatregelen bepaald die nodig zijn om het geheel in de greep te houden. Dat is één.
Controle is het toetsen of zaken goed zijn verlopen. Dat is de fase Check. Niet meer en niet minder. Dat is twee.
Maar hoe weet het management nu of de organisatie in control is? Om het zeker te weten zou je met een frisse blik moeten beoordelen of de eigen PDCA-cirkel rond is. Maar kritisch kijken naar het eigen werk is vaak lastig. Mede daarvoor is het drie-lijnen-model bedacht: ter ondersteuning van de manager (eerste lijn) bekommeren onafhankelijke bewakers (tweede lijn) zich om de beheersing, denken mee of de organisatie de doelen kan behalen en informeren het management hierover.
En in die tweede lijn vinden we onder andere de compliance officer. En wat doet de compliance officer dan? De compliance officer monitort. Die kijkt of Check inderdaad checkt en of de Check de goede dingen checkt. Kijken of er goed gekeken wordt, noemen compliance officers dat. Maar die ook kijkt of Plan beleidsmatig wel voldoet (beoordelen van de ?opzet?). En of de goede instructies zijn gegeven (het ?bestaan?) en of de goede beslissingen worden genomen in Act. Eigenlijk dus de trouwe waakhond die kijkt of de PDCA cirkel wel rond is. Monitoren is dan eigenlijk observeren of het management de afdelingen en/of processen in de greep heeft, of de organisatie in control is. Of de risico?s goed worden beheerst. Of de integriteit op orde is. Of een integere en beheerste bedrijfsvoering is gerealiseerd (de ?werking?). Eigenlijk het geweten, dat de organisatie helpt om doelen te bereiken, de GOAL.
En nu
Ik denk dat we met deze werkdefinities elkaar heel goed kunnen begrijpen. Beheersmaatregelen, toetsing en de PDCA-cyclus om doelen te bereiken; hoe moeilijk kan het zijn? Laten we ophouden met definitie-gedoe en als compliance officers gewoon doen waar we goed in zijn: organisaties helpen om hun processen en (integriteits)risico?s te beheersen door hun gecontroleerde controls te monitoren! Angelsaksisch of Nederlandsch.
Als maar niemand op het idee komt om de naam van ons beroep te vernederlandsen, want ?oudere agent bij de landelijke nalevingsinstelling? wil ik niet op mijn visitekaartje?
