Zand of veen. Het maakt nogal wat uit wat er in de grond zit als je een huis bouwt. Bij de ene grondsoort hoef je niet zoveel aan fundering neer te leggen, bij de ander is het nodig om meters heipalen de grond in te slaan. Ook voor het versterken en waarborgen van integriteit in organisaties is een stevige ondergrond, een goed fundament van grote waarde. Het voorkomt spreekwoordelijk scheefzakken, scheuren in de muren en meer van dat soort ellende. Maar waar moeten we dan aan denken als we het hebben over een goed fundament voor het versterken en waarborgen van integriteit? Daar ga ik in deze blog op in.
Begin met het einde in gedachten
Bij het schrijven van een tekst is het goed je af te vragen waarom je de tekst schrijft. En voor wie. Waar zit de lezer op te wachten? ?Begin with the end in mind?, zou Steven Covey zeggen. Dat geldt naar mijn mening ook voor het leggen van een fundament onder de integriteit van de organisatie. Het uiteindelijke resultaat moet naar mijn idee zijn, dat het fundament de organisatie in staat stelt om hierop verder te bouwen. Het moet een aantal uitgangspunten stevig verankeren. Deze uitgangspunten kunnen vervolgens niet zomaar worden gewijzigd. Standvastigheid is hier dus gewenst. Ook moeten deze uitgangspunten voor alle hierbij betrokkenen duidelijk zijn. Dus leesbaarheid van (beleids-)stukken die het fundament leggen is tevens een belangrijke voorwaarde. Wat heb je er anders aan? En kast- of servervulling hebben we al genoeg.
Denken in lagen van het fundament
Het (beleids-)fundament stel ik me voor als bestaand uit verschillende lagen. Dit om duidelijk onderscheid te kunnen maken in de verschillende doelen zijn voor deze bestanddelen van een dergelijk fundament en tegelijk ook aan te geven, dat er een sterk onderling verband is tussen deze elementen.
In de onderste laag zie ik de bewijzen van bestaan van de onderneming voor me. Heel basaal denk ik dan bijvoorbeeld aan het bewijs van de inschrijving bij de KvK, de oprichtingsakte van de BV, dat soort documenten. Ik kan me voorstellen dat ook verleende vergunningen hiervan deel uitmaken. Bovenop deze eerste laag komt de tweede laag van het fundament. Voor deze tweede laag denk ik aan de missie, visie en kernwaarden van de onderneming. Deze documenten beschrijven meer de keuzes die gemaakt zijn ten aanzien van de zeer lange termijn. Ze beschrijven de bestaansreden van de organisatie. Dit zijn zaken die normaal gesproken slechts zelden worden herijkt.
De derde laag bevat de beschrijving van de inrichting en werking van de organisatie (governance). Op basis van documenten in deze laag kan de lezer antwoord krijgen op vragen als: ?Op welke manier is de organisatie ingericht?? en ?Op welke manier wenst de organisatie met risicobeheersing om te gaan??. Goed voorstelbaar is dat in deze derde laag het compliance statuut (charter) is opgenomen, maar ook kan het plaats bieden aan een integriteitsbeleid, bijvoorbeeld als nadere uitwerking van integriteit als kernwaarde uit de tweede laag van het fundament.
In de vierde laag zie ik meer tactisch operationele stukken terug. Zaken die richting geven aan de dagelijkse (integere) bedrijfsvoering. Ik kan me goed voorstellen dat de Systematische Integriteitsrisicoanalyse (SIRA) een plaats vindt in deze vierde laag. Maar ook nadere uitwerkingen van het integriteitsbeleid, zoals verschillende regelingen op het gebied van het beheersen van (integriteits-)risico?s moeten hierin een plaats krijgen. Voorbeelden zijn de Regeling Privébeleggingstransacties of de Regeling Voorkomen van Belangenverstrengeling. De vijfde en laatste laag van het fundament zou kunnen bestaan uit de processen en procedures die sterk gericht zijn op de dagelijkse gang van zaken in een onderneming. Op basis van de informatie uit deze beschrijvingen weet iedere betrokken medewerker bijvoorbeeld precies welke stappen hij moet zetten bij het onboarden van een nieuwe klant, of welke stappen hij moet ondernemen in het geval hij een ontvangen relatiegeschenk wil melden.
Gedrag verandert niet door het plaatsen van een document op intranet
De afgelopen jaren hebben we in het compliance vak wel kunnen vaststellen, dat het enkel beschikbaar stellen van beleidsstukken, processen en afvinklijsten, op bijvoorbeeld het intranet alleen, niet leidt tot een integere organisatie. De meeste organisaties zijn nog sterk afhankelijk van mensen. En mensen passen hun gedrag niet aan op basis van het plaatsen van een document op intranet. Dat mag bij het lezen van dit stuk een logisch feit zijn, maar ik adviseer om dit bij het inrichten en/of herijken van een deugdelijk risicobeheersingsraamwerk goed in het achterhoofd te houden. Aanvullend geef ik onderstaand nog een drietal aanbevelingen voor het neerzetten en/of herijken van het fundament:
Voor een goede beheersing van (integriteits-)risico?s is het van belang dat de mensen op wie het beleid is gericht weten wat van hen wordt verlangd. Het helpt medewerkers over het algemeen niet als er een ondoordringbaar woud aan documenten op het intranet wordt neergezet, waarvan niemand weet hoe dit te hanteren. ?Waar moet ik zijn voor wat?? is een vraag die elke medewerker zich afvraagt en waar zoveel mogelijk een intuïtieve oplossing voor gevonden moet worden. Onderdeel van deze oplossing moet zijn dat de onderlinge verbanden in het raamwerk simpel en daarmee inzichtelijk zijn: ?Maak het zo simpel mogelijk, maar niet simpeler?;
In de loop van de jaren kan een organisatie een enorme hoeveelheid documenten verzamelen. Het risico hiervan is dat niemand meer weet welke documenten deel uitmaken van het actuele raamwerk. Als logisch vervolg op de eerste aanbeveling is de tweede aanbeveling dan ook om op te ruimen (of te archiveren) wat niet meer van toepassing is. Dat schept vaak al lucht en de mogelijk nog te vullen ?gaten? in het beleid worden hierdoor ook duidelijker;
Het implementeren van beleid volgt op het vaak in beperkte kring opstellen van het beleid. Hoe meer medewerkers reeds bij het opstellen van het beleid betrokken zijn, hoe minder energie er hoeft te worden gestoken in het invoeren ervan. Als we uitgaan van het model van ?three lines of defense? en een adviserende rol van compliance bij het opstellen van integriteit gerelateerde beleidsstukken, dan zou de eerste lijn dus een prominente rol moeten spelen bij het opstellen van het beleid (en niet afwachten totdat iemand in de tweede lijn met een goed idee komt): ?Alleen ga je misschien sneller, maar samen kom je verder?.
Ten slotte
Ik hoop dat het idee van het gelaagd fundament en de aanbevelingen helpen om het fundament van uw organisatie eens tegen het licht te houden. De volgende vragen zou u zich kunnen stellen: ?Is het fundament stevig genoeg om het bouwwerk van uw organisatie te kunnen dragen? Kan het bouwwerk tegen een stootje? In welke mate speelt het fundament daarin een rol??
Gaat u aan de slag met een herijking van het fundament van uw organisatie? Wilt u tijdens dit proces gebruik maken van een sparringpartner met ervaring? Neem dan contact op met mij of mijn collega?s.
