Compliance draagt bij aan diverse organisatiedoelstellingen zoals efficiëntie, informatieveiligheid en risicobeheer. In de praktijk voelt het invoeren van een nieuw compliance beleid vaak als roepen in de woestijn. Iedereen heeft het druk en bovendien blijft de mens een gewoontedier dat graag vasthoudt aan het bekende. Daarom is er een andere aanpak nodig.
Veel organisaties hebben al iets gedaan op het gebied van bewustwording of bijvoorbeeld een privacy nulmeting om de huidige stand van zaken te onderzoeken. De verbeterpunten die hieruit voortkomen bieden collega’s handvatten en motivatie om nieuwe maatregelen te adopteren. Een mooi vertrekpunt. In dit artikel kijken we naar manieren om dit verder door te voeren.
Gedeelde verantwoordelijkheid
Om compliance te laten leven in de organisatie en risico’s te kunnen verminderen moet de verantwoordelijkheid hiervoor in de organisatie worden belegd. Veel organisaties kiezen ervoor om proceseigenaren aan te wijzen als ‘vaandeldragers’ van compliance. Zo wordt compliance binnen elk proces structureel besproken en meegenomen in de overwegingen. Dit vergt natuurlijk wel een bepaalde inzet, wat nogal wat weerstand kan geven. Waar komt deze weerstand vandaan? Hoe kunnen we meer begrip voor de noodzaak van compliance ontwikkelen?
Begrip creëren
Om proceseigenaren mee te krijgen in het compliance beleid is er een bijzondere aanpak nodig. Wij hebben ervaren dat een aantal factoren belangrijk zijn: bewustzijn, hoor-en-wederhoor en vooral géén afrekencultuur. Door collega’s bewust te maken van risico’s en zwakke plekken, en welke maatregelen deze risico’s mitigeren, ontstaat er begrip. Daarbij is het belangrijk om niet alleen te zenden, maar ook goed te luisteren naar de bezwaren en vragen vanuit diverse afdelingen. Waar zitten de knelpunten in het proces? Hoe strijken we deze glad? Om nieuw beleid door te duwen vervallen organisaties soms in een afrekencultuur. Denk bijvoorbeeld aan het direct aanspreken van medewerkers na een datalek of ander incident, of het persoonlijk verantwoordelijk houden van collega’s. Probeer in plaats daarvan om ongewenst gedrag bespreekbaar te maken en gewenst gedrag aan te moedigen.
Een zachte landing
Wij kunnen ons goed voorstellen dat organisaties tegen een dergelijk veranderproces opzien. Een cultuurverandering is een intensief traject dat tijd nodig heeft om voet aan de grond te krijgen. Afhankelijk van het volwassenheidsniveau van de organisatie zijn er diverse mogelijkheden om een nieuw compliance beleid goed te laten landen in de organisatie. Een van de mogelijkheden is een soft-audit: een kort project en waarin, na een documentatiecheck, het gesprek wordt aangegaan met de diverse sleutelrollen in de organisatie (bijv. proceseigenaren). Deze personen worden dan meegenomen in de materie en kunnen al hun vragen stellen. Tijdens deze gesprekken worden de nut en noodzaak van maatregelen duidelijk en krijgen medewerkers extra uitleg. Deze sleutelpersonen worden vervolgens verantwoordelijk voor het verspreiden van de boodschap en implementatie van maatregelen binnen hun proces(sen).
Organisaties die al iets verder zijn, kunnen ervoor kiezen naar het bestaan en de werking van het compliance beleid te kijken. Hierin wordt ook het gesprek met medewerkers aangegaan om te kijken hoe goed het beleid werkt. Blijken er punten in de praktijk onwerkbaar? Zijn alle risico’s goed ingeschat of dient de organisatie de focus te verleggen? Samen herijken we uw compliance beleid.
