Er is, zowel in de interne omgeving als de externe omgeving van de organisatie, een groot scala aan, onderling nauw verwante, factoren dat het management van juridische risico’s beïnvloedt. Naast de hiervoor bij het COSO-model al besproken algemene aspecten als bestuursfilosofie en de organisatiecultuur staan we hier nog specifiek stil bij enkele aspecten die het karakter van juridisch risicomanagement bepalen.
Omvang en structuur noemen we hier als eerste. In het algemeen gaat de
stelling op dat het management van juridische risico’s, alsmede andere risico’s, complexer wordt naarmate de omvang van de organisatie en het aantal organisatieonderdelen toeneemt. De oorzaak daarvoor is primair dat de complexiteit van informatiestromen en -voorziening toeneemt met de omvang van een organisatie. Kurer schrijft in zijn boek over legal
and compliance risk:
‘No sensible business person would be reckless with risks which are known, and most of them are aware that even turning a blind eye is a stupid concept. Rather, lack of knowing is the key issue. Global companies are vast, sprawling monsters. (...) Most of their employees are honest, transparent, and work in the best interest of the company, but by sheer necessity, and sometimes tactically to protect their own position, they filter, limit and manipulate information which is provided upstream to their superiors. This includes information on legal risk which they encounter and see in their daily activities. After a long journey up (...) through the many layers of a corporation, this information will become thin and stale.’11
Alhoewel Kurer hier vooral schrijft over multinationale ondernemingen, zullen veel ambtenaren in grote overheidsorganisaties het fenomeen dat hij hier beschrijft moeiteloos herkennen. In het in het inleidende
11 ] P. Kurer, Legal and compliance Risk, a Strategic Response to a Rising
Threat for Global Business, Oxford: Oxford University Press 2015,
44
hoofdstuk al gememoreerde Securitelarrest uit 1996 duurde het bijvoorbeeld ruim een half jaar voordat de door ambtenaren gesignaleerde, mogelijke impact van dit arrest de minister bereikte. Om het gevaar van verstoringen in de informatievoorziening te beperken pleit Kurer voor een combinatie van klassieke risicoanalyses (SWOT-analyses, heat maps, PESTEL-(SWOT-analyses,12 enzovoort), een verplichte juridische risicoanalyse van alle belangrijke nieuwe initiatieven en een palet aan alternatieve methoden van informatievergaring, zoals interne wiki’s, waarop het bestuur medewerkers uitnodigt te reageren op nieuwe initiatieven en plannen. In aanvulling hierop kan worden gewezen op het, moeilijk meetbare, maar grote belang van een toegankelijke opstelling van het management van een organisatie, goede informele contacten tussen juridische professionals en medewerkers in verschillende lagen van de organisatie, effectieve bij- en nascholing en een open cultuur op de juridische afdeling.
Naast omvang en structuur bepalen de aard en activiteiten in hoge mate aan welke juridische risico’s de organisatie is blootgesteld en welke eisen aan het juridisch risicomanagement gesteld moeten worden. Bij private organisaties is bijvoorbeeld relevant of een organisatie beursgenoteerd is, aangezien voor beursgenoteerde ondernemingen verdergaande verplichtingen op het gebied van risicomanagement gelden. De activiteiten van de organisatie bepalen tevens welke wet- en regelgeving van toepassing is. Banken en verzekeringsmaatschappijen en farmaceutische bedrijven opereren in sectoren die een veel sterkere mate van regulering kennen dan bijvoorbeeld retailorganisaties. Organisaties uit deze sectoren opereren hiernaast vrijwel altijd in meerdere jurisdicties. In het algemeen geldt dat de complexiteit van het juridisch risicomanagement zal toenemen met het aantal jurisdicties waarin een organisatie opereert. Redenen hiervoor zijn onder andere dat de behoefte aan afstemming groter zal worden, en daarmee ook de kans op verstoringen in de informatievoorziening. De toepasselijkheid van meer rechtsstelsels introduceert bovendien de kans op conflicten
12 ] PESTEL staat voor een analyse van relevante omgevingsfactoren vanuit politiek, economisch, sociologisch, technologisch, ecologisch en legal oogpunt.
45
tussen regels uit verschillende stelsels, alsmede het risico dat cultuurverschillen de communicatie tussen organisatieonderdelen belemmeren.Ook voor publieke organisaties geldt dat aard en activiteiten van invloed zijn op het juridisch risicomanagement. Bij publieke organisaties geldt daarbij dat het de wet- en regelgeving is die bepaalt wat voor activiteiten de organisatie moet ontplooien. Zoals in de inleiding al vermeld, werken publieke organisaties in een sterk juridische context. Des te breder het (wettelijke) takenpakket van overheidsorganisaties, des te breder het spectrum aan juridische risico’s waar zij mee te maken hebben en, alhoewel het type activiteiten hierbij natuurlijk relevant is, des te complexer het juridisch risicomanagement doorgaans zal zijn. Ten slotte is er bij de interne omgeving een belangrijk verschil tussen overheidsorganisaties die onder direct, actief, democratisch toezicht staan en organisaties waarbij dat niet rechtstreeks het geval is, zoals zelfstandige bestuursorganen. Wanneer verantwoordelijk bestuurders op elk moment door volksvertegenwoordigers ter verantwoording kunnen worden geroepen, in de aanwezigheid van belangstellende media, is de noodzaak tot gedegen management van juridische risico’s immers alleen maar groter.
De externe omgeving waarin een organisatie opereert, is tot slot ook van invloed op het management van juridische risico’s. Het maakt verschil of een organisatie honderden ketenpartners heeft of slechts enkele en of er sprake is van snel wisselende zakelijke partners of langdurige relaties. Het is voor, bijvoorbeeld, de kans op mogelijke reputatieschade ook relevant of een organisatie in een sector opereert die sterk in de belangstelling van publiek en media staat, zoals de financiële sector of de Rijksoverheid, of het organisaties betreft die in het algemeen minder mediageniek zijn, zoals transportbedrijven of provincies. Ook de vraag of een organisatie onder bijzonder extern toezicht staat, welke bevoegdheden een toezichthouder heeft en hoe actief deze opereert, is relevant voor, onder andere, het maken van inschattingen rondom waarschijnlijkheden en mogelijke nadelige gevolgen.
Aard, omvang, structuur, activiteiten en externe omgeving van de organisatie beïnvloeden dus het soort juridische risico’s waaraan
46
een organisatie bloot staat, alsmede de complexiteit van het juridisch risicomanagement. Een organisatie zal haar interne organisatie hierop in moeten richten. Naarmate het juridisch risicomanagement complexer is, zal de behoefte aan juridische expertise toenemen. Organisaties zullen bijvoorbeeld keuzes moeten maken over vragen als aan hoeveel juridische professionals behoefte is, of zij centraal of decentraal gepositioneerd moeten worden, over welke kennis en expertise
‘in-house’ beschikt moet kunnen worden en welke extern ingehuurd kan worden, welke bevoegdheden de juridisch professionals hebben, hoe er over juridische risico’s gerapporteerd moet worden, enzovoort, enzovoort. Figuur 2.4 Factoren bij het management van juridische risico’s
Aard en activiteiten Omvang en structuur Externe omgeving