Iedereen die zich verdiept in management ontdekt snel dat het een kunde is die sterk gevoelig is voor modes, trends en hypes. Waar in de jaren negentig kwaliteitsmanagement en projectmanagement in zwang waren, zijn anno 2017 Lean, Six sigma, Agile en Scrum actueel. Men zou zich dus kunnen afvragen of risicomanagement, als relatief recente discipline, niet ook slechts een tijdelijke storm is, die binnenkort wel weer in kracht zal afnemen. Een belangrijk verschil met de hiervoor genoemde managementstromingen18 is echter dat de verplichtingen voor organisaties om over risico’s te rapporteren stevig in wet- en regelgeving verankerd zijn. Recente schandalen, een nog steeds toenemende mediacultuur en toenemende macht en bevoegdheden van toezichthouders maken ook dat de aandacht voor risico’s de komende jaren waarschijnlijk niet zal afnemen. Aangezien aan vrijwel alle belangrijke risico’s ook juridische aspecten kleven, is de noodzaak van juridische expertise bij het risicomanagement van organisaties een gegeven. De vraag is hoe juridische professionals hun betrokkenheid bij
18 ] Die overigens waardevol zijn en gebaseerd zijn op relevante inzichten uit wetenschap en praktijk.
54
risicomanagement de komende jaren zullen vormgeven. Tot op heden lijkt dit in veel organisaties relatief ad hoc en weinig systematisch. Een deel van de oorzaak hiervoor ligt mogelijk in de natuurlijke neiging van juristen om zich vooral op individuele casuïstiek te richten en minder op een procesmatige en systematische benadering van juridische risico’s die een organisatie over het gehele spectrum van haar activiteiten loopt. Overigens zijn er, bijvoorbeeld in de financiële sector, wel al voorbeelden van juridische afdelingen die een meer systematische aanpak hanteren.
De mogelijke voordelen van een zekere mate van systematiek en planmatige aanpak lijken aantrekkelijk. Allereerst kan zo beter worden afgestemd met andere afdelingen die zich met het management van risico’s bezighouden, hetgeen tot synergie, tijdsbesparing en een meer integrale aanpak kan leiden. Bovendien kan het juridische professionals in zekere zin voor zichzelf behoeden. De valkuil voor veel juridische professionals is immers dat zij hun dagen eenvoudig kunnen vullen met incidenten en brandjes blussen. In de hectiek van alledag schiet het er eenvoudig bij in om stil te staan bij de vraag of deze incidenten inderdaad de meeste aandacht rechtvaardigen. President Eisenhower voedde zijn medewerkers op met een matrix waarin urgentie wordt afgezet tegen importantie.
Figuur 2.5 The Eisenhower Matrix
Bron: Develop good habits19
55
Deze matrix dwingt mensen zich regelmatig de vraag te stellen of ze zich niet te veel bezighouden met zaken die weliswaar urgent zijn, maar relatief onbelangrijk, terwijl zaken worden verwaarloosd die (nog) niet urgent zijn, maar wel belangrijk. Een systematische aanpak van juridisch risicomanagement kan een vergelijkbare functie vervullen. Daarbij zullen er altijd nog onverwacht zaken kunnen opduiken die urgent én belangrijk zijn. Risicomanagement is geen wondermiddel en kan logischerwijs nooit alle problemen voorzien, net zo min als het grote organisaties zal lukken om altijd aan alle relevante regelgeving te voldoen en 100% compliant te zijn. Systematisch juridisch risico-management dwingt juridische professionals echter wel regelmatig een stap achteruit te zetten en de organisatie van een afstand te beschouwen. Het gaat erom intelligente keuzes te maken en de altijd beperkt beschikbare tijd, aandacht en expertise daar in te zetten waar deze vanuit het perspectief van de organisatie als geheel het meest waardevol zijn.Voor goed risicomanagement is de cultuur binnen een organisatie essentieel. Geen systeem of standaard is bijvoorbeeld opgewassen tegen een gesloten angstcultuur. In het algemeen kan het toepassen van een standaard als een best practice worden gezien, mits afgestemd op de bijzonderheden van de betreffende organisatie en sector. Ook binnen de organisatie moet rekening worden gehouden met bijzonderheden van afdelingen en organisatieonderdelen. Voor het management van juridische risico’s geldt daarbij dat bijvoorbeeld rekening moet worden gehouden met het feit dat waarschijnlijkheden moeilijk te kwantificeren zijn. Dit neemt niet weg dat het nog steeds zinnig is om periodiek de gehele organisatie in ogenschouw te nemen en stil te staan bij de vraag wat vanuit juridisch perspectief relevante toekomstige problemen zouden kunnen zijn. In COSO-terminologie kan worden gesteld dat een dergelijke aanpak niet alleen nuttig is om mogelijke gebeurtenissen met nadelige gevolgen (risico’s) te identificeren, maar ook om beter zicht te krijgen op mogelijke kansen (opportunities). Het recht biedt organisaties immers ook mogelijkheden om de positie te verstevigen.
Een relevante ontwikkeling, die in het volgende hoofdstuk van deze uitgave nog uitgebreider aan bod komt, is, ten slotte, dat technologie organisaties de komende jaren interessante kansen biedt om juridische
56
risico’s beter onder controle te krijgen en juridische kansen beter te benutten. Als eenvoudig voorbeeld kan contractmanagement worden genoemd, dat in veel organisaties nog niet geoptimaliseerd is, waardoor onnodig kosten worden gemaakt, bijvoorbeeld doordat contracten stilzwijgend worden verlengd, kortingen niet worden doorberekend, of doordat contracten door gebruik van verouderde modellen ondeugdelijk zijn gesloten. Daarnaast sluimert op de horizon de opkomst van legal big data en kunstmatige intelligentie. Deze technieken kunnen behulpzaam zijn bij het verbeteren van de informatievoorziening en daarmee bij het professionaliseren en evalueren van de juridische functie. De kunst blijft echter de balans niet te laten doorslaan naar een formalistische benadering: juridisch risicomanagement is mensenwerk, waarbij systemen en standaarden altijd slechts een ondersteunende functie hebben.