Governance, Risk en Compliance bij Pels Rijcken
Meteen na de fraudezaak in 2020 is Pels Rijcken gestart met een geheel nieuwe organisatiestructuur op het gebied van governance, risk en compliance (GRC), met de ambitie om ook op dit front ‘best in class’ in de advocatuur te worden. In de vorige jaargids is daar al het nodig over verteld. Zo hebben we ervoor gekozen om te werken met het Three Lines model. Het model biedt structuur op het gebied van taken en verantwoordelijkheden en ondersteunt de inrichting van de belangrijke risicomanagementprocessen.
Uitgangspunt van het model is dat de eerste lijn, het bestuur, de advocaten en de bedrijfsvoering, verantwoordelijk zijn voor het realiseren van de organisatiedoelstellingen, het voldoen aan wet- en regelgeving en het toepassen van een adequaat risicomanagement. De tweede lijn, de afdeling Risk en Compliance, heeft een monitorende en adviserende rol en ziet erop toe dat de risico’s adequaat beheerst worden door de eerste lijn. De derde lijn (internal audit) verricht risico gebaseerde audits en onderzoeken om de effectiviteit van het risicobeheersingssysteem te beoordelen.
Daarnaast heeft Pels Rijcken een Raad van Commissarissen ingericht, die toezicht houdt en advies geeft. Zowel de internal audit functie (derde lijn) als de RvC hebben wij extern ingevuld. Daarmee halen wij een kritische, onafhankelijke blik en expertise van buiten naar binnen. De taken en verantwoordelijkheden binnen het Three Lines model en de RvC zijn duidelijk vastgelegd in reglementen, waarvan ons overall GRC-reglement het sluitstuk vormt. Verder maken we gebruik van methodes en ‘best practices’ van buiten de advocatuur. Als bestuurder met de portefeuille Governance, Risk & Compliance kan ik onder meer putten uit eerdere ervaringen bij ECB en DNB, als toezichthouder op een breed scala aan Europese banken. Een dergelijk systeem inrichten kost tijd en geld, maar helpt om tijdig risico’s te identificeren en mitigeren.
Het startpunt voor ons risicomanagement is een organisatiebrede risicoanalyse. In deze analyse breng je alle facetten van de organisatie in beeld. Zoals: wat zijn de kernactiviteiten en rechtsgebieden waarin jij als kantoor actief bent? Welke sectoren bedien je, gaat het om de publieke of private sector? Hoe vaak krijg je zaken doorverwezen en van wat voor partijen? Uit welke landen komen je cliënten? Maar ook: Hoe zien je financiële en IT omgeving eruit? Op basis daarvan identificeer je vervolgens de relevante risico’s, bepaal je in welke mate je risico wilt lopen en maak je bewuste keuzes welke (aanvullende) maatregelen je wilt treffen. Een dergelijke analyse is bij Pels Rijcken het startpunt van een continue cyclus van risicoanalyse, beheersing, monitoring, rapporteren en bijsturen (de zogenaamde PDCA cyclus).
De effectiviteit van je risicomanagement wordt verder voor een groot deel bepaald door gedrag. Daarom hebben wij naast de “hard controls” ook ingezet op het versterken van de “soft controls”. Daarmee worden alle acties bedoeld die gericht zijn om gewenst en integer gedrag en het risicobewustzijn bij medewerkers en management te bevorderen. Dit heeft ons veel gebracht: Bij Pels Rijcken hebben de medewerkers onder andere samen een gedragscode opgesteld die is omarmd door de partners en het bestuur, en levend wordt gehouden door dialoogsessies, vaardigheidstrainingen, serious gaming en intervisie. Ook werken we actief aan het onderhouden van een cultuur waarin iedereen zich vrij en veilig voelt en ruimte is voor tegenspraak en een goede risicodialoog. Dit noemen we de Open Kantoor Cultuur. Hiervoor is iedereen verantwoordelijk en mensen spreken elkaar aan wanneer dat nodig of gewenst is. We gaan regelmatig in gesprek over dilemma’s en zetten ons actief in om verschillende perspectieven op tafel te krijgen. Ook op bestuursniveau stimuleren we tegenspraak en discussie. In ons bestuur en in de raad van commissarissen zijn ook diverse expertises en achtergronden vertegenwoordigd. Dit draagt bij aan een brede blik op en goed begrip van risico’s. Daarnaast zijn er extra waarborgen om signalen tijdig op te vangen, zoals een team van vertrouwenspersonen en een jaarlijks onderzoek naar de tevredenheid van medewerkers.
Een combinatie van bovenstaande maatregelen (in de literatuur ook wel “hard” en “soft” controls genoemd) kan helpen om je organisatie risicobewuster en robuuster te maken. Bij Pels Rijcken zijn we overtuigd van de voordelen hiervan. Daarover gaan we dan ook graag in gesprek tijdens de Ronde Tafel Risicomanagement.