Het begrip “risk management” is een populair containerbegrip. Maar wat doe je er nu mee?

In het algemeen kan het onderwerp niet op veel enthousiasme rekenen van advocaten en notarissen. Veel liever is men bezig met het vak en cliënten. Alles wat hiervan afleidt, kan ze gestolen worden. Of is er toch iets aan het veranderen?

De opmars van de General Counsel en de Compliance Officer

Toen ik in 2015 bij Loyens & Loeff in dienst trad als General Counsel/Risk Officer was ik, zo werd mij verteld, de enige in continentaal Europa die deze rol bij een law firm had. Als ik peers wilde spreken, moest ik mijn licht opsteken in bijvoorbeeld in het Verenigd Koninkrijk. Daar zijn kantoren (en hun toezichthouders) al jaren bezig met professionalisering op dit gebied. Nog sterker geldt dit voor kantoren in de US.

In de afgelopen 10 jaar is er overigens veel veranderd. Waren het in het begin de grote (internationale) kantoren die risk management prominent op de agenda zetten, inmiddels zijn ook de middelgrote en kleinere kantoren zich bewust van het nut hiervan. De intrede van de General Counsel bij de grote(re) kantoren is inmiddels gemeengoed geworden. Ook bij de minder grote kantoren zijn steeds meer mensen actief onder de titel “compliance officer”. Diens taak is doorgaans een stuk breder dan enkel compliance. 

Inmiddels realiseert men zich wel dat het een must is om voor de professionele cliënt commercieel aantrekkelijk en relevant te blijven (of te worden).

Advocaat/notaris is onderdeel van de “toeleveringsketen” van de cliënt

Grotere of internationale of beursgenoteerde bedrijven gaan steeds meer letten op de risico’s van hun toeleveringsketen. Enerzijds omdat ze daartoe gedwongen worden door nieuwe regelgeving (bijvoorbeeld op het gebied van ESG), anderzijds omdat ze de risico’s onderkennen van reputatieschade die kan ontstaan door toedoen van een partner of leverancier. Ook de advocaat/notaris is onderdeel van deze toeleveringsketen.

Dit resulteert onder andere in uitgebreide vragenlijsten die advocaten/notarissen moeten invullen om voor hun cliënten te mogen blijven werken. Vragen over onderwerpen die variëren van de status van je cybersecurity, tot je diversiteitsbeleid, van je anti-witwasmaatregelen tot ethische onderwerpen.  

Een nieuwe loot aan de stam is ESG. De ESG principles worden, al dan niet vrijwillig, door steeds meer bedrijven gehanteerd.

Daarnaast zal de nieuwe NIS2-richtlijn invloed hebben. Deze is onder andere bedoeld om de cybersecurity van toeleveringsketens te verbeteren en leveranciersrelaties te beheersen. Deze nieuwe richtlijn zal onherroepelijk leiden tot strengere eisen die aan advocaten en notarissen worden gesteld door NIS2-plichtige bedrijven en instellingen.

Advocaat/notaris als werkgever

Met de war on talent die voorlopig nog lijkt aan te houden, is het steeds belangrijker om te bepalen hoe je je positioneert als werkgever. De nieuwe generatie advocaten en notarissen kijkt hier veel meer naar dan vroeger. Daarnaast speelt de S van ESG ook een steeds grotere rol. Anders gezegd: op welke manier ondersteun je je mensen bij hun life events (geboorte, ziekte, problematische financiën, en arbeidsongeschiktheid en overlijden) en hoe houd je jonge mensen aan boord (flexibiliteit, sabbaticals, financiële fitheid).

Belangrijkste oorzaken van risico’s

Een poosje geleden organiseerden wij digitale ronde tafels over risk management. Het onderwerp witwassen voerde hierbij de boventoon. Hoewel interessant, is dit maar een klein aspect van risk management.

Over welke risico’s hebben we het dan? Grofweg kun je de volgende “bronnen van risico’s” onderscheiden:

·        risico’s die voortvloeien uit je clientèle (bijvoorbeeld: witwassen, bribery, engagement letters, claims en klachten);

·        risico’s die voortvloeien uit jouw concrete activiteiten (bijvoorbeeld: integriteitsrisico’s, cyber risico’s, risico’s die voortvloeien uit financiële processen, beroepsfouten);

·        risico’s die voortvloeien uit jouw plek in de maatschappij (bijvoorbeeld: ethische risico’s);

·        risico’s die voortvloeien uit hiring & firing van mensen (bijvoorbeeld: goed werkgeverschap, maar helaas ook: stelen van cliënten, stelen van knowhow, privacy-inbreuken, IP-inbreuken).

Stel je prioriteiten en kom in actie

Professional service providers zijn van nature beter in het adviseren van anderen dan in het nemen van beslissingen voor de eigen organisatie. Niet alles heeft voorrang en je kunt niet alles verbeteren.

Hoe bepaal je dan je prioriteiten zodanig dat deze jouw strategie ondersteunen?

Houd je strategie eens tegen het licht, en bedenk wat voor soort cliënten je wil bedienen, welke vakgebieden je wil uitoefenen en wat voor soort werkgever je wil zijn. En prioriteer vervolgens de risk management onderwerpen die jouw strategie ondersteunen en praat hierover met je cliënt.

Daarnaast zul je je crisismanagement moeten organiseren en de lessons learned van eerdere crises moeten borgen. Wees niet te optimistisch over de eigen organisatie maar onderzoek eens wat er écht gebeurt binnen jouw kantoor. En kijk naar hoe andere bedrijven dit organiseren. Dat geeft doorgaans méér relevante inzichten dan te kijken naar je peers die met dezelfde bedrijfsblindheid te maken hebben als jij.

Dus, stel je prioriteiten, maak geen ellenlange beleidsnotities maar steek de handen uit de mouwen.

Mariëlle van de Weijenberg

Managing Director Aon Professional Services