De paradox van compliance
Voldoen aan compliance zorgt voor zoveel verplichte werkzaamheden dat er voor innovatie maar weinig ruimte overblijft. Wet- en regelgeving, security en lifecycle-management slokken een groot deel van de change-capaciteit op. Martin van Langen en Rini van Solingen weten wat organisaties daar aan kunnen doen.
Kijken naar het werk dat de portfolio’s vult van veel organisaties, financiële instellingen zoals banken, verzekeraars en pensioenverstrekkers geeft een sterk ontnuchterend beeld: verplichte activiteiten nemen het grootste deel in van de beschikbare capaciteit. In sommige domeinen wordt zelfs gemeld dat tot 90% van de change-capaciteit opgaat aan eisen van toezichthouders, security-maatregelen en lifecycle management. Het gevolg is dat veel teams minder dan 15% van hun capaciteit kunnen besteden aan échte innovatie- en businesskansen.
Deze disbalans is niet alleen frustrerend voor business units die vooruit willen, maar vormt ook een groot strategisch risico. Want stel eens dat deze vertraging de overlevingskans op termijn in gevaar brengt? Stel dat een (buitenlandse) concurrent in staat is om tot wel 80% van zijn capaciteit aan businessvernieuwing te besteden? Of stel dat een andere partij door bijvoorbeeld de inzet van GenAI veel meer ruimte voor businessinnovatie weet te vinden? Dan ontstaat er snel een niet in te lopen achterstand die een groot strategisch risico vormt.
Een overvloed aan ‘moetjes’ schaadt daarnaast het personeelsbehoud. Talentvolle medewerkers haken af door gebrek aan ruimte voor vernieuwing en creativiteit. Zolang er perspectief is of afwisseling met leuk werk, is compliance-werk prima. Maar langdurig verplicht werk zonder duidelijke businesswaarde stimuleert verloop en vormt een strategisch risico. De kern van de complianceparadox is dat organisaties gevangen zitten in een cyclus waarbij compliance steeds meer capaciteit vereist, wat ten koste gaat van innovatie, waardoor de concurrentiepositie verzwakt en dit de noodzaak tot snellere innovatie alleen maar doet toenemen. Hoe doorbreek je die spiraal?
Procesmatige inefficiënties
In de praktijk verergert gebrek aan centrale coördinatie het compliance-probleem. Teams doen dubbel werk aan taken die ook gezamenlijk opgepakt zouden kunnen worden. Omdat portfoliomanagement dit niet prioriteert, blijft een gecoördineerde aanpak uit. Sommige organisaties hebben wel structuur aangebracht. Vooral de (op SAFe – Scaled Agile Framework) gebaseerde PI-Events (of QBR’s), waarbij compliance-vraagstukken onderdeel worden van het planningsproces door alle teams. Dergelijke gestructureerde aanpakken helpen om inefficiënties te verhelpen, maar blijken vaak niet toereikend om de fundamentele disbalans op te heffen.
Gerelateerde artikelen
Gerelateerde artikelen
De druk komt daardoor vaak terecht bij senior management, zoals CIO's, die moeten balanceren tussen compliance-eisen en business-behoeften. De consequentie is vaak een pijnlijke spagaat voor deze CIO die het nooit goed kan doen: of de CIO is niet compliant en loopt zelfs risico op gevangenisstraf of de CIO is wel compliant maar maakt zichzelf tot directieparia omdat er geen tijd is voor innovatie en business-kansen.
Lifecycle Management
Een extra observatie is dat ook Lifecycle Management (LCM) vaak – op een vergelijkbare manier - als niet-waardevol wordt ervaren. In plaats van een strategische investering wordt LCM gezien als noodzakelijk kwaad. Deze perceptie maakt het moeilijk om er de juiste aandacht en middelen voor vrij te maken. Decommissioning van arbeidsintensieve legacy is een belangrijke strategie om ruimte te creëren voor innovatie. Een dergelijke tactiek kan wellicht ook voor compliance werken.
Opvallend is dat de mate waarin compliance als verlammend wordt ervaren, sterk verschilt tussen organisaties en domeinen. Maar de range van 30%-90% van alle capaciteit besteden aan compliancy-taken wordt breed herkend. Deze range suggereert dat het niet alleen gaat om de hoeveelheid compliance-verplichtingen, maar ook om hoe organisaties deze benaderen en integreren in hun werkprocessen. De manier waarop compliance-werk wordt geframed heeft directe invloed op de motivatie. Deze taken bestempelen als ‘moetjes’ helpt niet om positieve energie op te wekken. License to operate geeft beter weer hoe belangrijk het is. Maar uiteraard wel in een verantwoorde balans met échte businesskansen.
Op teamniveau wordt het verschil tussen business- en compliance-veranderingen vaak nauwelijks gevoeld. Werk is simpelweg: werk. Als de product owner goed prioriteert en samenwerkt met het team, valt het onderscheid weg. Dit opent de deur naar een geïntegreerde aanpak waarin compliance één van meerdere waardedimensies invult.
Het risico van 'overcompliance'
Daarnaast is er (in het bijzonder in omgevingen onder AFM-, DNB-- en ECB-toezicht) een neiging om continue compliance voor 110% te willen doen. Dit komt deels door angst voor boetes, sancties of negatieve pers. Maar dit wordt ook vaak versterkt door interne interpretaties. Een deel van de interne afdelingen werkt de doelen vanuit toezichthouders uit zonder te kijken naar goedkopere alternatieven die ook zouden kunnen werken. De vertaalslag van toezichthouders gebeurt in veel gevallen door interne risk en compliance afdelingen, die geen enkel risico willen lopen. Doordat zij zich enerzijds verantwoordelijk voelen maar anderzijds geen business trade-off hoeven te maken, is er een grote verleiding om strenger te zijn dan noodzakelijk. Té compliant bestaat voor hen namelijk niet.
Een gewaagdere suggestie is om soms bewust een overtreding te riskeren en goed te kijken naar de concullega’s. Hoe compliant moet je willen zijn? Het is ook uit business-overwegingen mogelijk om een eerste boete of waarschuwing af te wachten, om daarna pas in actie te komen. Dit vraagt om een fundamentele heroverweging van compliance en een integrale, holistische prioritering waarbij compliance niet automatisch voorgaat. Uiteindelijk is het simpelweg een afweging: wat doen we wel, wat doen we niet, en in welke volgorde doen we het?
Met die bril op is het probleem dus niet wet- en regelgeving, maar het prioriteren van alle verschillende mogelijkheden ten opzichte van elkaar. Dat is een aloude uitdaging die ook altijd zal blijven. Te veel ideeën en te weinig tijd. De oplossing lijkt te liggen in een combinatie van:
1. Strategische decommissioning om ruimte te creëren.
2. Directe dialoog met toezichthouders voor pragmatische implementatie.
3. Integratie van compliance-werk en business-innovatie waar mogelijk.
4. Een transparant prioriteringsproces dat alle relevante factoren meeneemt.
5. Gerichte capaciteitsallocatie voor innovatie.
Voor organisaties die worstelen met de balans tussen compliance en innovatie, zijn er concrete maatregelen die direct kunnen worden toegepast (zie ook kader I). Cruciale elementen zijn daarin een transparante prioriteringsmethodiek en het combineren van compliance-taken met business-innovatie.
KADER: 7 STRATEGIEËN VOOR COMPLIANCE-INNOVATIE BALANS
1. Ga direct in gesprek met toezichthouders.
Vermijd interne vertaalslagen die eisen vaak strenger maken dan noodzakelijk. Zoek de directe dialoog met toezichthouders om te begrijpen wat de intentie is achter specifieke regelgeving. Een risk-based approach is ook een optie; werk eerst uitstellen tot dingen duidelijk worden vanuit toezichthouders.
2. Combineer vernieuwing met compliance.
Zoek naar mogelijkheden om compliance-werk en business-innovatie samen te brengen. Wanneer systemen toch moeten worden aangepast voor compliance-doeleinden, kijk dan of er direct ook waardevolle verbeteringen kunnen worden meegenomen.
3. Ontwikkel een integrale prioriteringsmethodiek.
Hanteer een transparant, holistisch prioriteringsproces waarin compliance niet automatisch voorrang krijgt. Vertaal risico’s naar (financiële) waarde, zodat duidelijk wordt waar de meeste impact per euro of per uur ligt – dit geldt ook voor boetes, reputatieschade en/of stilstand.
4. Integreer compliance in refinement.
Betrek teams actief bij het bepalen hóe compliance-eisen worden geïmplementeerd. Pas de 80:20 regel toe en focus op de belangrijkste aspecten. Geef teams de ruimte om zelf te bepalen hoe ze compliance implementeren. Leg de implementatiebeslissingen laag in de organisatie, zodat teams als het opportuun en mogelijk is, het zelf direct kunnen oppakken.
5. Maak capaciteit vrij voor innovatie.
Reserveer expliciet capaciteit voor innovatie, los van compliance-werk. Dit is vooral zinvol bij een overvolle backlog of roadmap. Maak afspraken, zoals maximaal 50% voor compliance. Een mogelijke aanpak is ook het splitsen in Run-teams (verantwoordelijk voor compliance) en Change-teams (verantwoordelijk voor innovatie).
6. Investeer in platformdenken.
Ontwikkel herbruikbare componenten die compliance-implementatie vereenvoudigen (of koop deze reeds compliant in). Dit verlaagt de inspanning per compliance-eis. Technische building-blocks die compliant ter beschikking worden gesteld helpen enorm.
7. Implementeer een pull-systeem.
Vermijd overvolle portfolio’s waarmee werk naar teams wordt ‘gepushed’. Een strikt pull-systeem is veel effectiever: start pas nieuw werk als er capaciteit is. Richt je op doorstroming (flow) en output in plaats van maximale bezetting. Alle teams overvol beladen met werk leidt juist tot extra veel vertraging én frustratie.
Dit artikel is mede gebaseerd op vijf interviews (bij klein- en grootbanken) in Nederland. De geïnterviewden spraken op persoonlijke titel en een aantal van hen mag niet bij naam bedankt worden. De auteurs willen daarom hun dank uitspreken aan alle geïnterviewden voor hun inzichten en ervaringen rond dit gevoelige onderwerp.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee