ARC (vak)praat met… Jorg Voeten, Head of Risk & Compliance bij CM.com

Introductie en aanleiding

Jorg Voeten en Sander van Oosten kennen elkaar al geruime tijd. Dit gesprek kwam tot stand na enkele posts van Sander. Daarin schreef Sander over de toegenomen verantwoordelijkheden in ons werkveld en benoemde hij de vele risico’s en de nieuwe wetgeving die op ons afkomen. In dit gesprek gaat Jorg in op de consequenties van deze ontwikkelingen; voor het Risk & Compliance veld in brede zin én voor zijn verantwoordelijke rol als Head of Risk & Compliance bij CM.com.

Loopbaan en ervaring

Jorg heeft een rijke carrière in Risk & Compliance, met eerdere functies bij KPMG, KPN en Exact. Hij denkt dat zijn brede ervaring hem helpt om Risk & Compliance te verbinden met de bedrijfsstrategie: “Ik heb altijd raakvlakken gehad met of ben betrokken geweest bij de business. Ik ben niet een traditionele Risk & Compliance manager, puur acterend vanuit de second line van het three lines model, denk ik. Ik heb een bedrijfskundige achtergrond en ben bij veel operationele processen betrokken geweest.” Deze combinatie van kennis en praktijkervaring maakt dat hij Risk & Compliance niet als geïsoleerde domeinen ziet. Zijn functie vraagt om zowel overzicht als diepgang, omdat hij voortdurend moet schakelen tussen strategisch beleid en operationele details.

Cultuur en organisatie

CM.com is een fintech-organisatie met vier business units. Jorg rapporteert direct aan de CFO en onderhoudt daarnaast informele lijnen met de CEO en de Raad van Commissarissen (via de audit committee). CM.com heeft een mooie en bijzondere cultuur, die vrijheid en ondernemerschap stimuleert. “Het motto is: doe wat je leuk vindt, doe waar je goed in bent en draag bij”. Dat vraagt ook om duidelijke kaders, die de vrijheid in perspectief van bijvoorbeeld goed ondernemerschap en wetgeving plaatst. Daar zit af en toe een spanningsveld, want compliance en risicomanagement zijn niet de eerste onderwerpen waar iemand in sales bijvoorbeeld aan denkt. In zijn ogen kan risicomanagement, bijvoorbeeld via ISO-certificeringen, juist een driver voor sales zijn, als trust enabler van de CM.com diensten.

Jorg ziet verschillen in volwassenheid binnen de organisatie, meestal logisch verklaard doordat het een nieuwe of overgenomen business unit betreft. Dit vraagt soms een andere benadering van het Risk & Compliance team. Minder volwassen teams, of waar nieuwe onderwerpen relevant worden, worden vanuit het Risk & Compliance team meer ondersteund in de implementatie, daar waar het team zich meer richt op testen van de interne beheersing (internal controls) bij meer volwassen teams. Zijn eigen team bestaat uit Risk & Compliance specialisten met diverse achtergronden, en door de hoeveelheid thema’s die er op hen afkomen, is prioriteren essentieel.

Risk & Compliance: what’s in the name?

Als het over Compliance gaat, geeft Jorg aan dat hij Compliance als één van de invalshoeken van Risicomanagement beschouwt, net zo goed als security een invalshoek kan zijn, of de business objectives. “Uiteraard is Compliance meer dan alleen het voldoen aan regels.” Jorg onderstreept het belang van bedrijfswaarden en integriteit. En er komt steeds meer nadruk te liggen op het kunnen aantonen van de kwaliteit van de diensten of het aantoonbaar ‘in control’ zijn ten aanzien van het voldoen aan wetten.

Over accountability zegt Jorg: “De veronderstelling is soms, dat als je Riskmanager bent, dat jij de risico’s managet. In mijn ogen is dat een misvatting. Wij moeten het proces van risico managen faciliteren, de methodologie en het enterprise risk management systeem inrichten, onderhouden en verbeteren, maar de verantwoordelijkheid voor het managen van risico’s ligt bij de business zelf.”

Toenemende regeldruk en innovatie

De toenemende regeldruk, vooral vanuit Europa, vraagt volgens Jorg om slimme, pragmatische keuzes en het zoeken naar synergie tussen verschillende kaders. Jorg ziet dat de groeiende hoeveelheid regelgeving vraagt om meer capaciteit, terwijl die niet altijd beschikbaar is. “Niet alle investeringen in compliance en risk management leveren namelijk direct waarde op (zoals omzetgroei), maar ze kunnen wel essentieel zijn voor het behouden van je “license to operate”; het blijft zoeken naar de juiste balans.”

Innovatie ziet Jorg als een kans voor Risk & Compliance. “Innovatie en compliance kunnen elkaar versterken!” Jorg vertelt dat CM.com er bijvoorbeeld voor heeft gekozen om een AI managementsysteem volgens de ISO-standaard (ISO 42001) in te richten. Door als één van de eersten in Nederland zo’n systeem te implementeren, creëert zijn organisatie een “competitive edge” en een “first mover advantage”. “Dit betekent dat het voldoen aan (nieuwe) regels niet alleen wordt gezien als een verplichting, maar juist als een kans om het product betrouwbaarder, onderscheidender en aantrekkelijker te maken voor klanten”, aldus Jorg. “Een ander voordeel is, dat er door de implementatie van deze ISO-standaard al een flinke stap is gemaakt om aan de AI-Act te gaan voldoen.”

Oplossingen voor toenemende druk

Het omgaan met regeldruk, meer risico’s en groeiende verantwoordelijkheden vraagt om een combinatie van strategische keuzes, pragmatisme, innovatie en samenwerking. Jorg benadrukt dat er niet één gouden oplossing is, maar dat het een samenspel is van verschillende benaderingen die elkaar versterken.

Allereerst is het volgens Jorg essentieel om niet alleen reactief te zijn op nieuwe wet- en regelgeving, maar juist proactief te anticiperen op wat er op de organisatie afkomt. Dit betekent dat je als Risk & Compliance professional voortdurend de ontwikkelingen in het vakgebied volgt, deelneemt aan relevante netwerken en vakgroepen, en actief de dialoog zoekt met collega’s, management en externe partijen. “Ik denk dat het sowieso voor iedereen in het Risk & Compliance werkveld goed is om aan te sluiten bij of op de hoogte te blijven van ontwikkelingen, bijvoorbeeld via vakgroepen, congressen en nieuwsartikelen”, aldus Jorg. Het is ook leuk en leerzaam om persoonlijk actief bij te dragen aan ontwikkelingen in het werkveld. Zo zit Jorg in een werkgroep van de Online Trust Coalitie (een Publiek Private Samenwerking), om te komen tot “operationalisatie van Europese regelgeving: van individuele vereisten naar een herhaalbaar model”. Ook is Jorg, namens CM.com, via de Bedrijfsadviesraad als werkveldvertegenwoordiger nauw betrokken bij de ontwikkeling van de Bedrijfskunde opleiding van Avans hogeschool en neemt hij deel als gecommitteerde bij afstudeerzittingen voor Bedrijfskunde en Finance & Control opleidingen.

Een tweede belangrijke mogelijkheid is het zoeken naar synergie en standaardisatie. Jorg beschrijft hoe zijn organisatie werkt aan het in kaart brengen van overlappende eisen uit verschillende wetgevingen en normen, om zo te voorkomen dat dezelfde controlemaatregelen telkens opnieuw moeten worden ingericht. Door processen en beheersmaatregelen slim te koppelen aan meerdere kaders, wordt het werk efficiënter en overzichtelijker. “Ik geloof er echt in dat je zoveel mogelijk moet proberen om zaken eenmalig, direct goed te implementeren. Eenmaal toetsen zorgt vervolgens ervoor dat je verantwoording kunt afleggen over verschillende kaders en voor verschillende doeleinden.”

Innovatie speelt een steeds grotere rol in het omgaan met regeldruk. Jorg noemt de inzet van AI en automatisering als een manier om sneller en slimmer te werken. AI wordt gebruikt om grote hoeveelheden informatie te verwerken, wetgeving te analyseren en complianceprocessen te ondersteunen. Ook worden er agents gebouwd die medewerkers helpen om snel antwoorden te vinden op compliance-vragen, en worden monitoring- en controlprocessen steeds verder geautomatiseerd. Tegelijkertijd waarschuwt Jorg dat automatisering alleen werkt als de onderliggende processen voldoende gestandaardiseerd zijn en de data van voldoende kwaliteit is: “Ik geloof er ook in dat wij als tweedelijns team effectiever kunnen worden als de eerste lijn veel meer gaat simplificeren en standaardiseren. Als zij dezelfde werkwijzen gaan hanteren, kunnen wij ook makkelijker geautomatiseerd testwerk gaan doen.”

Een andere mogelijkheid die Jorg benoemt, is het bewust prioriteren en keuzes maken. Niet alles hoeft tegelijk en niet alles kan even diepgaand worden opgepakt. Het is belangrijk om samen met het management expliciet te bepalen welke onderwerpen prioriteit krijgen en welke (tijdelijk) minder aandacht krijgen. Dit vraagt om transparantie en het vastleggen van gemaakte keuzes, zodat achteraf duidelijk is waarom bepaalde risico’s of compliance-eisen wel of niet zijn opgepakt.

Verder benadrukt Jorg het belang van samenwerking, zowel intern als extern. Door kennis en ervaringen te delen met andere organisaties, vakgenoten en externe adviseurs, kun je sneller leren en profiteren van best practices. Ook binnen de eigen organisatie is samenwerking cruciaal: Risk & Compliance is geen solospel, maar vraagt om betrokkenheid van de business, IT, legal, Security en andere afdelingen.

Tot slot: blijf dromen en reflecteren

Als Jorg vooruitkijkt, benoemt hij: “Ik droom ervan dat Risk & Compliance binnen een paar jaar vanzelfsprekendheid zijn geworden in besluitvorming. Dat het niet als ‘moetje’ wordt ervaren en moeite kost, maar dat het de business echt helpt en als zodanig wordt gezien.”

Tot slot noemt Jorg het belang van reflectie en het durven bijstellen van de eigen aanpak. De context verandert namelijk voortdurend, en het is belangrijk om regelmatig stil te staan bij de effectiviteit van de gekozen strategieën. Soms betekent dit dat je moet accepteren dat niet alles perfect kan zijn, en dat het beter is om pragmatisch te handelen dan te streven naar volledige controle. “Eerlijk naar jezelf durven kijken. Als organisatie, maar zeker net zo belangrijk als persoon. Echt in de spiegel durven kijken en anderen aan jou die spiegel laten voorhouden. Dat is essentieel om keuzes te maken en stappen voorwaarts te zetten. Zonder reflectie is er geen groei”.