Veel start en scale ups kiezen, bewust of onbewust, voor light governance. In de beginfase is dat logisch. Snelheid, ondernemerschap en wendbaarheid staan centraal. Besluitvorming is informeel, verantwoordelijkheden zijn impliciet verdeeld en risicoafwegingen gebeuren vaak op basis van ervaring, intuïtie en korte lijnen.
Dat is niet per definitie een probleem. Sterker nog: in een kleine organisatie kan die manier van werken juist effectief zijn. Er is vaak meer beheersing dan je van buitenaf zou vermoeden. Alleen is die beheersing niet altijd zichtbaar of aantoonbaar. En precies daar ontstaat later frictie: intern “loopt het wel”, maar extern wordt bewijs gevraagd.
De kernvraag is dus niet óf light governance ooit tekortschiet, maar wanneer.
Light governance en impliciet risk management
In jonge en relatief kleine organisaties is risk management meestal aanwezig, maar impliciet. De belangrijkste risico’s worden herkend, besproken en gemitigeerd, alleen niet structureel vastgelegd. Nieuwe klantafspraken worden bijvoorbeeld “gewoon goed geregeld”, security wordt “met gezond verstand” ingericht en contractrisico’s worden “gecheckt als het aan de orde is”.
Ook compliance krijgt soms pas aandacht wanneer het nodig lijkt. De aandacht is in eerste instantie meestal wat meer gericht op legal aspecten. Vandaar dat we het toch belangrijk vinden om het onderscheid aan te geven tussen legal en compliance:
- Legal richt zich primair op juridische correctheid: contracten, aansprakelijkheid, voorwaarden, claims, governance documenten, privacyteksten.
- Compliance gaat over aantoonbare naleving van regels, normen en afspraken, inclusief het organiseren van gedrag, processen, controles en rapportage. Denk aan klantvereisten, certificeringen, sectorspecifieke regels, interne policies en het vermogen om vragen van auditors, toezichthouders of klanten overtuigend te beantwoorden.
Met andere woorden: legal kan een risico juridisch “afdekken”, maar compliance maakt het naleefbaar en aantoonbaar in de praktijk.
Zolang de organisatie klein is en de externe druk beperkt blijft, kan een impliciete aanpak prima werken. Maar bij groei verandert het speelveld. Niet alleen de complexiteit neemt toe, ook de aard en impact van risico’s verschuift. Operationele risico’s, IT en datarisico’s, compliance risico’s en reputatierisico’s worden structureler, onderling verweven en minder afhankelijk van één beslismoment.
Signalen dat risico’s en compliance niet meer vanzelf meegroeien
Er zijn duidelijke momenten waarop een organisatie merkt dat risico’s niet langer voldoende worden beheerst via korte lijnen en ervaren mensen alleen. Meestal voelt dat overigens dat als een “compliance probleem”, maar als gedoe, onrust, vertraging, onverwachte vragen of incidenten die pas relatief laat zichtbaar worden.
1) Toegenomen regelgeving en contractuele verplichtingen
Scale ups krijgen te maken met sectorspecifieke wet en regelgeving, internationale klanten, strengere inkoopvoorwaarden en auditvragen. Denk aan security eisen, privacy, exportrestricties, AI gerelateerde verplichtingen, ketenverantwoordelijkheid of branchekaders. Zonder expliciet compliance fundament ontstaat het risico op non compliance, boetes, claims, of het mislopen van commerciële kansen omdat je niet kunt aantonen dat je “in control” bent.
2) Onvoldoende inzicht in kritieke risico’s en beheersmaatregelen
Zodra het management niet meer dagelijks overal bovenop zit, wordt overzicht cruciaal. Als er geen actueel beeld is van de belangrijkste risico’s, wie eigenaar is en welke maatregelen echt werken, wordt sturen lastiger. Dan worden issues pas zichtbaar na een incident, escalatie of klantvraag, terwijl je juist preventief wilt kunnen handelen.
3) Afhankelijkheid van sleutelpersonen
In light governance zit veel kennis in hoofden. Dat is efficiënt, totdat het kwetsbaar wordt. Groei, verloop, ziekte of simpelweg drukte kan ervoor zorgen dat cruciale afwegingen niet meer consistent plaatsvinden. Wat eerst een kracht was, wordt dan een single point of failure.
4) Toenemende vragen van stakeholders
Investeerders, klanten, toezichthouders en partners willen weten hoe je risico’s beheerst en compliance borgt. “We doen het altijd zo” is dan niet meer genoeg. Aantoonbaarheid wordt essentieel: niet omdat je opeens alles anders doet, maar omdat je het moet kunnen uitleggen, onderbouwen en herhalen.
5) Groei leidt tot management op afstand
Zodra er meer teams komen, meer locaties, meer lagen of meer externe partners, ontstaat variatie in werkwijzen. Dat is normaal. Alleen zonder expliciete kaders krijg je onbedoeld ook variatie in risicobeheersing. En dan ontstaat het bekende patroon: dezelfde discussie, hetzelfde probleem, dezelfde “oplossing”, maar elke keer opnieuw.
Van light governance naar proportionele beheersing
De oplossing is zelden het invoeren van zware governance structuren of een dik compliance handboek. Veel scale ups zijn terecht allergisch voor bureaucratie. Wat wél werkt, is proportionele beheersing: expliciteren wat nodig is, passend bij de fase van de organisatie en het risicoprofiel.
Proportioneel betekent in de praktijk onder andere:
- Focus op de kern: een beperkt aantal kritieke risico’s die echt je strategie, continuïteit of reputatie kunnen raken.
- Heldere verantwoordelijkheden: wie is eigenaar van welk risico, wie beslist, wie controleert.
- Licht, maar effectief bewijs: niet alles vastleggen, wel de onderdelen die stakeholders terecht willen zien.
- Herhaalbaarheid: zodat je niet afhankelijk bent van één persoon of één moment.
- Meegroeibaarheid: wat je nu inricht, moet schaalbaar zijn zonder dat je later alles opnieuw moet uitvinden.
Een ander belangrijk punt: het is de kunst om te ontdubbelen waar mogelijk. Eén maatregel / control inrichten die aan meerdere eisen voldoet of meerdere risico’s afdekt. Want bij iedere nieuwe wet of verwachting die er op organisaties afkomt, is er een grote overlap met een reeds bestaande verplichting of wens. In een volgende blog zal ik verder ingaan op het belang daarvan en uitleggen hoe je die efficiënte, ontdubbelde beheersing kunt inrichten.
Weet je je beheersing proportioneel in te richten, dan zijn governance, risk en compliance daarmee geen rem meer, maar een versneller. Ze ondersteunen betere besluitvorming, maken risico’s expliciet en bespreekbaar, helpen prioriteren en voorkomen dat groei ten koste gaat van vertrouwen.
Hoe ARC People ondersteunt
ARC People helpt organisaties om de stap te maken van impliciete naar expliciete risico en compliance beheersing, zonder onnodige bureaucratie. We brengen samen de kernrisico’s scherp in beeld, helpen bij het inrichten van proportionele governance en zorgen dat compliance onderdeel wordt van dagelijkse besluitvorming. Praktisch, passend bij de fase waarin je zit en gericht op aantoonbaarheid waar dat nodig is. Zo blijft groei niet alleen snel, maar ook beheerst, uitlegbaar en duurzaam.
Wil je weten waar je staat en wat er nodig is? Neem contact met ons op voor een vrijblijvend gesprek.
