Meldplicht datalekken
Omdat ze niet alleen als compliance officer maar ook als extern accountant optreedt, zien de werkdagen van Van der Giezen er bepaald niet allemaal hetzelfde uit. “Aan de ene kant heb ik te maken met klanten die me over allerlei onderwerpen bellen en aan de andere kant is mijn functie meer intern gericht. Vandaag ben ik mijn dag bijvoorbeeld begonnen met het schrijven van een nota waarin ik opvolging geef aan de meldplicht datalekken die sinds 1 januari 2016 van kracht is. Die regelgeving houdt in dat wij bij een ernstige datalek direct melding moeten doen bij de Autoriteit Persoonsgegevens. Als organisatie moet je dan wel goed uitzoeken welke consequenties die meldplicht specifiek voor jou heeft. Ik heb dat uitgezocht en met IT en het bestuur heb ik er over doorgesproken. We moeten die wet goed in de smiezen hebben. Zoiets valt onder mijn compliancetaken.”
Behalve de consequenties van deze wet voor haar organisaties in kaart te brengen, ziet Van der Giezen zich ook voor de uitdaging geplaatst de risico’s ervan in te schatten. “Volgens de wet is er bij elke uitwisseling van e-mail sprake van een datalek. Maar de vraag is: is elke e-mail die wordt verzonden ook potentieel gevaarlijk? Niet per se, concluderen wij, maar je moet dan wel zorgen voor een goede firewall en een veilige server. Maar als ik zo’n wet heel erg letterlijk neem, worden mijn collega’s doodongelukkig. Daarom maak ik voor onze organisatie een specifieke risico-inschatting. We besluiten de wet niet letterlijk te interpreteren, maar naar de geest te lezen. Dat heeft ertoe geleid dat we bij klanten een portal hebben geïntroduceerd waartoe je uitsluitend via sms-verificatie toegang hebt. Dat is dan het resultaat van een risicoananalyse die leidt tot een vorm van risicobeheersing.”
Merken mensen in haar omgeving iets van haar focus op die risicobeheersing? Van der Giezen lacht. “Ik ben getrouwd met een accountant, dus we zijn samen een lekker paranoia stel. Maar als ik bij mijn zus ben, die een restaurant heeft, zal ze ongetwijfeld wat van mijn focus merken, ja. Ik zeg dan bijvoorbeeld dat ze haar nota’s op tijd de deur uit moet doen. Zoiets. Maar ik denk dat het meevalt, hoor.”
Appeltaart
Van der Giezen geniet enorm van haar vak, zegt ze. “Ik vind het leuk om de dingen goed voor elkaar te hebben en wet- en regelgeving op een werkbare manier naar de praktijk van onze organisatie te vertalen. Maar daarbij geldt wel dat ik er vooral voor moet zorgen dat de risico’s worden afgedekt. Natuurlijk probeer ik het zo leuk mogelijk te maken, maar dat is niet alles. Neem bijvoorbeeld de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Wij werken voor het mkb dus wat hebben we dan met deze wet te maken? Moeten we er echt aan voldoen? Ja, dat moeten we. Een doorn in ons oog. En daar gingen we: allemaal lijstjes bijhouden. Daar werd niemand echt gelukkig van. Op een gegeven moment hebben we een ranking gemaakt van partners, we maakten er een sport van. Degene die onderaan de ranking bungelde, moest een appeltaart kopen. Zo verenigden we het nuttige met het aangename. Op die manier probeer ik riskmanagement te verkopen voor voldoende gedragenheid.”
Want de risico’s blijven afdekken, dat ziet Van der Giezen absoluut als een belangrijke taak. “Het is voor mij balanceren tussen ‘voldoen aan wet- en regelgeving’ enerzijds en een blije klant anderzijds. Dat is elke dag opnieuw een uitdaging. Aan de ene kant moeten we niet denken: de klant is blij, we knijpen maar een oogje dicht. Aan de andere kant moet je niet zover doorslaan dat de regelgeving de organisatie gijzelt. De betaalbare acht is mijn streven. Niet de onbetaalbare tien, waarbij alles perfect is, maar waar niemand de portemonnee voor wil trekken, en ook niet de magere zes, waardoor klanten afhaken.”
Happening
Welke ontwikkeling heeft JAN© op het vlak van risicomanagement de afgelopen jaren eigenlijk doorgemaakt? “Sinds onze oprichting in 2005 hebben we nog nooit een saai jaar gehad”, zegt Van der Giezen met een ironische ondertoon. “Kort na onze oprichting werd de Wet toezicht accountantsorganisaties (Wta) van kracht. Ons hele kantoor moest direct aan die wet voldoen, dat was een hele happening. Vervolgens kregen we diverse nieuwe aansluitingen; ons kantoor groeide uit tot vijf vestigingen. Elke kantoor moest naar het niveau van die betaalbare acht. Nee, ik kan niet zeggen dat ik de afgelopen jaren niks te doen heb gehad.”
Hoe brengt Van der Giezen risicomanagement bij JAN© onder de aandacht? Als compliance officer heeft ze diverse gremia waarin ze mensen mee kan nemen, zegt ze. “Allereerst moet de vestigingsleider op de hoogte zijn. Daarnaast organiseer ik bijeenkomsten met assistenten en mensen die ons werk reviewen en intern verzorg ik ook cursussen.”
Veranderend beroepenveld
Het is JAN© geraden dat risicomanagement onder de aandacht blijft, benadrukt Van der Giezen. “Van accountants wordt wel gezegd dat ze over vijftien jaar, vanwege de elektronsiche en technologische vooruitgang, in hun huidige vorm niet meer bestaan. Er moet steeds meer focus komen te liggen bij advisering, en steeds minder bij het verzorgen van de jaarrekening. Je zag dat proces zich afgelopen jaren al voor een deel voltrekken. We moeten dus voortdurend van ontwikkelingen op de hoogte zijn en weten welke gevolgen die voor onze beroepsgroep en specifiek voor onze organisatie met zich meebrengen. Als je me vraagt naar een black swan, dan zou ik dus zeggen: we bestaan over vijftien jaar niet meer zoals we nu bestaan. Het is misschien geen zuivere black swan, maar in ieder geval een ontwikkeling die je niet precies kunt voorspellen, terwijl het grote gevolgen voor onze business heeft.”
Van der Giezen, die inmiddels een aantal jaar in het circuit van risk management meedraait, heeft natuurlijk nog een belangrijke tip voor startende risicomanagers in petto. “Gebruik je gezonde verstand, dat is het allerbelangrijkste. Veel mensen verzanden al te gemakkelijk in regels en wetgeving en vergeten gaandeweg wat hun oorspronkelijke opdracht was. Behoud daarom de helicopterview en – nogmaals – gebruik je gezonde verstand.”
In het verbeteren van de beroepsgroep kan ook Riskworld een rol spelen, denkt Van der Giezen. “We krijgen zo’n enorme dosis wet- en regelgeving over de schutting! Europa doet wat, Den Haag doet wat en instanties doen wat. Wij moeten er allemaal maar weer wat van zien te vinden. Het is fijn om wat algemene aanwijzingen te krijgen die je helpen te bepalen wat er ongeveer speelt en hoe belangrijk nieuwe wet- en regelgeving voor jouw organisatie is. Welke risico’s horen bij welke wetten en regels? Op dat vlak zou Riskworld bedrijven in de breedte kunnen helpen.”
Bron: © Riskworld / Jasper van den Bovenkamp