In hoeverre is incidentrespons binnen uw organisatie ingericht als leer en stuurinstrument? Vaak wordt dit primair als middel tot vaststelling van schuld en aansprakelijkheid gebruikt. En dat is zonde.
Integriteitsbeheersing loont. Allereerst doordat het negatieve gevolgen beperkt. Een illustratief voorbeeld is te vinden in de Evaluation of Corporate Compliance Programs van het U.S. Department of Justice Criminal Division. Uit dit document blijkt dat de zwaarte van sancties en aanvullende maatregelen bij mogelijke strafbare feiten afneemt wanneer een organisatie beschikt over een aantoonbaar volwassen compliance-organisatie. In Nederland streven we dit na in de vorm van ‘horizontaal toezicht’, waarbij toezichthouders de eigen inspanningen van organisaties om aan wet -en regelgeving te voldoen belonen.
Integriteitsbeheersing loont ook door de positieve effecten die zij binnen de organisatie teweegbrengt. Aandacht voor voorbeeldgedrag leidt tot gewenst volggedrag. Het stimuleren van werkplezier, zet aan tot bedrijfstrots en loyaliteit, wat ongewenst verzuim en verloop doet afnemen. Hoewel het moeilijk is de causale verbanden aan te tonen, zal de samenhang tussen cultuur, gedrag en organisatieresultaten voor leidinggevenden in veel gevallen herkenbaar zijn.
Wanneer zich een incident voordoet en onderzoek volgt, wordt integriteitsbeheersing vaak als minder waardevol ervaren. Organisaties die worden getroffen door een incident, willen weten wat er is gebeurd, hoe het is gebeurd, wie daarbij betrokken was en hoe herhaling kan worden voorkomen. Een logische reflex, die in de praktijk helaas niet altijd de meest waardevolle is. Incidentrespons kan meer opleveren dan feitelijke reconstructie en individuele toerekening. Niet de rotte appel staat centraal, maar de schaal: de bredere context, structuren en prikkels die het incident mogelijk maakten.
Incidentrespons wordt in de praktijk vaak gedreven door emoties als teleurstelling en boosheid, gericht op de vermeende dader of een verantwoordelijke. Door het incident te beschouwen als symptoom en de betrokkene als bron van nuttige informatie, kan aan incidentopvolging echter veel meer waarde worden ontleend. ‘Never waste a good crisis’, zou Winston Churchill gezegd hebben. In tijden van crisis ontstaat namelijk vaak de noodzaak én bereidheid tot verandering.
Moderne incidentrespons besteedt daarom vooral aandacht aan het identificeren van onderliggende oorzaken, met als doel organisatieverbetering en noodzakelijke organisatieverandering mogelijk maken. Het succes hiervan neemt toe wanneer organisaties vooraf investeren in een doordacht en actueel incidentresponsplan. Zeker bij complexe en moeilijk voorspelbare risico’s, zoals cyberincidenten, fraude en corruptie, is volledige preventie een illusie. Juist daarom wordt de kwaliteit van incidentrespons een cruciale factor in governance, weerbaarheid en langetermijnwaardecreatie. Voor General Counsels ligt hier een strategische vraag: in hoeverre is incidentrespons binnen uw organisatie ingericht als leer‑ en stuurinstrument, in plaats van primair als middel tot vaststelling van schuld en aansprakelijkheid? Een periodieke reflectie op de doelstelling, inrichting en governance van integriteits‑ en incidentresponsprocessen helpt om niet alleen risico’s te beheersen, maar ook structurele verbetering en weerbaarheid te realiseren.
