X
10mei

Beter risicomanagement gebaat bij minder regels - auteur Jan Bletz

Communicatie GvRM | Bekeken (250) | TERUG|

De belangrijkste bevinding van risicomanagement-expert Wimjan Bos in zijn nieuwste boek Als het er echt om gaat: dat risicomanagers en bestuurders op verschillende manieren kijken naar de wijze waarop je risico's het beste kunt beheersen. Hij pleit voor een combinatie van die twee. Liever dat dan nog meer regels. "Banken beboeten om witwassen tegen te gaan? Dat is zoiets als te hard rijden op de snelweg bestraffen om de verkeersveiligheid te bevorderen. Het is makkelijk, maar niet effectief."

Onlangs werd ABN AMRO veroordeeld tot een boete van 480 miljoen euro omdat de bank de controle op mogelijke criminele geldstromen en terrorismefinanciering niet op orde had. De bank had z'n risicomanagement niet op orde, met andere woorden. Dat is op het eerste gezicht onbegrijpelijk. Tenslotte houden zich meer dan 3.000 mensen binnen ABN AMRO bezig met het tegengaan van witwassen. Tenslotte was de bank gewaarschuwd - tenslotte heeft ING bank enkele jaren geleden ook al eens een megaboete gekregen omdat het onvoldoende toezicht op witwaspraktijken hield. En tenslotte worden de regels om witwassen, fraude en ander wangedrag tegen te gaan steeds verder aangescherpt.

Het is een mooi voorbeeld waarin meer regels niet helpen om het probleem op te lossen, constateert Wimjan Bos, die voorheen partner Financial Services Risk bij accountants- en adviesorganisatie EY en sinds kort als partner bij organisatieadviesbureau De Galan Groep werkzaam binnen de vakgroep Strategie, Governance en Inrichting.

Ter gelegenheid van zijn afscheid van EY schreef hij “Als het er echt om gaat”, waarin hij het heden, recente verleden en toekomst van het vak risicomanagement schetst. Daaruit blijkt dat de Pavlov-reactie op fraude, wanbeleid, boekhoudschandalen en wat dies meer zij altijd is: meer regels om het imago te herstellen en toekomstige misstappen te voorkomen. Het leidt ertoe dat dat bedrijven met allerlei risicobeheersings- en controlesysteem worden opgetuigd. En dat allerlei interne en externe audit commissies en compliance officers worden aangesteld, waarbij de ene partij de andere controleert - zoals dat bijvoorbeeld wordt bepleit in de bekende theorie van de 'three lines of defense' (3LoD), waarbij het management door interne en externe toezichthouders in het gareel moet worden gehouden.

Bos keert zich tegen de regelreflex, en zeker tegen de three lines of defense: "Het 3LoD-model lijkt duidelijk afgebakende rollen te definiëren, allemaal met een eigen verantwoordelijkheid, maar in de praktijk is er veel meer coördinatie nodig ‘over de lijnen heen’ en is er bij grote organisatorische veranderingen ook behoefte aan het ontsluiten van kennis en kunde ongeacht waar mensen in hun functie zaten", schrijft hij.

Schijnzekerheid

Eén ding is zeker: maar al te vaak leiden de pogingen om risico's te beheersen vooral tot meer werk, meer 'to do's' en meer bureaucratische beslommeringen. Kortom: tot een overvloed aan activiteiten die afleiden van het eigenlijke werk. Dat smoort ook maar al te vaak allerlei innovatieve initiatieven. "Banken hebben steeds meer moeite om zelf nog echt te innoveren. Wel zijn er talrijke fintech-bedrijven opgekomen, die profiteren van deze logheid. In die zin zou je kunnen zeggen dat al die maatregelen innovatie niet kunnen tegenhouden of zelfs stimuleren, zij het dan indirect", zegt Bos.

Kwalijker vindt hij het dat door al die regels al snel een schijnzekerheid ontstaat, en dat het gedrag van mensen verandert. Organisaties worden niet opeens risicobestendiger doordat werknemers meer formulieren invullen maar die indruk ontstaat misschien wel - waardoor ze juist meer risico's gaan lopen. Of mensen gaan zich verschuilen achter regels, en naar elkaar wijzen in plaats van hun eigen verantwoordelijkheid te nemen. En van de afvink- en afschuifcultuur in organisaties met hun oerwouden aan regels kunnen kwaadwillenden weer makkelijk misbruik maken. En tegen die regels ingaan of net binnen die regels blijven, maar tegen de bedoeling van de regels in handelen - denk aan belastingontwijking onder het motto 'het mag dus we doen het'. "Zo worden de regels een deel van het probleem in plaats van een deel van de oplossing", zegt Bos.

"Een goed voorbeeld is Bazel II. Financiële instellingen waren er aan gewend om buffers aan te houden om tegenslagen op te kunnen vangen. Daar bovenop zijn allerlei regels gekomen om risico's zogenaamd beter in kaart te kunnen brengen. Wie minder risico liep, hoefde ook minder kapitaal aan te houden. Met als gevolg dat allerlei partijen juist risico's zijn gaan opzoeken." In Als het er echt om gaat schrijft hij: "Banken waren vanaf dat moment geen risicomijdende kredietinstellingen meer die zich richtten op klanten, maar bedrijven die zich gingen richten op winstmaximalisatie voor hun aandeelhouders en zo geld verdienden met geld." En: "Het werd de opmaat naar de bankencrisis in 2008." En tot een afnemend vertrouwen in de financiële sector, terwijl al die regels nu juist mede bedoeld waren om dat te herwinnen.

Verkeersboetes

In het boek houdt Bos interviews met tien bestuurders over hun visie op risicomanagement, van oud-politici als Jan Peter Balkenende en Annemarie Jorritsma tot voorzitter van de raad van bestuur van APG Annette Mosman en beroepscommissaris Jan Nooitgedacht. Hun benadering verschilt wezenlijk van die van professionele risicomanagers, zegt hij. "Risicomanagers kijken heel ver vooruit, en zijn sterk gericht op het voorkomen van gevaar. Bestuurders zijn er eerder aan gewend om in een crisis - als het er echt om gaat! - om te gaan met de situatie zoals die zich op dat moment voordoet, en daarbij op de situatie zoals deze is - niet door allerlei maatregelen te hebben voorzien - maar te leunen op allerlei mensen."

Coronacrisis

Door de coronacrisis is het belang van de menselijke kant van risicomanagement voor Bos nog duidelijker geworden. "Door de coronacrisis is het lastiger geworden om erop toe te zien dat medewerkers zich houden aan allerlei gedragsregels en kpi's, de 'boundaries' en 'diagnostics' zoals John Simons dat noemt in zijn bekende boek The four levers of control. 'Going concerns' kunnen sterk op die twee 'hefbomen' vertrouwen. Maar door de coronacrisis zijn we in een situatie beland waarin de 'values' en 'interactive dialogue', de andere twee 'levers' belangrijker zijn geworden. De waarden en de bedrijfscultuur van een organisatie, en de dialoog tussen medewerkers. Juist nu zoveel mensen op afstand werken, moeten organisaties duidelijk maken waar ze voor staan aan hun medewerkers - ook ten aanzien van risico's. En juist nu mensen elkaar niet meer dagelijks bij het koffiezetapparaat en in de kantine tegenkomen, moet de onderlinge communicatie worden bevorderd. En bij al deze zaken kan en moet de leider wat mij betreft de leider een sturende rol spelen."

Aan het slot van “Als het er echt om gaat”, komt Bos met een korte schets van een perfect risicobeheersingsysteem, als alternatief voor de three lines of defense: "De verantwoordelijkheid moet breed gedragen worden in de hele organisatie en door iedereen. Bovendien staat diezelfde organisatie ook niet stil en zijn structuren, processen, en producten en diensten voortdurend in beweging. Een perfecte risicomanagementbenadering moet daarmee rekening houden, moet zowel herkenbaar als flexibel meebewegen met de ontwikkelingen binnen en buiten de organisatie." In plaats 'three lines of defense' pleit hij voor ‘dual responsibility': "De kern moet dus ingebed zijn in het dagelijkse proces en de tweede rol is even belangrijk maar moet apart zijn gepositioneerd en voor iedereen toegankelijk. Het is het makkelijkst om mijn perfecte risicomanagementbenadering te omschrijven met de metafoor van een vuurtoren. Vuurtorens staan op plaatsen waar het ertoe doet: aan zee, op plekken waar drukke scheepvaartroutes liggen, en waar ook de kansen liggen voor handel en groei. Ze signaleren en reguleren – in de middeleeuwen alleen een vuur, maar tegenwoordig een licht dat 360 graden draait en de omgeving scant. Iedereen herkent zo ook de vuurtoren. Door de hoogte is het overdag al een herkenbaar baken, maar als het donker en dus spannend wordt, blijft hij duidelijk zichtbaar. De vuurtoren is onderdeel van het landschap, en tegelijkertijd torent hij erbovenuit, beoordeelt zelfstandig wat er gaande is en laat zijn licht erover schijnen. Belangrijke informatie voor iedereen die het wil weten."

De Chief Risk Officer is in dit model een soort 'Chief Lighthouse Officer', die een overkoepelend beeld heeft van alle risico's en kan beoordelen welke risico's voor welke medewerkers van belang zijn en hen daarover kan informeren. Of dit model kans van slagen heeft? Of het risicomanagement in de toekomst überhaupt beter en minder regelgericht zal worden? Bos heeft goede hoop. "Ik ben een optimist. Daarom houd ik me ook bezig met risicomanagement."

Bronvermelding: 'Beter risicomanagement gebaat bij minder regels' - FM.nl - Financieel Management, hét platform in finance met praktijkinformatie, visie & trends (financieel-management.nl)

Over de auteur

Gerelateerd

Geen artikelen