9 gouden regels in de balans tussen vertrouwen en compliance

We schieten in een kramp en kijken bij ieder incident naar de overheid, die de schuldige moet zoeken en bovendien via regelgeving moet zorgen dat zoiets niet nog een keer gebeurt. De vraag is of dit werkt. Meer regels bieden slechts schijnzekerheid en belemmeren het nemen van eigen verantwoordelijkheid. Het wordt tijd voor een nieuwe balans tussen regelgeving en sturen op vertrouwen, vindt Philip Wallage, partner bij KPMG en hoogleraar accountantscontrole aan de Universiteit van Amsterdam.

“We leven op dit moment in een inquisitiedemocratie, waarin de politiek onder druk wordt gezet om buitengewoon snel te reageren op incidenten”, stelt Wallage. “Er moeten schuldigen worden aangewezen en maatregelen worden getroffen om herhaling te voorkomen. In de haast om aan de publieke roep om maatregelen te voldoen wordt niet gekeken naar wat er werkelijk speelt.”

“Ik denk dat het beter is om eerst rustig te zoeken naar de achterliggende oorzaken en daarna te kijken of er maatregelen nodig zijn, maar mensen kunnen niet goed tegen onzekerheden. Soms gaat het om een incident: moet je dan regels maken voor iedereen? Als er in een bedrijf gestolen wordt en het blijkt na onderzoek te gaan om unieke omstandigheden, moet je dan de hele organisatie belasten met meer regels? Ik ben van mening dat we eerst een betere analyse van de oorzaak moeten maken, voor we het in regelgeving en systemen zoeken.”

Whitepaper ‘Trust Rules’
Wallage houdt zich al een aantal jaren bezig met controle- en governance-vraagstukken. Hij maakte onder meer deel uit van de commissie-Peters, de voorloper van Tabaksblat. Samen met Muel Kaptain en Edo Roos Lindgreen publiceerde hij het whitepaper ‘Trust Rules’, een pleidooi om minder krampachtig met regels om te gaan en meer te sturen op vertrouwen.

“We moeten terug naar een principle- in plaats van een rule-based benadering. Compliance biedt geen zekerheden, maar behelst slechts het afvinken van een aantal regels. Formeel kan iets kloppen, maar materieel hoeft dat niet zo te zijn. Daarom is principle-based controle ook zo belangrijk. Met regels proberen we ons tegen risico’s in te dekken, maar iemand mag best risico lopen. Als hij maar transparant is over de belangrijkste risico’s en de wijze waarop ze worden beheerst. Risico’s nemen hoort bij ondernemen.”

Opstapeling van regels
De roep om meer regelgeving is volgens Wallage goed verklaarbaar. “Regels zijn prettig, je kunt je erachter verschuilen en ze geven duidelijk aan wat mag en niet mag. Ik vraag me wel af: de wet van afnemende meeropbrengsten geldt toch ook voor een opstapeling van regels? Met andere woorden, wanneer gaan we nu eens kijken welke regels weg kunnen? Dat is in de praktijk niet eenvoudig, we hebben immers instituten gecreëerd om regels te maken en de cultuur is er op dit moment niet naar om een mindering na te streven. We zouden kritischer moeten zijn ten aanzien van nieuwe regelgeving. Regelgevers zouden moeten motiveren waarom een regel er moet komen en een kosten-batenanalyse moeten uitvoeren. Je zou uit een organisatorisch woud van regels en procedures enkele algemene principes moeten destilleren en ervoor moeten zorgen dat die goed tussen de oren van de betrokkenen komen.”

Wallage benadrukt dat hij niet tegen regelgeving is, regels zijn nu eenmaal nodig, anders functioneert de maatschappij niet. “Er zit ook een positieve kant aan regels, bijvoorbeeld SarbanesOxley. Grote ondernemingen met een beursnotering in Amerika moeten in reactie op de fraude bij Enron en WorldCom voldoen aan SarbanesOxley, strenge regelgeving ten aanzien van interne risicobeheersing. Dat heeft bedrijven heel veel tijd en geld gekost. Toch zijn er die na de hele operatie stelden: Het was wel overdone, maar we hebben er toch wat van geleerd. Het is een soort hygiëne voor de onderneming. Of het een herhaling van Enron voorkomt is de vraag, maar het had wel een doel.”

Regelgeving en accountancy
Ook ten aanzien van de accountancy is de roep om regelgeving en nieuwe externe toezichthouders groot. Voor een deel kan Wallage zich hierin vinden, maar ook de eigen verantwoordelijkheid van de accountant moet volgens hem worden versterkt. “Extern toezicht is goed en gezond. Toezicht is echter niet genoeg. Intern moet worden bediscussieerd hoe de accountant tot oordeelvorming komt en hoe daarmee om te gaan. Oordeelvorming kun je nooit dichtreguleren of wegautomatiseren. Je moet mensen dus trainen om het goede te doen.”

####
Balans tussen kader en toezicht
“Er moet sprake zijn van een balans tussen regelgevend kader en toezicht. Het gaat om het gedrag. Je kunt dat in de hand houden door er als een politieagent bovenop te zitten, of door te zorgen dat het oordeel goed is door mensen te trainen in een professioneel kritische houding en hen goed te motiveren. We zitten pas in de beginfase van deze ontwikkeling, maar de meeste partijen zien in dat regelgeving eindig is. Het huidige klimaat is echter niet zo dat je dat even snel kunt doen, het verloopt nog moeizaam. Bij AFM en DNB realiseert men zich wel dat het ook om cultuur gaat. Het is een evolutie en geen revolutie”, stelt Wallage. “Men realiseert zich dat cultuur belangrijk is, maar de tijdgeest biedt op dit moment niet veel ruimte.”

Om de gewenste gedragsverandering te bereiken is zeker nog een aantal jaren nodig. “In de compliancecontext zie ik stappen in het vormen van andere doelstellingen. Het begint met de instroom van jonge mensen, maar de ‘tone at the top’ is erg belangrijk. Als jongeren niet de kans of de tijd krijgen om veranderingen door te voeren verandert er niets. De ‘tone at the top’ heeft alles te maken met leiderschap.”

Het sturen op vertrouwen betekent volgens Wallage niet dat er geen regels nodig zijn. “Integendeel, er moet scherp op de principes en de goede regels die er zijn worden gestuurd. Gedogen is heel gevaarlijk. Als het vertrouwen wordt beschaamd, moet er hard worden ingegrepen. Schend je bewust het gegeven vertrouwen, dan moet je weg.”

In de praktijk zijn situaties niet zo zwart-wit en in het grijze gebied kunnen volgens Wallage soms lastige dilemma’s ontstaan. “Stel, in de gedragscode van het bedrijf staat dat het niet is toegestaan om steekpenningen te betalen. Iemand in de top van een onderneming bekent vervolgens steekpenningen te hebben betaald om een belangrijke order voor het bedrijf veilig te stellen. Deze order maakt een belangrijk deel van de omzet uit. Wat doe je dan? In de context van vertrouwen moet deze persoon weg, het vertrouwen is beschaamd. Wat bewust is gebeurd, moet je keihard aanpakken, er zijn minder vrijheden dan wanneer alles in regels is vastgelegd. Belangrijk is dat er bij incidenten een root-causeanalyse wordt uitgevoerd, waaruit moet blijken of er een fout is gemaakt, of iemand net iets heeft gemist of dat iemand de zaak bewust belazert. In dat laatste geval moet je streng zijn, en dat is soms lastig.”

####
Het zou volgens Wallage helpen als er binnen bedrijven discussies werden gevoerd over de waarden (principes) en regels, bijvoorbeeld over wat precies wordt bedoeld met steekpenningen en wat de consequenties zijn als men zich niet aan de regels houdt. Wallage ziet wel een voorzichtige kentering in de tijdgeest. “Ik geef les aan toezichthouders. Aan hen legde ik enkele jaren geleden het voorbeeld van de steekpenningen voor met de vraag wat zij zouden doen. Ik kreeg daarop de bijzondere reactie: Welke oen zet dat op papier, ontsla die man! Nu zou men zeggen: We gaan het uitzoeken. Dat is een prima ontwikkeling.”

Vaak is echter onvoldoende duidelijk hoe men elkaar aanspreekt in dit soort situaties. Dit leidt tot dilemma’s. Het is volgens Wallage zaak om in geval van steekpenningen of ander ongewenst gedrag direct in te grijpen en naar het hele bedrijf transparant te maken dat er is ingegrepen en waarom er is ingegrepen. Terwijl de aandacht van toezichthouders nu nog ligt op de harde controls, zal er in de toekomst steeds meer gekeken worden naar soft controls, die het gedrag en optreden van medewerkers bepalen.

“Er zijn patronen zichtbaar in de gedragingen van medewerkers die een hoog risico kunnen hebben voor de onderneming. Hoe zorgvuldig is men bijvoorbeeld in zijn handelen? Loop maar eens door de parkeergarage van een onderneming en kijk eens in de auto’s die er staan. Als het er een rotzooi is, kun je dat vaak ook op het bureau en in het handelen van de betrokkenen zien. Grote bedrijven denken steeds vaker na over de kwaliteit van de interne cultuur en soft controls. Deze bevatten voorspellende waarde voor gedragingen binnen een organisatie. Zij vragen mij ook: de systemen kloppen, maar wat vind je van onze soft controls? Gelukkig beschikken wij over instrumentarium om hier uitspraken over te kunnen doen. Waarschijnlijk helpt juist deze ontwikkeling bedrijfsschandalen in de toekomst zo veel mogelijk te voorkomen.”

9 Trust Rules: uitgangspunten voor een balans tussen regels en vertrouwen

1 Maak contact persoonlijk
Ken elkaar; vertrouwen kan alleen groeien als mensen elkaar kennen. Het energiebedrijft Essent liet een journalist de levensverhalen van individuele managers optekenen. Hierdoor kreeg men inzicht in elkaars achtergrond en ontstond er meer begrip voor elkaar.

2 Definieer gezamenlijke doelen
Gezamenlijke doelen verbinden partijen en bieden een opstap naar vertrouwen. Als de gezamenlijke doelen en de procedures helder zijn, hoeft er minder op regels te worden gestuurd.

3 Geef het goede voorbeeld
Voorbeeldgedrag zit vaak in schijnbaar onbeduidende zaken die met een kleine investering grote invloed kunnen hebben. in negatieve zin valt te denken aan de klassieke case van de directeur van een bouwbedrijf die zijn werknemers op het hart drukt geen materiaal mee te nemen voor privégebruik, terwijl alom bekend is dat hij zelf met enige regelmaat wat in zijn auto laadt. Werknemers zullen dan de motivering volgen: als de directeur het mag, mogen wij het ook.

4 Bouw vertrouwen op met goede regels
Ga zorgvuldig om met regels en voer ze nooit vanuit een automatisme in. Soms zijn er nieuwe regels nodig, maar ga één keer per jaar door alle regels heen en kijk naar de kosten en de baten. Voorkom regelmoeheid en moeilijk uitvoerbare regels.

5 Geef elkaar verantwoordelijkheid en vertrouwen
Mensen kunnen veel meer dan we toegeven. Als de regels helder zijn, moeten medewerkers worden vertrouwd in de uitvoering. Binnen de strijdkrachten wordt leiding gegeven op basis van het concept ‘the Commander’s intent’. Het ‘wat’ is daarin zeer strak weergegeven in alle bevelen. Maar het ‘hoe’ wordt in het veld bepaald: daar kun je niet anders werken dan op basis van vertrouwen. Je kunt immers niet alles van tevoren regelen en controleren.

6 Houd koers en bewaar de rust, ook als er iets misgaat.
Wie nieuwe concepten introduceert, moet voorbereid zijn op zowel cynische en afkeurende reacties als een veelheid aan praktische bezwaren. Alleen wie leiding geeft met consistente lijn en een rechte rug, kan daar adequaat mee omgaan.

7 Zet in op geïnformeerd vertrouwen, niet op blind vertrouwen
Discussieer open over fouten en dilemma’s. Een heldere communicatie is hierbij erg belangrijk om het vertrouwen tussen partijen te waarborgen.

8 Ga mild om met misverstanden, maak korte metten met misbruik.
Spreek elkaar aan op wat niet goed gaat, fouten maken moet mogen. Gedogen is echter niet aan de orde, dat gaat ten koste van de geloofwaardigheid.

9 Durf te experimenteren en leer van de ervaringen
Er is lef voor nodig om nieuwe concepten toe te staan, maar ook om fouten te maken en desgewenst eindeloos het concept wat bij te stellen. En er is geen blauwdruk mogelijk voor hoe het eindresultaat e