Societe General incident: compliance heeft meer te maken met gedrag dan regels
Aart Schutten en Henk-Jelle Reitsma van ConQuaestor, experts op het gebied van risico management en compliance, geven hun visie op de gang van zaken rondom de tegen wil en dank plotseling wereldberoemde Jérôme Kerviel en wat dit betekent voor de cultuur binnen bankbedrijven in het algemeen en Société Générale (in de bankwereld bekend als SocGen) in het bijzonder. Waarbij bij dat laatste dient te worden aangemerkt dat uitspraken zijn gebaseerd op de recente berichtgeving in de verscheidene media.
Compliant zijn kan een ‘false sense of control’ geven
Het beginpunt is natuurlijk al interessant: SocGen heeft zonder twijfel een hele set van risicobeperkende maatregelen (controls genoemd) in de organisatie ingebouwd. Deze controls komen voor een deel voort uit het moeten voldoen aan (inter)nationale wet- en regelgeving, waaraan elke instelling moet voldoen, maar ook voor een deel uit intern risicomanagement.
Het bankwezen is bij uitstek een omgeving waarin risicomanagement een solide plaats heeft in het doen en denken: de core business is het nemen van meer of minder gecalculeerde risico’s met meer of minder gecalculeerde opbrengsten (of verliezen) als gevolg. In zo’n omgeving is het inzichtelijk maken en controleren van risico’s van wezenlijk belang voor de stabiliteit van de onderneming.
Wat nu regelmatig te zien valt is dat compliant zijn, voldoen aan alle gestelde wet- en regelgeving, en het daarbovenop ingericht hebben van een intern controle kader gezamenlijk zorgt voor een gevoel van in control zijn. Echter, het (duurzaam) ingericht hebben van een controleorganisatie is een papieren tijger wanneer de naleving door medewerkers tekort schiet én de organisatie geen of te weinig consequenties verbindt aan ontoelaatbaar gedrag.
‘By head, not by heart’
Wat men regelmatig ziet is dat er binnen organisaties een gedragsmatige houding ten opzichte van wet- en regelgeving leeft die niet optimaal is. Het geheel aan interne en externe regels wordt dan, van hoog tot laag, gezien als een ‘moetje’, een ‘handrem’. Rationeel wordt het wel belangrijk gevonden, maar het belang is niet werkelijk doorgedrongen tot het hart en de ziel van het bedrijf en haar werknemers. Er is sprake van compliance ‘by head, not by heart’.
SocGen heeft, zo valt in alle achtergrondartikelen te lezen, op een bijna stelselmatige manier signalen niet opgepikt: rode vlaggen die omhoog waren gegaan door het goed ingericht hebben van controls. De interne controle was dan ook niet per definitie onder de maat, de bijpassende acties en maatregelen bleven (te lang) uit. Wat je ook inricht aan beveiliging, als de mens niet meewerkt of zelfs tegenwerkt, dan gebeuren de rampen.
Consequenties
Wat te doen? Twee reacties zijn nu in ieder geval onwenselijk. De eerste is het creëren van nog meer regels. Dit soort incidenten ontstaan in beginsel niet door een gebrek aan regels, maar door een verkeerd omgaan met de bestaande regels. De oplossingen zijn te vinden binnen de huidige kaders van compliance thema’s en best practices op het gebied van interne controles.
Een andere reactie die voorkomen moet worden is het inperken van ondernemend gedrag door ondernemingen of individuele werknemers. Risico’s nemen is inherent aan bedrijfsvoering: “Ships in port are safe, but that is not what ships are made for”, heet het dan in de beroemde quote van admiraal Grace Murray Hopper. De crux zit hem in het nemen van gecalculeerde risico’s, binnen de kaders van de markt en de organisatie en binnen de door het hoogste management geformuleerde ‘risk appetite’.
Gedrag van hele organisatie is relevant
Wij geloven dat de attitude ten opzichte van bestaande wet- en regelgeving door organisaties én individuele werknemers cruciaal is. Net als bij alle wetgeving zijn de compliance thema’s binnen de financiële sector vaak niets meer of minder dan geformaliseerd integer gedrag. Iedereen weet hoe het hoort, maar om dat te kunnen reguleren maken de wetgevende instanties er wetten en regels van.
Wat men zou wensen is dat iedere organisatie, ook op de werkvloer, zijn eigen meest stringente controlerende instantie is, zodat iedereen er van hoog tot laag van doordrongen is dat deze wetten en regels de stabiliteit en het ethisch ondernemen ten goede komen.
Unieke omgeving binnen organisatie vraagt om unieke control benadering
Voldoen aan processen en procedures is altijd belangrijk, alleen verschillen de potentiële consequenties. Wat in dit geval bij SocGen mee moet worden gewogen is dat de dealing room een unieke omgeving is.
Een plaats waar grote opbrengsten kunnen worden gegenereerd maar waar ook kleine acties grote gevolgen kunnen hebben. Zoals de Space Shuttle Columbia ten onder ging aan één los zittend tegeltje kan, zo is nu weer eens gebleken, ook één overambitieuze handelaar een miljardenverlies tot gevolg hebben voor een gerespecteerde financiële instelling.
Maar, en dit is de bottomline, dit kan alleen als er in de organisatie niet genoeg wordt gestuurd op naleving van de noodzakelijke processen en procedures. In die zin heeft (zoals al in menig artikel werd gesuggereerd) Jérôme Kerviel het inderdaad ‘niet alleen gedaan’; de organisatie heeft namelijk meegewerkt, door niet te reageren op interne én externe signalen dat hij zijn boekje te buiten ging. Dit was dinsdag ook de kern van de boodschap van de Franse president Sarkozy: deze recordverliezen kunnen niet worden afgewenteld op één enkele handelaar.
Vertrouwen is goed maar controle is beter: het begint allemaal met het opmerken van onwenselijk gedrag door de medewerkers, waarvan het overgrote merendeel van goede wil is en de juiste mate van integer gedrag vertoont.
Een volgende stap is het verbinden van consequenties aan acties buiten het boekje. In een potentieel explosieve omgeving, zoals de dealing room, hoort een passend controlebeleid: kort op de bal en zero tolerance. Het uitlenen van een password, of het te buiten gaan van je limiet zou meteen verregaande consequenties moeten hebben. Zoals in veel private equity huizen het breken van de ‘clean desk policy’ de eerste maal al ontslag kan betekenen moeten ook financiële instellingen, daar waar de omgeving er om vraagt, hard op treden.
Een andere, minder drastische, maatregel in het geval van iets minder drastische vergrijpen is het collectief afrekenen van afdelingen op het individueel naleven van de regels. Dit houdt in dat aan het eind van een periode het naleven van de regels, bijvoorbeeld de administratieve verplichtingen, door alle dealers onder de loep wordt genomen.
Eventueel tekort schieten, zelfs van enkele individuen, werkt dan door in de bonus of salarisstijging van de hele afdeling. Dit zorgt voor een druk vanuit de eigen peers, wat te verkiezen is boven een druk vanuit een andere afdeling (compliance officers) of externe organisatie (toezichthouder).
Tot slot
Zouden deze maatregelen een megafraude kunnen voorkomen? Het antwoord hierop is helaas: nee. Incidenten van deze magnitude zullen blijven voorkomen, omdat er altijd gebeurtenissen zullen zijn waar niemand ooit zelfs aan had durven denken. Een aansprekend voorbeeld hier is dat de twin towers niet ‘samen’ waren verzekerd. Immers, wie zou ooit hebben durven denken dat er met beide torens tegelijk iets zou gebeuren? Incidenten zijn op die manier ook in zekere zin leerzaam, elke keer worden de grenzen van ons denken verder verruimd.
Wat wel kan worden voorkomen zijn incidenten waar in beginsel wel aan was gedacht, waar maatregelen tegen zijn genomen, waar de interne controles van de organisatie op zijn ingericht; maar die door het niet voldoende naleven, controleren, en opvolgen desondanks hebben kunnen plaatsvinden. Dit vraagt, zoals wij in dit stuk hebben betoogd, niet om meer regels maar om consequent gedrag van individuele medewerkers binnen een organisatie.