Zachte controls, solide resultaten
Daar zaten ze dan in de bioscoop, de leden van het managementteam van pensioenbedrijf Cordares. Samen waren ze vorig jaar naar de film Enron, the smartest guys in the room gegaan. Ademloos keken ze hoe het topmanagement van de Amerikaanse elektriciteitsreus de organisatie kapotmaakte door rigoureuze fraude.
Niemand die hun een strobreed in de weg legde. “Na de film hebben we uitgebreid gepraat over wat er mis is gegaan met het bedrijf”, zegt drs. Prem Mancham RE RA, hoofd risk & audit services van Cordares. Toen hij twee jaar geleden bij het bedrijf kwam werken, stond risicomanagement op de agenda van het bestuur.
“Er werd veel gepraat over regels, maar dat zijn juist de valkuilen van risicobeheersing”, zegt Mancham. “Als je het hebt over regels, breng je alle risicofactoren in kaart en je checkt of je daar gedekt bent. Aanvankelijk was dit ook de weg die we met Cordares op gingen.
Een goede financiële verslaggeving, een accountantsverklaring, heldere communicatie, transparantie. Veel managers dachten dat we daarmee veilig waren. Tot ik vroeg of ze de vijf grootste risicofactoren konden noemen. Toen werd het stil.”
Cordares is een van de organisaties die sinds vorig jaar werk maken van soft controls. Die staan de laatste jaren steeds meer in de belangstelling. Afgelopen voorjaar hield het Koninklijk NIVRA, de brancheorganisatie van accountants, een meerdaags seminar over het onderwerp.
Ook de Rijksacademie heeft de term opgenomen in de lesprogramma’s. Aanleiding voor de toenemende aandacht voor soft controls is de veronderstelling dat bestuurlijke onregelmatigheden in bedrijven niet voldoende worden opgemerkt door de traditionele audits, aldus het NIVRA. “Onregelmatigheden in de control environment worden tijdens deze audits niet gesignaleerd”, zo staat er op de website.
Op het eerste gezicht een wat vreemde conclusie. Zowel in Amerika als in Europa is de regelgeving op het gebied van financiële en bestuurlijke verantwoording begin deze eeuw flink aangescherpt, juist om fraude en mismanagement uit te sluiten. WASLIJST Vooral de Amerikaanse Sarbanes-Oxley- wet (SOX) bevat een waslijst aan wettelijke eisen op het gebied van financiële verantwoording, riskmanagement en transparantie waaraan beursgenoteerde bedrijven moeten voldoen.
Veel Europese multinationals hebben zich ook aan deze regels geconformeerd. In Nederland is in 2004 de code-Tabaksblat van kracht geworden, met regels op het gebied van transparantie en financiële verantwoording. Een jaar later is de risicomanagementparagraaf aangescherpt naar aanleiding van het eerste rapport van de commissie-Frijns die de werking ervan onderzocht.
Eind vorig jaar concludeerde de commissie-Frijns dat bijna alle Nederlandse vennootschappen de code-Tabaksblat naleven. Zo lijkt het alsof financiële verrassingen bij beursgenoteerde bedrijven afdoende zijn afgetimmerd. Maar ondanks alle wetten, regels en codes zijn de risico’s op mismanagement en fraude nog steeds niet uitgebannen.
De commissie-Frijns heeft een kleine, maar heel belangrijke kanttekening geplaatst bij de positieve conclusies over risicobeheersing. De systemen voor beheersing en controle functioneren namelijk vooral als wordt uitgegaan van zorgvuldig handelende bestuurders. Integriteit dus. Die wordt echter nauwelijks door systemen, regels en wetten afgedwongen.
Ook de code-Tabaksblat heeft slechts één passage gewijd aan integriteit. Er staat dat bestuurders erop moeten toezien dat de integriteit van de financiële informatie die aan hen wordt gerapporteerd niet wordt aangetast. Veel bedrijven durven daar kennelijk hun hand niet voor in het vuur te steken.
De Monitoring Commissie Corporate Governance Code concludeerde eind vorig jaar dat de helft van de beursfondsen een verklaring achterwege laat waarin staat dat risicobeheersings- en controlesystemen goed zullen werken. Deze bepaling uit de code-Tabaksblat wordt het minst nageleefd, aldus de commissie.
“De code-Tabaksblat heeft onvoldoende expliciet gemaakt dat integriteit een risicofactor is”, zegt Simone Heidema RA, adviseur van Corgwell CPI Governance. Zij pleit voor het benoemen van menselijk handelen als risicofactor. “Menselijke risico’s blijven bij risicoanalyses vaak onderbelicht.
Zaken als managementstijl, cultuur, integriteit en menselijke drijfveren horen ook onderdeel uit te maken van een systeem voor risicobeheersing. Maar nu is het nog vaak zo dat je onjuiste beslissingen kunt nemen als je alleen kijkt naar de voorschriften en de regels die van buitenaf zijn opgelegd.
Zo lang je je maar aan de regels houdt, zal niemand je erop aanspreken, ook al leidt je handelwijze tot slechte resultaten.” Heidema verwijst naar onderzoek over faillissementen, zoals uitgevoerd door de Universiteit van Maastricht in samenwerking met RSM Erasmus Universiteit in 2005.
Daarin werd achterhaald waardoor zestig grote bedrijven de afgelopen kwart eeuw schipbreuk leden. Bijna één op de vier ging kopje-onder als gevolg van frauduleus handelen en wanbeleid.
BOTERZACHT
Alle controlemechanismen zijn niet in staat beleid te keren dat haaks staat op de uitgangspunten van de onderneming, zo luidt dan ook de kritiek van sommige financieel deskundigen en managementspecialisten. Soft controls gaan speciaal over beheersing van en controle op menselijk handelen binnen bedrijven.
Er zijn nog niet veel CFO’s die hier warm voor lopen. Soft controls zijn moeilijk meetbaar te maken en daardoor niet beheersbaar, zo luidt hun kritiek. Accountantskantoren zijn echter volop bezig de meetbaarheid ervan te verbeteren.
Daar is alle reden voor, al is het alleen maar omdat soft controls de duurzaamheid van risicomanagement vergroten. Die duurzaamheid garandeert uiteindelijk het effect van governance. Uit onderzoek van GMI (GovernanceMetrics International) blijkt dat het rendement van good governance zich uitsluitend op lange termijn openbaart.
Na een jaar is er nog geen verband zichtbaar met betere bedrijfsresultaten, aldus het onderzoek van september 2006. Maar na drie jaar wordt dit verband wel zichtbaar. De winst neemt toe, terwijl de kosten dalen. Vooral financieringskosten zijn kleiner bij goed bestuur.
“Maar bij beursfondsen is er nog weinig aandacht voor soft controls”, zegt Mancham. “Dat komt doordat ze al zo veel verplichtingen hebben op het gebied van keiharde wet- en regelgeving over risicomanagement. Die bestaan vooral uit solide rapporteringen en het volgen van regels.
Natuurlijk doen we dat hier bij Cordares ook. We zijn een pensioenfonds dat miljarden euro’s beheert. We moeten op een transparante manier laten zien hoe we daarmee omspringen. Maar wij zijn verder gegaan. We hebben ook in kaart gebracht wat onze krachten zijn als organisatie. Dat zijn met name de kennis en de mensen in de organisatie.
Vraag twee is dan hoe je die bestuurt. Dan kom je al snel op soft controls. Je moet op een duidelijke manier aangeven hoe je met die cruciale krachten in je bedrijf omgaat.” Mancham heeft het in dit verband over het introduceren van kernwaarden en een cultuurcampagne. “We hebben kernwaarden geïntroduceerd als betrouwbaarheid, resultaatgerichtheid, vernieuwing, klantgerichtheid en solidariteit.
Belangrijke waarden voor een pensioenfonds.” Maar veel outsiders vinden dit boterzacht management. Met zo’n verhaal geef je toch geen invulling aan good governance? Laat staan dat je hier je riskmanagement aan ophangt. Terechte kritiek, meent Mancham, als dit alleen een papieren verhaal zou blijven.
“Je moet hier als bedrijfsleiding actief mee aan de gang willen gaan. Je moet als directie over dit onderwerp in gesprek gaan met de werkvloer, letterlijk. Je moet expliciteren wat je strategische doelen zijn en welk gedrag je in dit verband van je medewerkers eist. Zie erop toe dat alle medewerkers hiervan op de hoogte zijn en zich hieraan conformeren.
Dat betekent inderdaad dat je ze daarop afrekent. Zo kom je uiteindelijk tot een nieuwe zekerheid. Natuurlijk vraagt die voortdurende alertheid, maar dat is bij de financiële controle ook het geval. Waarom dan niet bij soft controls?” Helemaal onbekend is dit ook weer niet bij veel bedrijven.
Een code of conduct is er vaak wel aanwezig. Af en toe verwijzen ze ernaar in interne publicaties of bij een personeelsbijeenkomst. Maar dat is niet hetzelfde als gedragsmanagement inzetten bij wijze van risicobeheersing. “De code of conduct ligt vaak ongebruikt op de plank”, zegt Richard Lubbers RA van Corgwell CPI Governance.
“Het gaat er juist om dat je heel duidelijk afspreekt welk gedrag je wel en niet accepteert. Je wilt niet alleen boekhoudschandalen voorkomen, maar ook bedrijfsschandalen. Ook de raad van bestuur moet je daarom op gedrag kunnen aanspreken. Betrek daarom ook de raad van commissarissen hierbij, die wordt vaak vergeten.
Bestuurders moeten op alle gebieden verantwoording afleggen voor de risico’s die zij nemen, ook op het gebied van hun eigen integriteit. Je moet niet alleen verklaren dat het hiermee wel goed zit, je moet het ook kunnen aantonen.” Waartoe de soft controls bij Cordares zullen leiden, is nog even afwachten.
“Zo lang zijn we nog niet met het onderwerp bezig”, zegt Mancham. “Laat staan dat we al in kaart hebben gebracht wat het oplevert. Iedereen kent de gedragsregels inmiddels. Nieuwe medewerkers tekenen ervoor in hun arbeidsovereenkomst. Maar ook al zijn we er nog maar pas mee begonnen, we zien het nu al als een nieuwe zekerheid.”?