‘Beter risicomanagement gebaat bij minder regels’

In 'Als het er echt om gaat' bespreekt Wimjan Bos verschillende visies op risicomanagement.

De belangrijkste bevinding van risicomanagement-expert Wimjan Bos in zijn nieuwste boek Als het er echt om gaat: dat risicomanagers en bestuurders op verschillende manieren kijken naar de wijze waarop je risico’s het beste kunt beheersen. Hij pleit voor een combinatie van die twee. Liever dat dan nog meer regels. “Banken beboeten om witwassen tegen te gaan? Dat is zoiets als te hard rijden op de snelweg bestraffen om de verkeersveiligheid te bevorderen. Het is makkelijk, maar niet effectief.”

Onlangs werd ABN AMRO veroordeeld tot een boete van 480 miljoen euro omdat de bank de controle op mogelijke criminele geldstromen en terrorismefinanciering niet op orde had. De bank had z’n risicomanagement niet op orde, met andere woorden. Dat is op het eerste gezicht onbegrijpelijk. Tenslotte houden zich meer dan 3.000 mensen binnen ABN AMRO bezig met het tegengaan van witwassen. Tenslotte was de bank gewaarschuwd – tenslotte heeft ING bank enkele jaren geleden ook al eens een megaboete gekregen omdat het onvoldoende toezicht op witwaspraktijken hield. En tenslotte worden de regels om witwassen, fraude en ander wangedrag tegen te gaan steeds verder aangescherpt.

Het is een mooi voorbeeld waarin meer regels niet helpen om het probleem op te lossen, constateert Wimjan Bos, die voorheen partner Financial Services Risk bij accountants- en adviesorganisatie EY en sinds kort als partner bij organisatieadviesbureau De Galan Groep werkzaam binnen de vakgroep Strategie, Governance en Inrichting.

Ter gelegenheid van zijn afscheid van EY schreef hij Als het er echt om gaat, waarin hij het heden, recente verleden en toekomst van het vak risicomanagement schetst. Daaruit blijkt dat de Pavlov-reactie op fraude, wanbeleid, boekhoudschandalen en wat dies meer zij altijd is: meer regels om het imago te herstellen en toekomstige misstappen te voorkomen. Het leidt ertoe dat dat bedrijven met allerlei risicobeheersings- en controlesysteem worden opgetuigd. En dat allerlei interne en externe audit commissies en compliance officers worden aangesteld, waarbij de ene partij de andere controleert – zoals dat bijvoorbeeld wordt bepleit in de bekende theorie van de ’three lines of defense’ (3LoD), waarbij het management door interne en externe toezichthouders in het gareel moet worden gehouden.

Bos keert zich tegen de regelreflex, en zeker tegen de three lines of defense: “Het 3LoD-model lijkt duidelijk afgebakende rollen te definiëren, allemaal met een eigen verantwoordelijkheid, maar in de praktijk is er veel meer coördinatie nodig ‘over de lijnen heen’ en is er bij grote organisatorische veranderingen ook behoefte aan het ontsluiten van kennis en kunde ongeacht waar mensen in hun functie zaten”, schrijft hij.

Schijnzekerheid
Eén ding is zeker: maar al te vaak leiden de pogingen om risico’s te beheersen vooral tot meer werk, meer ’to do’s’ en meer bureaucratische beslommeringen. Kortom: tot een overvloed aan activiteiten die afleiden van het eigenlijke werk. Dat smoort ook maar al te vaak allerlei innovatieve initiatieven. “Banken hebben steeds meer moeite om zelf nog echt te innoveren. Wel zijn er talrijke fintech-bedrijven opgekomen, die profiteren van deze logheid. In die zin zou je kunnen zeggen dat al die maatregelen innovatie niet kunnen tegenhouden of zelfs stimuleren, zij het dan indirect”, zegt Bos.

Kwalijker vindt hij het dat door al die regels al snel een schijnzekerheid ontstaat, en dat het gedrag van mensen verandert. Organisaties worden niet opeens risicobestendiger doordat werknemers meer formulieren invullen maar die indruk ontstaat misschien wel – waardoor ze juist meer risico’s gaan lopen. Of mensen gaan zich verschuilen achter regels, en naar elkaar wijzen in plaats van hun eigen verantwoordelijkheid te nemen. En van de afvink- en afschuifcultuur in organisaties met hun oerwouden aan regels kunnen kwaadwillenden weer makkelijk misbruik maken. En tegen die regels ingaan of net binnen die regels blijven, maar tegen de bedoeling van de regels in handelen – denk aan belastingontwijking onder het motto ‘het mag dus we doen het’. “Zo worden de regels een deel van het probleem in plaats van een deel van de oplossing”, zegt Bos.

“Een goed voorbeeld is Bazel II. Financiële instellingen waren er aan gewend om buffers aan te houden om tegenslagen op te kunnen vangen. Daar bovenop zijn allerlei regels gekomen om risico’s zogenaamd beter in kaart te kunnen brengen. Wie minder risico liep, hoefde ook minder kapitaal aan te houden. Met als gevolg dat allerlei partijen juist risico’s zijn gaan opzoeken.” In Als het er echt om gaat schrijft hij: “Banken waren vanaf dat moment geen risicomijdende kredietinstellingen meer die zich richtten op klanten, maar bedrijven die zich gingen richten op winstmaximalisatie voor hun aandeelhouders en zo geld verdienden met geld.” En: “Het werd de opmaat naar de bankencrisis in 2008.” En tot een afnemend vertrouwen in de financiële sector, terwijl al die regels nu juist mede bedoeld waren om dat te herwinnen.

Verkeersboetes
In het boek houdt Bos interviews met tien bestuurders over hun visie op risicomanagement, van oud-politici als Jan Peter Balkenende en Annemarie Jorritsma tot voorzitter van de raad van bestuur van APG Annette Mosman en beroepscommissaris Jan Nooitgedacht. Hun benadering verschilt wezenlijk van die van professionele risicomanagers, zegt hij. “Risicomanagers kijken heel ver vooruit, en zijn sterk gericht op het voorkomen van gevaar. Bestuurders zijn er eerder aan gewend om in een crisis – als het er echt om gaat! – om te gaan met de situatie zoals die zich op dat moment voordoet, en daarbij op de situatie zoals deze is – niet door allerlei maatregelen te hebben voorzien – maar te leunen op allerlei mensen.”

Allebei zijn belangrijk, licht hij toe. Wat het voorkomen van risico’s betreft: dat is uiteraard onmogelijk zonder regels. Maar maak die dan zo eenvoudig en gericht mogelijk, zegt Bos. “In het geval van de banken was heel lang niet precies duidelijk wat rol van de bank om witwassen tegen te gaan nu precies was. Duidelijker regels waren hier beter geweest.” Eenvoud – ‘simplicity by design’ noemt bestuurder Sabijn Timmers-Janssen het in het boek – brengt wel vaak onvolledigheid met zich mee – maar dat is een prijs die Bos er graag voor over heeft: liever een situatie waarin dat je niet alle risico’s kunt uitbannen dan een wildgroei aan onhanteerbare regels. Behalve voor eenvoud, pleit hij ook voor effectiviteit. Helaas is de neiging groot om eerder maatregelen te nemen die makkelijk zijn dan maatregelen die doel treffen. Bos noemt het met boetes uitdelen aan automobilisten die te snel rijden op de snelweg. “Daarmee bevorder je de verkeersveiligheid nauwelijks. Nergens komen zo weinig ongelukken voor als op de snelweg. Maar het is voor de politie heel eenvoudig om daar veel te controleren.”

De straf voor een bank omdat die z’n functie als poortwachter heeft verzaakt heeft ook veel weg van zo’n ‘boete voor te hard rijden’. “Je zou je de bredere vraag moeten stellen: hoe voorkom je dat er überhaupt zwart geld is als je wilt voorkomen dat er geld wordt witgewassen? In het geval van de banken betekent dat regels waarin de hele ‘witwasketen’ wordt betrokken. Dat is geen opdracht voor de bank, maar voor Justitie. Daar werken minder dan 100 mensen die zich bezig houden met witwassen. Geen wonder dat mensen jarenlang de gelegenheid hebben om geld wit te wassen en de bank te misleiden. Mijn advies zou zijn om naar de hele keten te kijken. Alle nadruk ligt nu op de banken. Daar werken alleen al in Nederland vele duizenden mensen in compliancefuncties, die jaarlijks vele duizenden meldingen doen. Terwijl aan het einde van de keten bij het Openbaar Ministerie nog geen 100 mensen werken die deze meldingen kunnen verwerken! Bovendien is er in diezelfde keten nauwelijks informatie-uitwisseling. Je zou bijvoorbeeld 300 mensen van de banken kunnen detacheren bij de Financial Intelligence Unit van Justitie, zodat beide partijen van elkaar leren hoe ze in de hele keten witwasoperaties kunnen opsporen, elkaar beter begrijpen en hun werkwijzes beter op elkaar kunnen afstemmen. “

Regelreflex
“Uit de interviews kwam naar voren dat de meeste winst valt te behalen aan de menselijke kant en niet met de regelkant”, zegt Bos. “Medewerkers gedragen zich zoals ze denken dat de leiders van hen verwachten”, schrijft hij. “Daar ligt de sleutel voor het management.” Bestuurders kunnen erop toezien dat er in een bedrijf een cultuur heerst waarin integriteit voorop staat. Dit kan door te zorgen dat mensen met plezier naar hun werk gaan, erop vertrouwen dat ze grotendeels autonoom kunnen werken, en dat ze zich in alle opzichten gewaardeerd voelen. En ze moeten in alles zelf het goede voorbeeld tonen, want alleen dan kan kunnen ze dat ook van anderen vragen.

Bos vat het kernachtig samen: risico’s beheers je door je medewerkers als volwassenen te behandelen – door hen ‘vertrouwen te geven en in ruil voor verantwoordelijkheid’. “En door als er iets fout gaat niet meteen de vrijheid in te perken en in de regelreflex te schieten, maar te kijken of de gevolgen ervan misschien wel acceptabel zijn.” Daarom moet er ook goed inzicht in risicobereidheid zijn. Hoeveel durf mogen mensen aan de dag leggen? Medewerkers moeten niet alleen weten welke risico’s ze moeten mijden, maar ook welke risico’s ze mogen lopen.

En dat kan uiteraard alleen als ze weten wélke risico’s er zijn. Daar komt het belang van tegenspraak om de hoek kijken, in aanvulling op dat ‘vertrouwen’, verantwoordelijkheid’ en ‘durf’. Bos citeert Annemarie Jorritsma: “Het is niet erg om gemotiveerd en beargumenteerd risico’s te lopen. Maar je moet niet in de val lopen dat jij niet weet dat er een risico is omdat niemand dat tegen jou heeft gezegd.”

Coronacrisis
Door de coronacrisis is het belang van de menselijke kant van risicomanagement voor Bos nog duidelijker geworden. “Door de coronacrisis is het lastiger geworden om erop toe te zien dat medewerkers zich houden aan allerlei gedragsregels en kpi’s, de ‘boundaries’ en ‘diagnostics’ zoals John Simons dat noemt in zijn bekende boek The four levers of control. ‘Going concerns’ kunnen sterk op die twee ‘hefbomen’ vertrouwen. Maar door de coronacrisis zijn we in een situatie beland waarin de ‘values’ en ‘interactive dialogue’, de andere twee ‘levers’ belangrijker zijn geworden. De waarden en de bedrijfscultuur van een organisatie, en de dialoog tussen medewerkers. Juist nu zoveel mensen op afstand werken, moeten organisaties duidelijk maken waar ze voor staan aan hun medewerkers – ook ten aanzien van risico’s. En juist nu mensen elkaar niet meer dagelijks bij het koffiezetapparaat en in de kantine tegenkomen, moet de onderlinge communicatie worden bevorderd. En bij al deze zaken kan en moet de leider wat mij betreft de leider een sturende rol spelen.”

Aan het slot van Als het er echt om gaat, komt Bos met een korte schets van een perfect risicobeheersingsysteem, als alternatief voor de three lines of defense: “De verantwoordelijkheid moet breed gedragen worden in de hele organisatie en door iedereen. Bovendien staat diezelfde organisatie ook niet stil en zijn structuren, processen, en producten en diensten voortdurend in beweging. Een perfecte risicomanagementbenadering moet daarmee rekening houden, moet zowel herkenbaar als flexibel meebewegen met de ontwikkelingen binnen en buiten de organisatie.” In plaats ’three lines of defense’ pleit hij voor ‘dual responsibility’: “De kern moet dus ingebed zijn in het dagelijkse proces en de tweede rol is even belangrijk maar moet apart zijn gepositioneerd en voor iedereen toegankelijk. Het is het makkelijkst om mijn perfecte risicomanagementbenadering te omschrijven met de metafoor van een vuurtoren. Vuurtorens staan op plaatsen waar het ertoe doet: aan zee, op plekken waar drukke scheepvaartroutes liggen, en waar ook de kansen liggen voor handel en groei. Ze signaleren en reguleren – in de middeleeuwen alleen een vuur, maar tegenwoordig een licht dat 360 graden draait en de omgeving scant. Iedereen herkent zo ook de vuurtoren. Door de hoogte is het overdag al een herkenbaar baken, maar als het donker en dus spannend wordt, blijft hij duidelijk zichtbaar. De vuurtoren is onderdeel van het landschap, en tegelijkertijd torent hij erbovenuit, beoordeelt zelfstandig wat er gaande is en laat zijn licht erover schijnen. Belangrijke informatie voor iedereen die het wil weten.”

De Chief Risk Officer is in dit model een soort ‘Chief Lighthouse Officer’, die een overkoepelend beeld heeft van alle risico’s en kan beoordelen welke risico’s voor welke medewerkers van belang zijn en hen daarover kan informeren. Of dit model kans van slagen heeft? Of het risicomanagement in de toekomst überhaupt beter en minder regelgericht zal worden? Bos heeft goede hoop. “Ik ben een optimist. Daarom houd ik me ook bezig met risicomanagement.”

Als het er echt om gaat
Wimjan Bos
Uitgeverij Haystack
ISBN13: 9789461264411

 

Gerelateerde artikelen