Cees Maas is de laatste CFO bij ING die ook chief risk officer is. "Het wordt te veel, het wordt te zwaar." Vooral het spervuur aan corporate-governanceregels dat de onderneming de afgelopen jaren te verduren kreeg, is debet aan de taakverzwaring van de CFO. "Het toezicht moet worden versimpeld. Om te beginnen door internationale wederzijdse erkenning van corporate-governance- en accountingregels."

'Regelzucht beperkt levenslucht' was de titel van een persoonlijke column die Cees Maas vorig jaar schreef voor Het Financieele Dagblad. In een minimum aantal woorden zette Maas een maximum aantal interessante gedachten op papier. Via het gedachtegoed van Joseph Schumpeter (geen innovatie, geen groei) liep het betoog naar de twee soorten fouten die de statistiek onderscheidt (fout type 1: iemand doet iets wat hij moet nalaten, niet te verwarren met fout type 2: iemand laat iets na wat hij had moeten doen; en het is inherent aan ondernemen dat je als onderneming risico loopt op beide typen fouten) om uit te komen bij de tendens om risico's te beperken door juridisering (een andere type risico, dat door de overheid wordt opgelegd en een mogelijke bedreiging vormt voor de Schumpeteriaanse innovatie en groei, met alle bedrijfsrisico's die daaraan inherent zijn). "Het zou triest zijn als de creativiteit van managers hierdoor wordt gestuurd in de richting van het afvangen van afbreukrisico's. Naleven van regels moet geen obstakel worden voor het overleven van de onderneming", schrijft Maas tot besluit. Let wel: "Ik klaag niet, ik beklaag me nooit. Ik wilde er alleen op wijzen dat er op het ogenblik een overregulering plaatsvindt. En dat is slecht, heel slecht", zegt Maas. Facilitator Niet voor niets is de aanvankelijk sterk op control gerichte financiële functie in de afgelopen decennia uitgegroeid tot een 'facilitator' van de business. "De controlafdeling is een van de oudste functies in de bank. Je had de kassier en die gaf het geld aan de boekhouder annex controleur. De kassier en de boekhouder, de frontofficer en de backofficer: de twee oudste functies in een bank en daarmee ook de meest ontwikkelde. Pas in de afgelopen twintig jaar is de business veel belangrijker geworden, getuige een moderne afdeling als market-riskmanagement, een afdeling die pas tien jaar bestaat, maar waar veel dynamische jonge helden en creatieve meedenkers zitten. Zelfs de kredietafdeling is in de afgelopen jaren meer businessgericht geworden. Ging het daar vroeger vooral om het goedkeuren van kredietjes, in de afgelopen jaren zijn de producten veel complexer geworden. En dus moeten mensen op de kredietafdeling tegenwoordig kunnen meedenken: Welke commerciële risico's lopen we?, Wat kan wel en wat kan niet? Kortom: ook die afdeling is veel dichter bij de business komen te staan. Of neem de afdeling insurance-riskmanagement. Tien jaar geleden bestond het woord niet eens; toen gaven actuarissen een actuariële goedkeuring aan verzekeringscontracten, vaak zonder dat ze betrokken waren bij het commerciële profit-approvalproces. Nu rapporteert de actuaris aan een insurance-riskmanager die dicht bij de business zit." Ook Maas zelf zit het liefste dicht tegen de business aangeschurkt. "Ik beschouw het als mijn taak om het werk van de business mogelijk te maken. Het gaat erom dat je de business steunt en ertoe bijdraagt dat de doelstellingen van de onderneming worden bereikt onder de voorwaarden waar de hele board het over eens is. Dat geldt niet alleen voor mij in mijn hoedanigheid van CFO; ik streef er ook naar de business te ondersteunen wanneer ik als chief risk officer optreed, een functie die ik ook bekleed. Overigens zal na mijn pensionering over ruim een jaar de functie van CRO worden afgescheiden. Veel CFO's doen ook risk, maar hier in een financiële onderneming zijn dat eigenlijk twee taken. Ik ben er langzaam ingegroeid, maar het wordt te veel, de scope wordt te groot." Want in de laatste twee, drie jaar is de pendule die een slingerbeweging had gemaakt van control naar business weer een eind de andere kant op gegaan. In de afgelopen decennia was de control-functie natuurlijk al uitgedijd en zag de traditionele boekhouder hoe er tussen hem en de kassier controleafdelingen verrezen zoals de corporate-control- en de finance-afdeling, naast de meer op de business gerichte eenheden zoals de market-riskunit. Maar daarbij ging het vooral om controlafdelingen die de commerciële en financiële risico's in kaart moesten brengen, risico's van het aloude type 1 of type 2 uit de statistiek. Recentelijk is daar de control bij gekomen die samenhangt met de toegenomen druk van wet- en regelgeving - de 'regelzucht die de levenslucht beperkt'. "Er komt tegenwoordig een overload aan control op de CFO af. Van de code-Tabaksblat en de Sarbanes-Oxley Act moet je een 'in control'-statement afleggen, en zo heeft elk zichzelf respecterend land wel een corporate-governancecode of wet. En daar krijg je de regels van de toezichthoudende organen nog eens bij. De AFM's van deze wereld: nieuwe regelgevende instellingen die allemaal willen dat je 'compliant' bent. En allemaal hebben ze hun eigen regels, en alles moet gedocumenteerd worden en je moet overal een 'policy' voor hebben." Dubbele balans Hoe zwaar de taak van CFO annex CRO in de praktijk is, blijkt wel uit de vele verantwoordelijkheden die op de schouders van Maas rusten. "Als CFO ben je verantwoordelijk voor de hele rapportage, zowel de extern gerichte financial accounting als de intern gerichte managementaccounting. Wat de externe rapportage betreft: ING is een bank en een verzekeraar, dus eigenlijk heb ik meerdere balansen: ik heb een bankbalans en helemaal daarvan gescheiden de verzekeringsbalans en dan natuurlijk de geconsolideerde balans van ING Groep. Hier komt bij dat wij zowel aan de actiefzijde als aan de passiefzijde klanten op de balans hebben: waar bij de meeste bedrijven hooguit wat uitstaande vorderingen staan, hebben wij te maken met grote leningen, met lopende polissen, met claims van verzekerden, met spaargelden. Dat maakt die balansen bijzonder complex, zeker met een balanstotaal van 1.135 miljard euro. En zo worden ook de managementaccounting en de financial accounting vrij gecompliceerd, en daarmee ook het leven van de CFO." "Het beroep van CFO is de laatste jaren ook complexer geworden doordat stakeholders - mede door de aangescherpte wet- en regelgeving - veel meer eisen dan vroeger. Om maar eens een stakeholder te noemen: mijn audit committee. Zo'n vijf jaar terug had ik twee bijeenkomsten met het audit committee per jaar; nu zijn dat er zes of zeven. En waarom zo veel? Je hebt er vier voor elke kwartaalrapportage - vroeger rapporteerden we ook vier keer per jaar, maar was er geen speciale bijeenkomst nodig van het audit committee buiten de halfjaar- en de jaarcijfers. Dan zijn er nog twee bijeenkomsten per jaar nodig om onze rapportage volgens US GAAP te bespreken. Het duurt een week of twee voordat we die kunnen afleiden uit onze IFRS-cijfers, dus daar moeten aparte bijeenkomsten voor worden belegd. Tot slot is er nog een bijeenkomst waarin we het financiële beleid bespreken met het audit committee. En dan is er nog niets uitzonderlijks gebeurd. Als dat wel het geval is, komt het audit committee gerust nog een keer bijeen." "Dan zijn er natuurlijk de roadshows. Ik doe de investor relations samen met de CEO, maar ik steek er de meeste tijd in. En het kost steeds meer tijd. Ging ik vroeger helemaal niet naar Azië, nu ben ik daar zeker een keer per jaar te vinden, en ging ik vroeger maar een keer per jaar naar de Oostkust van de VS, nu is dat zeker twee keer. Ik neem deel aan veel investor-relationsconferences van de grote investment banks. Er komen steeds meer one-on-one's, je moet de sell-side bedienen, je moet de buy-side bedienen, je moet de investors bedienen. En niet alleen de CFO-kant wordt drukker, voor de riskkant geldt precies hetzelfde. Had je vroeger eigenlijk alleen twee keer in de week je kredietvergaderingen, nu vergaderen we ook regelmatig over het marktrisico, operational risk, insurance risk - aan de bankkant én in toenemende mate aan de verzekeringskant. Dan moet ik alle risico's nog op groepsniveau aggregeren en onder één noemer brengen, zodat we aan de aandeelhouders en andere belanghebbenden kunnen uitleggen wat het risicoprofiel van ING Groep is." 'Killing' De belangrijkste wetten en regels waar ING mee te maken heeft, zijn IFRS, Bazel II en de code-Tabaksblat. IFRS beschouwt Maas als een duidelijke 'verslechtering'. Zijn voornaamste bezwaar tegen de nieuwe rapportage-regels is dat verzekeraars verplicht zijn hun schulden nominaal te waarderen en hun bezittingen volgens marktwaarde. "Die asymmetrie tussen je asset- en liabilitykant is natuurlijk 'killing'. IFRS is een ernstige verslechtering ten opzichte van wat we ooit gehad hebben op dit punt. De verzekeraars onderling zijn er niet helemaal uit wat ze zouden willen. Sommigen willen dat je bij nominaal-nominaal blijft. Begrijpelijk, want dat was zo slecht nog niet. Maar die weg is naar mijn stellige oordeel afgesloten, omdat onder IFRS in de meeste sectoren al geheel in mark-to-market-waarde moet worden gerapporteerd. Waarom zou er dan op termijn een uitzondering worden gemaakt voor verzekeraars? Het zal er dus wel van komen dat wij alle balansposten op marktwaarde moeten gaan waarderen. Dat is in zoverre erg, dat je dan afscheid moet nemen van de langetermijnhorizon die een verzekeringsmaatschappij heeft, zeker bij levensverzekeringsmaatschappijen ondergraaft het waarderen op marktwaarde die langetermijnhorizon." "Aan de andere kant wil je vanuit het oogpunt van riskmanagement weten wat je marktwaarde is. Een bank gaat het er meestal om hoeveel risico's er worden gelopen op bijvoorbeeld de kredietportefeuille en of daar voldoende kapitaal tegenover staat. Een verzekeraar kijkt eerder naar de liability-kant: hoeveel kapitaal heb ik onder IFRS nodig om aan mijn verzekeringstechnische verplichtingen te voldoen - je regulatory capital, zoals dat heet. De motieven om tot een bepaalde kapitaalallocatie te komen zijn dus bij een bank en een verzekeraar doorgaans volstrekt verschillend. Maar wij gebruiken binnen ING een sys-teem van economic capital, waardoor het regulatory capital voor onszelf niet zo belangrijk meer is. Als bankverzekeraar wil je nu eenmaal je gehele kapitaal zo goed mogelijk aanwenden. Wij kijken nu bij zowel de bank- als de verzekeringstak naar een naar risico gewogen kapitaal. We kunnen dus vergelijken: hoe goed renderen mijn verzekeringsproducten en hoe goed renderen mijn bankproducten gegeven de risico's die ik daarop loop. We hoeven alleen te zorgen dat het economisch kapitaal iets kleiner is dan het feitelijk aanwezige kapitaal. Als je meer hebt, neem je eigenlijk te veel risico met het kapitaal dat je hebt. Als je te weinig hebt, ben je inefficiënt bezig. Dit systeem valt of staat met een waardering van je bezittingen en verplichtingen op marktwaarde. Met andere woorden, anders dan sommige verzekeraars kunnen wij goed leven met het waarderen van bezittingen en schulden op marktwaarde. Het belangrijkste is dat er zo snel mogelijk één methodologie komt." Met Tabaksblat heeft Maas weinig moeite. ING is er wel eens op aangevallen dat het geen 'in control'-statement afgeeft, maar dat is omdat het bedrijf dit al doet onder Sarbanes-Oxley. "Ik ben in control conform SOX, maar ik zeg het in het Engels." Daarnaast zit ING met een mogelijk 'dubbele pettenprobleem', namelijk dat het moeilijk is om de rol van betrokken aandeelhouder uit te oefenen bij bedrijven die ook bankieren bij ING. Tabaksblat verlangt dat wel, maar: "Hoe moet ik me dat voorstellen? Ik kan bij een dreigend faillissement wel met mijn aandeelhouderspet op zeggen 'het management eruit', maar wat als ik ook nog kredietverstrekker ben of een pensioencontract heb van diezelfde onderneming? En wat moet ING als aandeelhouder doen als er een bod komt op die onderneming, terwijl ING ook adviseur is van degene die het bod doet?" Overigens treden dit soort belangenconflicten volgens Maas zelden op. "In 99 procent van de gevallen lopen de belangen parallel en is er feitelijk geen probleem. Maar het komt wel eens voor dat er een belangenconflict is. Wij kunnen dat uitdrukkelijk kenbaar maken, of zelfs besluiten onze invloed als aandeelhouder niet verder aan te wenden." Voorbeelden uit de praktijk wil Maas overigens niet geven. Hoge nood Bazel II, tot slot, vindt Maas een stap in de goede richting. Zo is hij er een voorstander van dat banken de ruimte krijgen om hun kapitaal sectorgewijs te spreiden vanuit het oogpunt van risicobeheersing: "Al kan ik me voorstellen dat bedrijven er niet gelukkig mee zijn wanneer wij een ongunstige 'rating' geven aangaande de risico's in hun sector". Ook het idee dat banken hun tarieven bij kredietverlening beter zullen gaan afstemmen op de risico's die ze lopen, spreekt Maas aan. "Bepaalde vormen van krediet zullen wat goedkoper worden en andere zullen duurder worden. Maar het totale kapitaal neemt niet toe of af. En de prijs van krediet gemiddeld dus ook niet. Wel komt er een betere verdeling. Namelijk dat voor meer risico de marge hoger wordt. Waarom zou iemand die een hoog risico loopt ook gesubsidieerd moeten worden door iemand die een lager risico loopt? Daar komt bij: wanneer je, zoals wij, streeft naar een optimale kapitaalallocatie, kun je het alleen maar toejuichen als er een prijs komt die in overeenstemming is met het risico dat je loopt als kapitaalverschaffer." Bazel II valt, evenals IFRS, in de ogen van Maas vooral te prijzen omdat het grotendeels uitgaat van het idee van een naar risico gewogen kapitaal. Maar er gelden bij banken helaas nog altijd andere toezichteisen dan bij verzekeraars. Zo kan het dat een bank die om risico's te beperken uitstaand kapitaal herverzekert (en dat is onder Bazel II een trend), daar van de toezichthouder geen toestemming voor krijgt. Terwijl de verzekeraar die het kapitaal wil overnemen, die risico's volgens de regels die voor banken gelden best mag dragen. "Alleen gelden voor verzeke-raars andere kapitaalvereisten dan voor banken. Hetgeen een optimale kapitaala-llocatie in de weg staat. Ik vind dat het ultieme doel van het toezicht moet zijn om het aanwezige kapitaal in overeenstemming te brengen met het echte economisch kapitaal. En dat kan alleen als de toezichthouder het economisch kapitaalmodel dat ik gebruik erkent. Zolang dat niet zo is, zal het regulatory capital onder Bazel II helaas afwijken van het economisch kapitaal. En dat is jammer." Maas is realist genoeg om te beseffen dat een dergelijke uniformiteit en harmonisatie in wet- en regelgeving lang op zich kan laten wachten, ondanks hoopgevende ontwikkelingen zoals van IFRS en Bazel II naar het denken in rekenmethoden die in het bedrijfsleven gemeengoed zijn. Maar de weg naar volledige convergentie is lang. Maas spreekt daarom de hoop uit op versimpeling van het toezicht. Voorzover de verschillende toezichthouders dat niet kunnen door de regels zelf simpeler te maken, kan dat wellicht door wederzijdse erkenning van het toezicht. "Voor de grote ondernemingen zoals wij zal zich een 'best-market-practice' ontwikkelen: wij zullen ons aanpassen aan wat de beste regels zijn. Er vindt dan vanzelf convergentie plaats - gestuurd door de markt in plaats van door eindeloos gepraat van toezichthouders. Of laat desnoods een kopgroepje elkaars regels erkennen." Snelheid is geboden, want de nood is hoog, volgens Maas. "De tijd en de kosten door de overregulering zijn tot daaraan toe. Het echte gevaar is dat je reputatieschade oploopt als je je niet aan de regels houdt. Alleen al een onderzoek van de AFM kan ertoe leiden dat de koers van een bedrijf keldert. En wij zijn extra kwetsbaar, want bedrijven in onze sector zijn nu eenmaal sterk gebaseerd op vertrouwen. Je geeft je geld aan ons in de terechte veronderstelling dat je het terugkrijgt als je erom komt vragen; je betaalt pensioenpremies en je vertrouwt erop dat je er ooit een pensioen voor terugkrijgt. Als voortdurend in de krant staat dat ING niet aan de regels voldoet, dan kan dat vertrouwen ernstig worden geschaad. En bij overregulering is dat gevaar heel groot, te meer daar de regels niet consistent zijn. Het wordt steeds moeilijker om al die regels op te volgen, de kans dat ik non-compliant ben, wordt steeds groter. Dit wordt trouwens ook erkend door toezichthouders, maar ze doen er nog niks aan."