Don’t Trust Trust Too Much

Begin 2008 ben ik serieus voornemens geweest een artikel van de grond te krijgen met als werktitel ‘Don’t Trust Trust Too Much’. Mijn artikel moest een spontane reactie zijn op de snel opkomende behoefte om ‘vertrouwen’ weer een meer prominente plaats te geven in het ‘compliancelandschap’.

Compliance, inmiddels bijna een containerbegrip, staat in relatie tot het naleven van wet- en regelgeving. Dit is een breed begrip: voorbeelden zijn financiële verantwoordingen, het naleven van telecomwetgeving en het opstellen van een fiscale structuur. Terug naar het ‘blauweogendenken’?

Ik was even bang dat er weer een nieuwe trend in de maak was. Een trend die wellicht een breuk moest forceren met die vorige ‘trend’, die in 2002 is ingezet na een aantal historische boekhoudschandalen. Vanaf 2002 staat het denken in risico’s, het implementeren van maatregelen van interne controle en de toetsing van de werking van al deze maatregelen centraal.

Niet dat dit de inmiddels roemruchte schandalen had voorkomen, maar dat is een andere discussie. Helder is wel dat dit denken de agenda’s van bijna alle beursgenoteerde en grotere organisaties wereldwijd heeft gedomineerd – SOX, J-Sox, Bazel II, Solvency etc.

HYPEGIAPHOBIA

Begin 2008 moest het anders. Het was genoeg geweest met de regeldrang, de focus op procedures, de interne controle over interne controle. Hier was plotsklaps het woord hypegiaphobia, een creatie van KPMG. Op de website is een nadere toelichting opgenomen. Het woord was mij volledig onbekend, maar hypegiaphobia is een verschijnsel dat in de huidige maatschappij wijdverbreid is: angst voor het nemen van eigen verantwoordelijkheid.

Dit heeft alles te maken met de wijze waarop in onze maatschappij risico’s worden beheerst. Hypegiaphobia komt neer op het opnieuw nemen van eigen verantwoordelijkheid, terug naar zelfcontrole, minder normkaders, minder rigide controle. Het zal niemand zijn ontgaan dat organisaties tegenwoordig ‘in control’ willen of moeten zijn over een veelheid aan risico’s, en om dit doel te bereiken zijn mensen noch middelen gespaard.

Dat sommige deskundigen van mening zijn dat menig ‘in control’ statement gebakken lucht is, negeren wij voor het gemak. Desalniettemin zijn de positieve effecten van ‘in control’ zijn een verduidelijking van taken en verantwoordelijkheden en een betere verantwoording. De ‘beweging’ achter hypegiaphobia stelt echter dat deze investeringen twee belangrijke vragen oproepen – vragen die het terugbewegen naar steunen op vertrouwen moeten legitimeren. De eerste vraag die KPMG stelt, is of de hoge investeringen in risicobeheersing wel doeltreffend zijn en daadwerkelijk een lager risicoprofiel opleveren.

De tweede vraag is of risicobeheersing haar doel niet voorbijschiet en te zeer tot ongewenste negatieve effecten leidt, zoals verminderde ondernemingszin, toenemende juridisering, een cultuur van angst en een potentiële aantasting van de concurrentiepositie. Organisaties verkeren volgens KPMG daarbij in een spagaat. De bedenkers achter de beweging hypegiaphobia plaatsten een oproep aan alle maatschappelijk betrokkenen ‘om gezamenlijk op zoek te gaan naar een nieuwe balans tussen regels en vertrouwen’.

TEGENGAS

De doelstelling van mijn artikel was tegengas geven, het opportunisme afzwakken. Ik begrijp het moment wel. De afgelopen vijf jaar heeft menige organisatie miljoenen euro’s geïnvesteerd in ‘control’ en honderden, enigszins verwaarloosde interne-controleraamwerken hebben hierdoor een tweede leven gekregen. Door talloze reorganisaties, mislukte integraties, zwak management en gebrek aan belangstelling voor interne controle waren deze controleraamwerken de afgelopen jaren zwaar in verval geraakt.

Begrijp mij niet verkeerd, ik ben geen voorstander van procedures over procedures, regels die regels regelen, maar eigenlijk niets regelen. Toch is mijn artikel is nooit van de grond gekomen. Het was ook niet meer nodig, met dank aan de banken. Het begon met een bank in Frankrijk. Gebrekkige interne controle resulteerde in een miljardenstrop.

Hierna kwam de kredietcrisis. Eerst voorzichtig, stilletjes in de VS, later in 2008 oorverdovend hard, overal. Volgens Cees Maas, oud-bestuurslid ING, was slechts ‘een handvol’ van de 65 grootste banken ter wereld op de hoogte van de enorme risico’s die ze liepen voordat de kredietcrisis uitbrak. Kort geleden publiceerde Deloitte een onderzoek.

De honderd grootste financiële instellingen hebben hun uitgaven voor het voldoen aan wet- en regelgeving de afgelopen drie jaar met meer dan 30 procent zien oplopen tot een geschatte 56 miljard dollar in 2007. Het betreffende kantoor stelt dat de kosten van toezicht nog verder zullen oplopen en voorspelt dat de uitgaven voor governance, risk and control voor de 100 grootste financiële instellingen ter wereld in 2010 tot wel 100 miljard dollar kunnen oplopen.

In deze schatting zijn de kosten van eventuele nieuwe regels naar aanleiding van de kredietcrisis nog niet meegenomen. Hypegiaphobia is even niet meer in beeld. Trust Trust is even niet opportuun. Keiharde controle staat weer in de schijnwerpers.

HET MOET SLIMMER

Is this the way forward? Ook niet. Veel interne-controleraamwerken, inclusief de procedures, de richtlijnen, vallen binnen de categorie ‘klassiek’. Er is optimalisatie mogelijk, een stapje terug, meer ruimte voor het gezond verstand, en dat vertrouwen een rol speelt is een feit. Leidend blijft in mijn optiek echter dat er controle moet worden uitgevoerd, en waar nodig zelfs scherper moet worden gecontroleerd.

Ik ben hierin gesteund door het boek The Speed of Trust. Vertrouwen creëren kost gemiddeld 10 jaar, vertrouwen verliezen duurt 10 seconden. Dat geldt in de financiële wereld, in de sport, in de logistiek en op veel meer terreinen. Na een dip in het vertrouwen moet control dit vertrouwen weer herstellen.

Het rollercoastereffect. Gaat het fout, dan terug naar controle. Daarom is mijn stelling: controle is de basis, maar het moet slimmer. Dat het slimmer kan, bewijzen de ontwikkelingen rond het hergebruik van data bij de verbetering van de kwaliteit van interne controle. Technologie moet beter worden ingezet om zo veel mogelijk handmatige acties overbodig te maken. Concepten als continuous control, real-time monitoring zullen de komende jaren meer aandacht moeten krijgen.

Deze technieken, ondersteund door datawarehousing en business-intelligencetechnologie, moeten het mogelijk maken om te sturen op uitzonderingen, risico’s te meten, opvallende transacties te analyseren. Deze technieken zijn veel geroemd, maar nog zeer weinig toegepast. Door de inzet van innovatieve interne-controlemiddelen in combinatie met vertrouwen wordt compliance op een voetstuk gezet. Ik heb er vertrouwen in. Het wordt leuker.

PIETER DE KOK RA is partner bij Coney