Door de kredietcrisis staat het begrip governance volop in de belangstelling. De vraag blijft wat nu precies goed bestuur is, hoe je dat als bedrijf of organisatie inricht en hoe je de governancestructuur gericht houdt op het creëren van waarde voor je stakeholders en in het bijzonder je klanten. Volgens Steven van Agt, Martin Eleveld en Martijn Niekus, adviseurs bij PricewaterhouseCoopers, staat één ding voorop: governance moet je gewoon doen.

De discussie over de beloningsstructuur voor (top)managers staat weer op de voorpagina’s van kranten. Velen zien het beloningsbeleid bij banken en financiële instellingen als een van de belangrijkste oorzaken van de financiële crisis. Hoewel de ministers van Financiën van de G20-landen begin september probeerden tot besluiten te komen over een aanpak specifiek voor de financiële sector, lijkt een breed gedragen en internationaal geldende oplossing een utopie.

Tijdens de G20-top in het Amerikaanse Pittsburgh, eind september, moest daarover overeenstemming worden bereikt. Bij het schrijven van dit artikel was nog niet duidelijk of het zover is gekomen. In Nederland kondigde de Nederlandse Vereniging van Banken (NVB) al een conceptgedragscode voor banken aan. Hopelijk realiseren de opstellers van nieuwe regels zich dat bonussen die gekoppeld zijn aan specifieke doelstellingen (KPI’s) niet het meest efficiënte middel zijn om medewerkers bewust te maken van wat in een gegeven situatie het meest gewenste gedrag is en wat dat concreet voor hen betekent. Ook niet als je de uitkering van die bonussen over een langere periode uitsmeert.


GOVERNANCE, RISK EN COMPLIANCE

Het woord governance is afgeleid van het Griekse woord kuberná. Dat betekent sturen en werd in metaforische zin al door Plato gebruikt. Inmiddels betekent het vooral het definiëren van verantwoordelijkheden en processen die bijdragen aan het realiseren van bedrijfsdoelen en die zorgen voor een adequate reactie op interne en externe gebeurtenissen en compliancevereisten. Met andere woorden, zorgen dat je weet waar je als bedrijf naartoe wilt en dat je op de juiste manier reageert op onverwachte gebeurtenissen, binnen de kaders van de geldende afspraken en regels.

Met governance bepaal je derhalve de structuur en samenstelling van het schip dat je nodig hebt om effectief en efficiënt volgens de gekozen vaarroute je bestemming te bereiken. Risicomanagement en compliance zorgen ervoor dat je uit de buurt van de rotsen blijft, dat je bij een veranderende windrichting de koers tijdig aanpast en dat je je aan de langs de route geldende regels houdt. Er is echter meer nodig dan alleen structuur, een vooruitziende blik en regels. In de gebruikte metafoor van het schip: de cultuur aan boord moet ook passen bij de zee waarop en het klimaat waarin men vaart!

Wij zien in de praktijk dat er in de discussie over governance nog te weinig gestuurd wordt op gewenst gedrag. Daar is wel aanleiding toe, alleen al gezien de zich snel ontwikkelende regelgeving. Niet zozeer de expliciete regels en afspraken. Die zijn vaak opgenomen in wet- en regelgeving en branche- of bedrijfsspecifieke beleidsstukken en codes en geven duidelijke normen. Het gaat in deze tijd juist over het omgaan met de impliciete regels, die voortvloeien uit meer ‘open’ normen. Zoals de verwachtingen van klanten. Deze zijn moeilijker concreet te maken en toe te passen. Deze open normen hebben echter, als er niet aan wordt voldaan, wel grote gevolgen voor de integriteit en reputatie van de organisatie. Kijk naar het eerdergenoemde geval van de bonussen: allemaal binnen de kaders van wet- en regelgeving en het beloningsbeleid van de betreffende organisaties. Echter ver buiten de kaders van het begrip van de maatschappij in het algemeen en de verwachtingen van klanten in het bijzonder.


DE ROL VAN CULTUUR

Cultuur is een belangrijke factor bij governance, risk en compliance, en ook in het voorbeeld van de bonussen. Cultuur zegt alles over ‘hoe wij het hier samen zien, hoe wij samen zijn en hoe wij het samen doen’. Kortom, over de identiteit van een organisatie. Het bewustzijn zou je kunnen zeggen. En dat uit zich onder meer in gedrag. De gewenste cultuur wordt veelal beschreven met behulp van kernwaarden. De uitdaging is om die waarden te concretiseren naar gewenst gedrag. Gewenst gedrag stemt overeen met de kernwaarden, draagt bij aan het realiseren van strategische doelen en blijft binnen de vooraf bepaalde tolerantiegrenzen voor risico en non-compliance aan vooral de impliciete regels. Voor non-compliance aan expliciete regels bestaat natuurlijk geen tolerantiegrens…

Cultuur is naar onze mening een belangrijke bouwsteen die helpt de effectiviteit te verhogen van alle tijd, geld en moeite die aan governance, risk en compliance worden besteed. Dat is gemakkelijk gezegd. Sleutelen aan de cultuur is echter niet eenvoudig. Praten over cultuur is voor je het weet een geloofsdiscussie en daarom loopt men er misschien liever voor weg. Mogelijk is het een interessante gedachte om de verwachtingen en de belangen van klanten eens als uitgangspunt te nemen als de cultuur of het gewenste gedrag in een organisatie ter sprake komt. Welke verwachtingen schep je als organisatie met je positionering en je proposities bij klanten? Dat roept concrete vragen op over governance, risk en compliance.

Onze ervaring is dat er door klantverwachtingen als startpunt te nemen eerder en beter inzicht ontstaat in risico’s, inclusief het risico van non-compliance. Wellicht is het allerbelangrijkste wel dat er ook zicht ontstaat op kansen en wat je zou moeten doen om daar effectief op in te spelen. Recent onderzoek dat medewerkers van PricewaterhouseCoopers deden naar de effecten van beloningssystemen op (non-)compliant, ofwel ongewenst gedrag van medewerkers binnen de financiële sector onderstreept het bovenstaande nog op een andere manier. Het onderzoek leverde vier opvallende uitkomsten op.

1. Het type beloning dat medewerkers ontvangen, heeft invloed op de motivatie om compliant gedrag te tonen.

2. Medewerkers met een variabele beloning vertonen minder compliant gedrag dan medewerkers met een vaste beloning.

3. Medewerkers die vast worden beloond, hebben een hogere compliance awareness.

4. Medewerkers met een hogere compliance awareness hebben een grotere motivatie om compliant gedrag te vertonen.


Deze uitkomsten impliceren dat gedrag effectiever is te veranderen door de compliance awareness te verbeteren dan door te sleutelen aan het beloningsbeleid en de bonusregels. Met compliance awareness bedoelen we de mate waarin mensen op de hoogte zijn van het gewenste gedrag en in staat zijn dat in context te plaatsen en te begrijpen. De valkuil is om hier weer regels voor op te gaan stellen. Dit leidt naar onze mening tot meer werk dat nooit af is en dat het inzicht niet verbetert.

Aan de hand van principes en bijbehorende voorbeelden is beter uit te leggen wat gewenst gedrag is en hoe dit bijdraagt aan de waardebeleving en belangen van klanten en maatschappij. En hoe deze principes zich verhouden tot de identiteit, strategie, doelstellingen en structuur van de business. Het zoeken van deze dialoog over principes en klantbelangen levert resultaat op. Het maakt raakvlakken tussen functies zichtbaar en helpt kansen identificeren en prioriteren. Wat het vergt is een beetje visie, wat leiderschapskwaliteit en vooral een echte dialoog.


WAT MOET ER VERBETEREN?

Een effectieve ‘governanceomgeving’ vergt allereerst een goede tone at the top. Vanuit de raad van bestuur moeten eenduidige visies, strategieën en doelstellingen gegeven worden, vertaald naar principes met expliciete uitingen van gewenst gedrag. De praktijk geeft nog veel voorbeelden van ruim interpreteerbare doelstellingen en te eng gedefinieerde prestatieafspraken. Actief omgaan met cultuur, bijvoorbeeld door het formuleren en bespreken van principes aan de hand van voorbeelden, is in onze ogen nog geen gemeengoed.

Het lijkt erop dat we vluchten in aannamen – ‘de medewerkers weten dat wel’ – of vervallen in meningen – ‘dat moeten ze maar weten’. Dit geeft managers in de eerste lijn (de business) en in de tweede lijn de ruimte om onafhankelijk van elkaar en goedbedoeld aan de slag te gaan met allerlei eigen interpretaties en initiatieven. In de tweede lijn, de ondersteunende functies, waaronder wij hier ook de risico- en compliancefuncties scharen, kan men hier veel effect sorteren door een meer op samenwerking gerichte, coachende en faciliterende rol te spelen.

Dat wil niet zeggen dat kennis en ervaring over de inhoud van governance, risico en compliance losgelaten worden. Geenszins. Die elementen vormen alleen niet meer het eerste onderwerp op de agenda. En ook niet het doel van de bespreking. Het eerste onderwerp moet de business zijn teneinde de medewerkers concreet en doelmatig te ondersteunen met hun doel om klanten en andere stakeholders beter te helpen. In de wereld van governance, risico en compliance ligt de nadruk nu vaak nog op methoden en technieken en andere abstracte onderwerpen die de business niet aanspreken of niet eenvoudig te begrijpen en toe te passen zijn.

Dat is gezien de recente historie ook begrijpelijk. Mede ingegeven door de stringentere wet- en regelgeving heeft de tweede lijn zich de afgelopen tijd steeds meer ontwikkeld tot een toezichtorgaan dat zich op monitoring richt. Dat is in het kader van governance zoals wij het bedoelen niet de meest effectieve weg. In de tweede lijn zijn nu mensen nodig die in staat zijn de dialoog met de business te zoeken en te voeren. Die zich als een gelijkwaardige partner opstellen en die de benodigde expertise weten te mobiliseren om de juiste informatie boven water te krijgen en tot oplossingen te komen die waarde toevoegen in plaats van verminderen. En die voet bij stuk houden waar er grenzen bereikt zijn.

In veel bedrijven staat risico nog los van compliance en andere onderdelen van de tweede lijn, zoals legal en/of regulatory affairs. Deze afdelingen spreken veelal een eigen taal, die weer anders is dan het vocabulaire van de business. De business ziet de tweede lijn mede daardoor als een verzameling ivoren torens die vermeden moeten worden. Onze ervaring leert dat dit ook anders kan. Het levert nieuwe businessmogelijkheden op als de eerste en de tweede lijn vroegtijdig en regelmatig ontwikkelingen in de business bespreken. Bij een grote verzekeraar werden onlangs compliance- en risicomanagers en enkele senior vertegenwoordigers van de eerste lijn bij elkaar gezet om een aantal in ontwikkeling zijnde producten en proposities te bespreken, zodat die succesvol gelanceerd konden worden. Normaal gesproken niet de natuurlijke setting en niet de natuurlijke aanpak of timing. De verwachtingen bij beide groepen waren dan ook niet hoog.

De tweede lijn was specifiek voorbereid op een rol als partner voor de business en om te kijken en spreken vanuit klantbelangen en verwachtingen. Tot ieders verbazing leverde dit gezamenlijke inzichten en concrete oplossingen op die de betreffende businessmensen ‘nooit hadden verwacht’ en hen ertoe brachten ‘te zorgen dat risico en compliance voortaan veel eerder betrokken worden in het proces’. Hetgeen inmiddels ook gebeurt. Wat kun je hier als CFO nou concreet mee? Waar kunt u mee beginnen om te zorgen dat de effectiviteit van governance, risk en compliance verbetert?

Het antwoord is relatief eenvoudig: organiseer de dialoog en blijf vragen stellen over de mate waarin men aantoonbaar bijdraagt aan het belang van klanten en andere businessstakeholders. Faciliteer een discussie, eerst met de verschillende onderdelen van de tweede lijn, over de vraag waar men nu met elkaar voor staat, gegeven de identiteit van het bedrijf en de verwachtingen en belangen van klanten en andere stakeholders. Bespreek de ‘zachte’ controls, zoals compliance awareness, tone at the top en de attitude van medewerkers op het gebied van compliance.

En hoe vanuit de tweede lijn is te faciliteren dat deze ontwikkeld worden. Betrek hierbij ook vertegenwoordigers van de business om uit de eerste hand te vernemen wat zij nodig hebben om succesvol te zijn. Vraag alle betrokkenen wat zij precies doen en nodig hebben om bij te dragen aan verbetering. Dit geeft een scherp beeld van de sterke punten, de raakvlakken en de mogelijkheden. En ook van de minder sterke punten en de echte dilemma’s op de werkvloer, zodat concrete acties te definiëren zijn. Maak een duidelijke planning voor dergelijke sessies en zorg dat ze niet vrijblijvend zijn. Stel hierbij de belangen en verwachtingen van de klant voortdurend centraal. Het resultaat is dat zowel de eerste- als de tweedelijnsmanagers helder voor ogen hebben waar hun toegevoegde waarde voor de klant ligt en hoe ze die samen beter tastbaar kunnen maken, met betere business als resultaat.


Martin Niekus, Steven van Agt, Martin Eleveld De auteurs zijn allen adviseur op het gebied van Governance, Risk & Compliance bij PricewaterhouseCoopers in Amsterdam