Governance en risicomanagement: gedragskant onderbelicht

Heidema verwacht dat er de komende jaren steeds grotere maatschappelijke druk gaat ontstaan die organisaties dwingt de noodzakelijke gedragsveranderingen door te voeren. Bestuurders en financieel managers kunnen er niet omheen aan de slag te gaan met het afwegen van risico’s vanuit de stakeholderbelangen, en het inzichtelijk maken van en sturen op gedrag in hun organisaties.

Compliance en governance wordt nog vaak gepositioneerd als het voldoen aan wet- en regelgeving, maar volgens Simone Heidema (oprichter en managing partner CPI Governance) is er nog een andere zeer belangrijke kant: gedrag.

‘Gedragen de bestuurders en medewerkers in een onderneming zich naar de maatschappelijke verwachtingen?’, begint de deskundige op governance gebied. ‘Dat is een nog onderbelicht aspect van governance en risicomanagement. In bepaalde sectoren hebben zich gebeurtenissen voorgedaan die het maatschappelijke vertrouwen hebben geschaad. De financiële sector is een bekend voorbeeld, maar ook in bijvoorbeeld de bouwsector heeft het vertrouwen een flinke deuk opgelopen. Gedragingen die het vertrouwen schaden, resulteren vaak in meer wet- en regelgeving. Dat is de harde kant van governance en risicomanagement. Voor de zachte kant is nog altijd minder aandacht.’

Governance
Simone Heidema verrichte met haar organisatie onlangs een onderzoek naar risicobereidheid in de financiële sector. Ook hieruit kwam naar voren dat de gedragskant nog in de kinderschoenen staat. Heidema: ‘Men is geneigd om naar aanleiding van wet- en regelgeving interne procedures in te voeren en het daarbij te laten. Sterker nog, door zich puur te richten op het afvinken van regels schuiven bestuurders hun verantwoordelijkheid af en ontstaat er een schijnzekerheid. Er wordt aan de regels voldaan, maar het gedrag in hun organisatie is niet veranderd. Iedere onderneming heeft een maatschappelijke verantwoordelijkheid. Een vertaling van harde regels naar interne procedures volstaat niet om daaraan te voldoen. De afgelopen jaren zijn er op corporate governance vlak – mede door de Code Tabaksblat – de nodige verbeterstappen gezet, maar er blijft nog veel te winnen.’ 

Heidema verwacht dat er op termijn meer maatschappelijke druk zal ontstaan die noodzakelijke gedragsveranderingen binnen organisaties zal afdwingen. ‘Op hele korte termijn zal dit niet zijn; ik denk dan eerder aan vijf tot tien jaar in de toekomst. Maatschappelijke druk is echter wel noodzakelijk om een échte gedragsverandering te krijgen.’

Lastig bij goede governance is het vraagstuk wie de norm voor gedrag bepaalt en hoe deze bepaald kan worden. Wat voor de ene persoon acceptabel gedrag is, kan een ander volstrekt onacceptabel vinden. Zo komt men al snel in grijs gebied terecht. Daarom is het volgens Heidema belangrijk om naar het belang van de verschillende stakeholders van een organisatie te kijken.

####

‘Als een bank hele hoge tarieven aan een klant doorberekent zonder daar transparant over te zijn is dat wellicht in het kortetermijnbelang van de aandeelhouders. Als een bestuurder van deze bank vindt dat zijn aandeelhouders de belangrijkste stakeholders zijn, dan zou hij dit prima voor zichzelf kunnen verantwoorden. De vraag is of de maatschappij er ook zo over denkt. In Nederland werken we met ons corporate governance model al vanuit die stakeholdersgedachte. De vraag voor bedrijven is dus; wie zijn je (belangrijkste) stakeholders en voldoe je aan hun belangen?’ 

Gedragsverandering
De financiële sector is het bewijs dat gedrag een onderbelicht aspect van governance is. Heidema: ‘Er zijn toch de nodige issues geweest in die sector, zou je zeggen. Als we kijken naar hoe het er nu voorstaat, is er niet heel veel veranderd. Er is duidelijk niet genoeg geleerd van het verleden. Dat is mijn mening en ik denk dat veel mensen die delen. Er is gewoon veel meer voor nodig. En voor dat ‘meer’ moet maatschappelijke druk gaan zorgen.’

Toch kunnen ook bestuurders en toezichthouders nog meer doen dan ze nu doen, vindt Heidema. ‘Er is bijvoorbeeld nog onvoldoende diversiteit in raden van bestuur terwijl uit onderzoek is gebleken dat dit ook zou kunnen bijdragen. De toezichthouders moeten zich daarom meer richten op cultuurs- en gedragverbetering, en niet op nog meer regels. Ook commissarissen en externe toezichthouders zouden beter kunnen samenwerken. Dat is een heel duidelijk verbeterpunt. Die hebben nu nog onvoldoende communicatie.’  

Er zijn wel de nodige goede initiatieven genomen in de bankensector op het gebied van zelfregulering. Zo is bijvoorbeeld de Code Banken ingevoerd. Volgens Heidema doen deze initiatieven niet onder voor het alternatief, namelijk meer wetten en regelgeving. ‘Het is goed dat de sector zelf de handschoen oppakt en kijkt naar de veranderingen die nodig zijn. Aan de andere kant zijn er nog veel banken die zichtbaar of minder zichtbaar tegenstribbelen over de hoeveelheid kapitaal die ze aan moeten houden (Basel III). Bepaalde risico’s zijn echter gewoon niet in te schatten, laat staan dat deze ‘onzekerheden’ allemaal in modellen te vatten zijn. De enige oplossing is vet op de botten houden, of zorgen dat je dit snel kunt aanvullen. Je kunt daar niet de belastingbetaler de dupe van laten worden.’

Risk Management
Volgens Heidema is binnen het risicomanagement van bedrijven – net als binnen de governance – nog onvoldoende aandacht voor gedrag. ‘De vraag die organisaties zich moeten stellen is: Welke risico’s kunnen wij het ons veroorloven te nemen voor welke van onze stakeholders? Zo kan het voor een pensioenbestuur heel goed zijn om risicovol te beleggen, want zo kunnen ze een hoger rendement halen. Maar stel dat er een fonds is met uitsluitend senior deelnemers, dan kan men de sterk negatieve dalingen in de beleggingsportefeuille niet permitteren. In dit voorbeeld heeft het fonds dan simpelweg de niet meer de tijd om het ‘goed’ te maken voordat ze tot uitkering over moeten gaan.’ 

Risk managers
Toen de code Tabaksblat werd ingevoerd in 2004 hebben veel organisaties een risk manager aangesteld. Het gevaar hiervan is volgens Heidema dat er met zo’n aanstelling een aparte kolom ontstaat voor risico die met de bestaande bedrijfsvoering niets te maken heeft. Heidema: ‘Links heb je dan de Raad van Bestuur die de strategische beslissing neemt om ergens een investering te doen, en rechts heb je een kolom die de risico’s in kaart brengt. Met andere woorden; de integratie met de normale bedrijfsvoering is bij risicomanagement nog zeker niet volwassen. Ook wordt er meer aandacht besteed aan risk control (achteraf) dan aan risk management of risk strategy.’

Een benoeming van een risk- of compliance officer kan wel heel faciliterend werken, vindt Heidema, maar het moet wel heel duidelijk gemaakt worden wat de zogenaamde Risk Governance is. ‘Het moet helder zijn wat ieders verantwoordelijkheid is en het moet niet zo zijn dat de andere bestuurders denken; ‘ah, dat is de risk officer, kan die mooi de verantwoordelijkheid voor risk op zich nemen.’ Risicomanagement is een collectieve verantwoordelijkheid van het bestuur.’

####

De rol van finance
Hoe kunnen bestuurders hun verantwoordelijkheid voor risk management invullen? ‘De collectieve verantwoordelijkheid voor risk moet door de Raad van Bestuur worden doorvertaald naar divisiemanagers, operationeel directeuren en zo verder’, legt Heidema uit. ‘Deze moeten niet alleen op rendement worden afgerekend, maar ook op de juiste risicoafwegingen. Als je ze alleen afrekent op hoeveel winst of omzet ze behalen, weet je in ieder geval zeker dat ze meer – en mogelijk onverantwoordelijke – risico’s nemen.’  

Controllers kunnen ook hun steentje bijdragen aan risk management, bijvoorbeeld via de stuurinformatie. ‘Het is aan de financiële functie om vragen rond risicoafwegingen aan de orde te stellen. Wat is het risicoprofiel dat aan een bepaalde beslissing hangt? Deze afwegingen kunnen worden meegenomen in de besluitvorming. Daar hoeven ze geen hele ingewikkelde systemen voor op te tuigen; neem de risicoafwegingen gewoon mee op een besluitvormings A4. Bij een investeringsvoorstel bijvoorbeeld, kan de financiële man of vrouw simpelweg een paragraaf met de risicoafwegingen opnemen. Dat soort afwegingen moeten zij proactief in de bestuur- en besluitvormingsinformatie opnemen.’  

Ook aan de zachte kant van risk management kan de Financial een bijdrage leveren. Bijvoorbeeld door samen met HR naar het benoemingsbeleid te kijken. ‘Kijk naar de gedragskant van individuele mensen en teams. Mensen zitten verschillend in elkaar als het aankomt op het nemen van risico’s. Het is nuttig om dat inzichtelijk te maken en er een discussie over te voeren. De financiële man of vrouw kan deze handschoen prima oppakken. Er wordt nu nog meer gesproken over de harde risico’s.’

Opportunities
Tot slot: Een goede solide risicomanagementstructuur kan bijdragen aan een betere besturing en resultaten. Hiervoor is het belangrijk dat bedrijven risicomanagement betrekken in al hun afwegingen. Heidema benadrukt wel het verschil tussen het afwegen en het vermijden van risico’s.

‘Bedrijven moeten niet risicomijdend gaan worden. Het nemen van risico’s levert vaak wel degelijk veel op, maar ook de potentiële impact van risico’s moet overwogen worden. Bij de banken heeft de belastingbetaler het opgevangen, anders waren nog meer banken omgevallen. Aangezien de impact niet zelf gevoeld werd, werd te makkelijk over bepaalde risico’s heengestapt. De ‘backing’ van de belastingbetaler creëert dus een moral hazard issue.’ 

De upside van risk is opportunity. Daarom vindt Heidema het jammer dat het risk management heet. ‘Een veel betere naam zou risk en opportunity management zijn. Bestuurders kijken namelijk net zo hard naar de opportunity kant als de risk kant. Risk management is dus eigenlijk een ongelukkig gekozen naam die de lading niet dekt. Mensen zouden zich liever bezig houden met risk en opportunity management. Dat klinkt veel positiever.’

Simone Heidema
Simone Heidema is oprichter en Managing Partner van CPI Governance. Tevens is zij voorzitter van het Corporate Platform for Good Governance (CPG²) waarin 13 Risk Managers en Compliance Officers van beursgenoteerde (AEX en AMX) bedrijven participeren. Heidema is daarnaast lid van de Nivra Adviesgroep Corporate Governance en als (gast)docent Risk Management voor postdoctorale studenten RC (Register Controller) en voor Executive Risk Management seminars verbonden aan de Vrije Universiteit Amsterdam. Ze spreekt regelmatig op seminars op het gebied van governance en risicomanagement en heeft vele publicaties op dit vakgebied op haar naam staan.

Lees meer over Governance, Risk & Compliance