Niet aflatende stroom aan regels: Het kennen en onderkennen van risico’s

Het is typerend: had eerder Geert Ewalts van verzekeraar Loyalis nog alleen control & financiële administratie achter zijn naam staan, tegenwoordig heet zijn beroep control en risk manager. ‘En in de toekomst verwacht ik dat daar compliance nog achter komt te staan.’

Logisch, aldus de manager, want in plaats van het rapporteren is het beheersen van risico’s en vooruit kijken belangrijker geworden. ‘Begrijp me goed, de verslaglegging is nog steeds de basis, maar we schuiven wel meer op naar het herkennen en beheersen van risico’s.’

Ewalts zag zijn controlafdeling in de afgelopen vijf jaar vermeerderen met tweeëneenhalf fte tot zeven fte, mede als gevolg van risk management en compliance. Lag in financiële opleidingen acht jaar geleden nog de nadruk op financial accounting, tegenwoordig maakt risk management en compliance een integraal onderdeel van het onderwijs uit. Daarnaast hebben met name grote ondernemingen een aparte compliance officer in dienst of is het onderwerp ‘geparkeerd’ bij de controlafdeling.

‘Daar waar het hoort’, aldus Ewalts. ‘Control moet in ieder geval betrokken zijn bij compliance. Want in control zijn, betekent eigenlijk het kennen en onderkennen van de risico’s.’

Fasen
Bij het introduceren van risk management doorliep Ewalts een aantal fasen. Hij begon bij het in kaart brengen van de risico’s om vervolgens hiaten op te vullen. Dat gebeurde eerst – logischerwijs – bij de verzekeringstechnische risico’s.

Welke risico’s en klanten accepteert Loyalis en welke niet? Nu komen, ook in lijn met IFRS en het Financieel Toetsingskader, financiële risico’s aan bod. Daarin antwoorden op vragen als: wat staat er voor een dekking tegenover de verplichtingen die de verzekeraar aangaat? Wat is het marktrisico op de aandelen en het kredietrisico op vastrentende waarden? Maar ook: welke invloed heeft een rentedaling of -stijging op de beleggingen en de solvabiliteit in relatie tot de verplichtingen?

Na deze fasen, is Loyalis nu bezig met de operationele risico’s. Dat betekent processen omschrijven en precies aangeven waar verantwoordelijkheden in de organisatie liggen. Dat is een fikse klus, maar wel één die ervoor zorgt dat risico’s in de organisatie onderkend worden. Om diezelfde reden ging vastgoedonderneming Hanzevast voor een ISO-certificering.

‘Daarmee weten we dat onze organisatie de beheersprocessen op orde heeft. Ze voldoen aan een kwaliteitsstandaard’, aldus CFO Ronald van den Berg. ‘Daarnaast krijgen we op deze manier een spiegel voorgehouden. Risk management is zo meer dan alleen voldoen aan wet- en regelgeving.’

Maak van de nood een deugd. Dat is ook wat Hans Viskil, als partner bij accountantsorganisatie Mazars verantwoordelijk voor de praktijk voor corporate ondernemingen, als advies geeft. ‘Het heeft geen zin om je te verzetten tegen wet- en regelgeving of er over te mokken. Zet de knop om en kijk of je de gegevens die je toch al in het kader van compliance verzamelt, ook kunt gebruiken om de koers van het bedrijf uit te zetten en aan prestatiemeting te doen.

Vroeger werd de gedachtegang van een beslissing die in de hoofden van de directie zat, niet vastgelegd op papier om er bijvoorbeeld vervolgens aandeelhouders mee te informeren. Als directie kun je dat als beklemmend ervaren, maar je kunt het ook zien als een instrument. Je bouwt historie op, waardoor je bij een volgende keer kunt terugkijken naar de beslissing die je in het verleden hebt genomen en hoe deze is uitgepakt.

Risicomanagement heeft zo zijn voordelen. Je moet je wel afvragen of je alle details van een overweging naar buiten toe wilt communiceren. Voordat je het weet kom je terecht in discussies met je aandeelhouders die niets van doen hebben met de grote lijnen. Dat kan niet de bedoeling zijn. Weeg daarom af wat er naar buiten toe gecommuniceerd wordt.’

Tijdsgeest
Volgens Hans van Barneveld, directeur Corporate Control & Finance bij ING Group, moeten we wet- en regelgeving zien in de tijdsgeest. ‘IFRS, Sarbanes-Oxley en Basel II komen niet uit de lucht vallen. Het is regelgeving ontstaan uit situaties zoals bij Enron. Deze zijn niet te tolereren. Wellicht dat men iets doorschiet, maar dat er iets moest gebeuren, is niet verwonderlijk.’

ING Group heeft het volgen en implementeren van wet- en regelgeving ingebed in de organisatie. ‘Voor Corporate Control & Finance is dat bijvoorbeeld de afdeling Policies & Procedures. Bij zware wijzigingen is ieder traject verschillend, maar vaak vormen we wel projectteams vanuit de betrokken disciplines. Dergelijke trajecten lijken nog het meest op een verbouwing terwijl de winkel gewoon doorloopt.

Vaak is bij ons de finance-afdeling betrokken, omdat de gevolgen voor de financiële positie van ING duidelijk moeten zijn.’ Soms huurt ING Group specialisten in om de kennis in huis te halen. Bij zeer complexe wetgeving zoals onderdelen van Sarbanes-Oxley en IFRS vraagt ING een second opinion van een derde partij. Hoe kan ING de wetgeving het beste interpreteren?

Verder probeert ING Group via lobby zijn invloed uit te oefenen bij de totstandkoming. Zo is de bankverzekeraar vertegenwoordigd in een overleg van CFO’s Europese Verzekeringsmaatschappijen. Deze hebben regelmatig overleg met de International Accounting Standards Board onder andere over het deel van IFRS dat gaat over verzekeringsverplichtingen.

11 tips voor compliance
1 Volg wet- en regelgeving via zoveel mogelijk kanalen
2 Wend uw invloed aan: lobby bij wetgevende instanties of via brancheverenigingen
3 Maak intern duidelijk wat de gevolgen zijn
4 Betrek de diverse disciplines in een organisatie
5 Zet projectteams in vanuit de betrokken disciplines
6 Zorg voor commitment aan de top voor het implementatieproject
7 Zorg voor duidelijke verantwoordelijkheden bij de implementatie
8 Bouw checks and balances in
9 Maak van de nood een deugd voor managementinformatie
10 Kweek begrip tussen samenwerkende afdelingen
11 Weeg af wat naar buiten toe gecommuniceerd kan worden

De vier deskundigen beamen dat er een spanningsveld  is tussen in control zijn en het ondernemerschap van de business. Van Barneveld: ‘Het mag niet zo zijn dat risk management en compliance verstikkend werken en er dus geen zaken worden gedaan. Aan de andere hand moeten we als organisatie net als andere ondernemingen gewoon voldoen aan wet- en regelgeving. Daar is geen ontkomen aan en dat willen we ook niet.’

Reputatieschade speelt in die overweging ook een rol. Wie door een toezichthouder te kijk wordt gezet, kan een miljoenenschade oplopen doordat de instantie als onbetrouwbaar te boek staat. ‘Een goede relatie met de toezichthouder is essentieel’, aldus Ewalts.

‘Berichtgeving in kranten over andere financiële instellingen die niet in compliance zijn, helpen om intern de bewustwording over dit onderwerp te vergroten. Het wordt in één klap duidelijk waar het om gaat.’ En dat kan samenwerking tussen verschillende disciplines makkelijker maken. ‘Het blijft mensenwerk’, beschouwt Van Barneveld.

‘In ons geval: hoe krijgen we de afdelingen risk management en finance aan één tafel om ze beter op elkaar af te stemmen? Hoe delen ze inzichten en informatie? En hoe leren ze en maken ze gebruik van elkaars systemen? Duidelijk maken dat daar een wederzijdse afhankelijkheid in zit is essentieel.’

Tegenwicht
Bouw in de afhankelijkheid checks and balances, zegt Van den Berg. ‘Die rol wordt bij ons vervuld door de Raad van Advies. A la de Raad van Commissarissen is dat een tegenwicht voor onze Raad van Bestuur.’ Ook Viskil ziet een versterkte rol van de RvC zitten.

‘Was het vroeger een old boys  network waarin gezellig sigaar werd gerookt, nu moet – onder druk van de huidige wet- en regelgeving – de commissaris wel zijn meerwaarde laten zien. Dat doet hij onder meer door tegen een beslissing van een directie in te durven gaan.’ De nieuwe verhoudingen vergen gewenning van het management. Die moet open staan voor kritiek. En dat naast de noodzaak om beslissingen meer en meer vast te leggen.

Viskil: ‘Er komen nieuwe vragen op managementteams af. Denk niet dat die vragen beperkt blijven tot beursgenoteerde ondernemingen, ook middelgrote en kleine bedrijven moeten eraan geloven. Zo wordt al hardop nagedacht over een IFRS-variant voor het MKB.

De trend is duidelijk: aandeelhouders en andere stakeholders vragen een vorm van verantwoording voor de gedragingen van de ondernemingen. Dat dwingt ondernemingen om beter over beslissingen na te denken en deze vast te leggen. Daar is niet aan te ontkomen. De maatschappij eist die transparantie.’

Angst om uit te glijden
Het woud aan wet- en regelgeving leidt ertoe dat sommige instanties een grotere angst hebben om ‘uit te glijden.’ Dat blijkt uit onderzoek van PricewaterhouseCoopers en het Centre for the Study of Financial Innovation, een onafhankelijke denktank. Daarvoor zijn 468 bankiers en toezichthouders in zestig landen geïnterviewd.

Uit het onderzoek blijkt eveneens dat de door de overheid en regulerende instanties ondernomen pogingen om de reguleringsdruk te verlichten tot nu toe weinig hebben opgeleverd. De ondervraagden vinden wel dat banken nu beter in staat zijn vermeende risico’s te ondervangen. Dit jaar is 64 procent van de deelnemers van mening dat instellingen redelijk goed voorbereid zijn op risico’s en hier beter mee om kunnen gaan.

Vorig jaar was dit nog 57 procent. Het vertrouwen is vooral hoog bij de bankiers (73 procent), maar ook bij de regelgevers (63 procent, vergeleken met 39 procent in 2005). Buitenstaanders zijn sceptischer: slechts 44 procent vindt dat banken goed voorbereid zijn.