Prof. dr. Kees Cools: “Risicomanagement is eerst naar gedrag, dan pas naar systemen kijken”

Kees Cools verzorgt eind september een college over risicomanagement. De naam van dit college is; ‘Risicomanagement is out of control’. Waarom is er voor deze titel gekozen? Cools legt uit; “De financiële sector is de strengst gereguleerde sector, met in Nederland twee toezichthouders: De Nederlandse Bank (DNB) en de Autoriteit Financiële Markten (AFM). Daarnaast bestaat er nog speciale regelgeving voor pensioenen en verzekeringen en is er het Basel II akkoord met daarin richtlijnen voor solvabiliteit en risk management. Er is geen sector die zo gereguleerd is en voorzien is van de meest geavanceerde risicosystemen als de financiële sector. Uitgerekend die sector is volledig onderuit gegaan op precies die punten. Vandaar de titel ‘out of control’. Daar waar de meeste controle plaatsvindt, gebeuren de grootste ongelukken.”

Volgens Cools is een groot probleem bij risicomanagement dat mensen vooral naar systemen kijken en veel minder naar gedrag. “Dat begint intern bij de Raad van Bestuur, waaronder ook de CFO valt. Bij de Raad van Commissarissen speelt dit helemaal en bij de toezichthouders nog veel meer. Men kijkt naar systemen voor risicomanagement, naar compliance, naar audit trails, controls, value at risk, enzovoorts. Men kijkt niet naar wat mensen doen. Men kijkt niet naar gedrag.”
Cools legt uit dat gedrag uit twee elementen bestaat: drijfveren en prikkels. “Wat zijn de drijfveren van de mensen die voor een bedrijf werken? Die zijn deels anders voor mensen die werkzaam zijn bij een bank dan de mensen van een energiebedrijf, onderwijsinstelling of private equity firma. Vervolgens kun je kijken naar de interne prikkels. Dat zijn vooral de belonings- en promotiesystemen van bedrijven, plus de ‘cultuur’.”

Drijfveren en prikkels
“Als mensen bepaalde doelstellingen realiseren worden zij vaak financieel beloond. Als je die prikkels goed begrijpt kun je de uitkomst meestal voorspellen, want vroeg of laat gaan mensen deze doelstellingen bereiken, al dan niet op de gewenste manier.” Kijkend naar het verdienmodel van banken de afgelopen jaren, identificeert Cools de volgende pijlers;
– Fiscale arbitrage: maximaal geld verdienen met belastingvriendelijke producten en fiscale constructies;
– Reguleringsarbitrage: proberen de regels op het gebied van solvabiliteit en liquiditeit te omzeilen;
– Intransparantie: geld verdienen door producten en diensten onbegrijpelijk en ondoorzichtig te maken.

“Met intransparantie is geld te verdienen en dat is ook gebeurd. En gestimuleerd door de beloningssystemen. Als de CFO of Raad van Bestuur en Raad van Commissarissen zich dat niet goed realiseert, dan kunnen ze driekwart van hun risicosystemen in de prullenbak gooien, want dan gaat het gewoon nooit lukken. Zolang het criminelen lukt om op een illegale manier hun geld te verdienen blijven ze dat ook zeker doen. Er moet veel meer naar drijfveren en prikkels gekeken worden.”
__________________________________________________________________
In control met Risicomanagement
Wat zijn de risico’s en de vaak desastreuze gevolgen van verkeerde inschattingen? Hoe signaleert u risicovolle projecten voordat het misgaat? Volg de masterclass In control met Risicomanagement en krijg inzichten om een robuust raamwerk te bouwen, flaters te voorkomen en risicomanagement te integreren in uw organisatie. Meld u direct aan.
__________________________________________________________________

Het zit ook in de cultuur, geeft Cools aan. Hoe kijkt hij aan tegen het veelgehoorde argument dat cultuur ongrijpbaar is? “Dat is volstrekt onjuist”, zegt Cools. “Klantentrends zijn ook ongrijpbaar, maar toch besteden bedrijven miljoenen om te kijken hoe klanten reageren op prijs, product, et cetera. Ook wordt er tegenwoordig veel geld besteed aan interne surveys zoals medewerkertevredenheid. Als je wilt kun je cultuur analyseren, en ook aanpassen. Maar dat kost tijd, geduld en energie. ”

Neurologische factoren
Naast het goed kijken naar prikkels en drijfveren spelen ook neurologische factoren een belangrijke rol in risicomanagement. Cools: “Onderzoek heeft aangetoond dat wat mensen zien – dus het beeld wat door de hersenen geproduceerd wordt – voor slechts 15 procent gebaseerd is op de stimuli die via de ogen binnenkomen. De overige 85 procent van wat we denken te zien komt van stimuli uit andere delen van de hersenen. Dat betekent dat 85 procent van wat iemand ziet wordt verzonnen op basis van twee factoren. Allereerst verwachtingen uit het verleden. Als iemand iets niet verwacht te zien, ziet hij dat ook vaak niet. Ten tweede wat iemand wil zien. Als iemand een doel wilt bereiken projecteert hij letterlijk een beeld dat bijdraagt aan het realiseren van dat doel.”

Verantwoordelijken voor risk management moeten dus ook de neurologische factoren goed in acht nemen, beargumenteert Cools. “Je moet beseffen dat dit ook voor jou zo werkt, dus je moet voldoende andere mensen en systemen mobiliseren die ervoor zorgen dat je meer ziet. Daarbij is het belangrijk om diversiteit en onafhankelijkheid te creëren. Dat kan bijvoorbeeld door er mensen van buitenaf of met andere achtergronden bij te halen.”

Falende risicosystemen
“Natuurlijk moet je risicosystemen hebben en weten wat je financiële posities zijn”, gaat Cools verder. “Value at Risk (de standaard risicomaatstaf binnen de financiële wereld), OK, maar dan bijvoorbeeld wel rekening houden met ‘dikke staarten’, zogenaamd uitzonderlijke situaties die veel vaker voorkomen dan in de meeste modellen wordt verondersteld. Vrijwel alle financiële risicosystemen zijn wat dat betreft ontoereikend gebleken. Dat is vooral in de financiële sector het geval geweest, maar ook bij bedrijven in andere sectoren kunnen dezelfde fenomenen zich voordoen.”

Cools vindt dat er ook meer naar covariaties moet worden gekeken. “Als een crisis ontstaat gaat het vaak op alle fronten mis, met klanten, met leveranciers, met de bank, enzovoorts. Alle risico’s die je afzonderlijk had bekeken blijken zich ineens allemaal tegelijkertijd te manifesteren. En dan stort het mechanisme van risico-diversificatie, waar veel risicosystemen op gebaseerd zijn, in. Omdat het zo’n kleine kans is dat het allemaal tegelijkertijd gebeurt zien de mensen het risico niet. Ze willen het niet zien. Het kan niet gebeuren, denken ze, en daarmee gaat het fout.”

Rollen en verantwoordelijkheden
“De CFO moet oppassen dat de verantwoordelijkheid niet op hem/haar wordt afgeschoven”, zegt Cools over de rolverdeling van het aandachtsgebied risicomanagement. ‘’De CFO houdt zich bezig met het systeem en de informatievoorziening, maar de lijnmensen zijn verantwoordelijk voor het identificeren van de financiële, operationele en strategische risico’s, en daarmee voor het eindresultaat. Je kunt niet verantwoordelijk zijn voor het resultaat als je niet ook verantwoordelijk bent voor het risico.”  

“Je kunt risicomanagement niet outsourcen”, gaat Cools verder. “Als een CFO of Chief Risk Officer uit de Raad van Bestuur mee kijkt is dat heel goed, maar het kan ook gevaarlijk zijn. Als deze persoon niet goed kijkt gaat het helemaal fout omdat anderen denken; dat is zijn/haar verantwoordelijkheid, daar hoef ik niet naar te kijken. Bovendien ontslaat het mensen niet van hun eigen verantwoordelijkheid voor risicomanagement. Een lijnmanager, tot op het niveau van de Raad van Bestuur, moet altijd begrijpen welke risico’s er verbonden zijn aan zijn/haar producten, activiteiten en/of diensten. Je kunt nooit zeggen: risicomanagement, daar hebben we iemand voor.”