Hoe managen topbestuurders de risico’s in hun organisatie?

Succesvol risicomanagement begint met een cultuur waarin iedereen bewust anticipeert op risico's. In het boek ‘Als het erom gaat’ beschrijft de auteur Wimjan Bos welke keuzes bestuurders kunnen maken om een gezonde risicocultuur te creëren.

Governance is niet statisch, zo blijkt uit het boek. De rollen in een organisatie zijn aan verandering onderhevig. Bij een toename van extern toezicht trekt het interne toezicht zich terug. En ook bij intern toezicht zijn er verschillende smaken mogelijk. Wordt governance belegd bij een aparte afdeling risicomanagement of neemt het hele management verantwoordelijkheid voor risicobeheersing in een organisatie?

Voor het boek ‘Als het erom gaat’ interviewde auteur Wimjan Bos prominente bestuurders, politici en topambtenaren, waaronder oud-premier Jan Peter Balkenende. Op 1 juli gaf hij een masterclass over het boek aan het Genootschap voor Risicomanagement.

Balkenende
Voor Balkenende is de rol die ondernemingen in de samenleving hebben een kwestie die hem al zijn hele leven bezig houdt. ‘Ik heb nooit geloofd in het idee dat de overheid er is voor de maatschappelijke doelen en het bedrijfsleven alleen maar voor rendement en continuïteit. De vraag is: hoe ga je als onderneming met je verantwoordelijkheid om?’

De oud-premier stelt dat compliance nodig is, al is dat niet iets om je achter te verschuilen. ‘Ik vraag liever aandacht voor de dimensie van intrinsieke overtuigingen, met je verantwoordelijk voelen voor wat er in de maatschappij gebeurt.’

Bedrijfsschandalen
Balkenende sluit echter niet zijn ogen voor de werkelijkheid. ‘Bij bedrijfsschandalen wordt terecht de vraag gesteld: hoe heeft het zo ver kunnen komen? Want er waren immers toezichthouders’. Door die druk van buiten komt ook steeds meer nadruk op het beteugelen van risico’s en dus compliance, constateert hij.

‘Je kunt niet zonder regels. Een land of onderneming zonder rechtsstructuur, dat gaat fout. Je moet echter oppassen dat je gaat denken alles in regels te kunnen vangen.’ Dat was echter precies wat gebeurde tijdens de financiële crisis in 2008. Minister van Financiën Jan Kees de Jager had 150 wetsvoorstellen klaar liggen om de risico’s te beteugelen. ‘Maar dat heeft wel geleid tot relativering van het interne toezicht omdat de externe toezichthouder een dominantere rol ging spelen.’

Tegenmacht
Governance is dus geen in beton gegoten waarheid, het is aan verandering onderhevig. Als gezegd merkte Balkenende als minister-president dat na de financiële crisis de verantwoordelijkheid steeds meer buiten de organisatie kwam te liggen. ‘Daar moet je echt mee uitkijken. Op een gegeven moment schiet het door als de eigen verantwoordelijkheid wordt weggedrongen omdat steeds meer extern wordt bepaald. Je hebt countervailing power of wel tegenmacht nodig voor de balans.’

Onlogisch is dat echter niet. Toezichthouders leggen meer en meer regels op, constateert Jan Nooitgedagt, die als bestuurder aan het roer stond bij de Telegraaf Media Groep. ‘Het wordt steeds meer rule based. Ik vind dat een worsteling die bijna niet is vol te houden. De regelgeving is zó complex geworden en in zichzelf soms tegenstrijdig, terwijl de markt ons dwingt om efficiënt te handelen.’

Feedback
Maar goed, tegenmacht dus. Dat is beter dan dat het toezicht buiten de organisatie komt te liggen. Annette Mosman, sinds 2009 als CFRO en CEO in de verzekeringswereld actief, is daar ook voorstander van. ‘Je hebt het bijna nooit bij het rechte eind. Daarom gaat het ook om het organiseren van countervailing power. Als ik naar mijn teams kijk, zitten daar altijd bijzondere types in. Ik vind ook niets prettiger dan iemand naast me te hebben die totaal anders denkt.’

Sabijn Timmers werkt al sinds 30 jaar in de financiële sector en onderstreept dat ook. ‘Ik vraag mensen expliciet om feedback op wat ik doe. Die vorm van tegenspraak organiseer ik ook buiten de organisatie, in de vorm van een intervisieclub, een plek om dilemma’s te delen.’ Ook intern zorgt ze voor diversiteit. ‘Volgens mij is het essentieel om een paar mensen in het team te hebben waar het een beetje mee schuurt. Die mensen houden je scherp.’

Weerstand
Soms echter wordt tegenspraak tegenstand. Henny te Beest was als CFO actief bij de Amsterdam Trade Bank, een bank met veel Russische aandeelhouders. Te Beest stelde er een Chief Risk Officer aan. ‘Het ging schuren op compliance. We kregen andere klanten binnen, met een ander risicoprofiel. De afdeling compliance was daar in kwaliteit en kwantiteit niet op berekend.’

Wat te doen? Actief bemoeien met compliance of slechts vragen stellen. Te Beest koos voor het laatste. Dat riep bij die collega’s weerstand op. Het idee ontstond dat er sprake was van landjepik, een gevoel van: waar bemoei jij je mee? Zoiets heeft natuurlijk ook heel veel te maken met het onderlinge vertrouwen tussen bestuurders.’

Gezamenlijke goals
Risicomanager Petra van Hoeken onderschrijft dat. Als alles oké is, is alles oké, merkt zij op. ‘Maar when the going gets tough… Als je niet hebt geïnvesteerd in teambuilding en gezamenlijke goals, dan wordt het heel moeilijk.’ Erger nog: ‘En in crisis is het helemaal complex. Iedereen slaat om zich heen en legt het probleem bij een ander. Mensen die elkaar van alles verwijten, mensen die niet transparant zijn.’

Om riskmanagement sterker te embedden in een organisatie introduceerde Van Hoeken als CRO ook CRO’s voor de business, zodat risk overal aan tafel zat. Dat gaf haar meer kracht. ‘We zaten op een gegeven moment met tien of elf mensen in een executive comitte, dat was vrij fors. Dan heb je toch als CRO een beetje het gevoel dat het één tegen de rest is.’

De business-CRO’s gaven haar steun. ‘Met business-CRO’s had ik een klankbord voor mezelf en bovendien invloed en extra ogen en oren op de werkvloer. Zo had ik mijn risk-mensen vertegenwoordigd in de regio en de landenteams. Belangrijk, want waar tank je de risico’s binnen? Lokaal natuurlijk, daar gebeurt het.’

Meer verantwoordelijkheid
Zou het daarom niet beter zijn om de verantwoordelijkheid voor compliance niet bij een CRO of een groep riskmanagers neer te leggen, maar het te verdelen over alle managers? Internal auditor Thijs Smit zou in ieder geval willen dat de bestuurders meer verantwoordelijkheid dragen.

Hij heeft bij meerdere grote bedrijven als internal auditor kritiek geleverd op beleid dat in zijn ogen gevaarlijk was – en later ook zo bleek te zijn. De reactie? ‘Het begint met ongeloof en ontkenning. Ik heb nog nooit een bestuurder of commissaris meegemaakt die meteen zei: Thijs, je hebt helemaal gelijk. In tweede instantie ontstaat er irritatie, boosheid. Vervolgens, en dat is me in de meeste voorbeelden die ik noem overkomen, raakt de relatie met de leidinggevende, meestal de CEO, beschadigd.’

‘Waarom hebben we nog steeds incidenten?’, vraagt hij retorisch. ‘Omdat we verzuimd hebben te detecteren waar een verkeerde cultuur in de organisatie zit. Hoe het topmanagement zich gedraagt. Daarom geloof ik niet in al die regels. Ik vind dat als men kan bewijzen dat bestuurders willens en wetens uit de bocht zijn gevlogen, er serieuze consequenties moeten volgen.’ Een forse gevangenisstraf, bedoelt hij dan. ‘Dat werkt veel beter dan al die regels, want die hebben de afgelopen twintig jaar ook niet geholpen.’

Dagelijkse business
Zijn motto is daarom scherp blijven en snel reageren. ‘Het is absoluut nodig om sneller een signaal af te geven. Niet alleen naar het bestuur, ook naar de commissarissen. Als het ergens fout is gegaan, zie je vaak dat commissarissen klakkeloos achter het bestuur aan zijn gelopen. Daar ben ik elke keer geschokt over.’

Daarom ook moet het riskmanagement in de functie zelf zitten, besluit Smit. Dat voorkomt dat naar anderen gewezen kan worden. ‘Raden van bestuur denken: risico’s inschatten? Daar hebben we de afdeling riskmanagement voor. Dat is kul. Mijn conclusie is dat familiebedrijven het nu goed doen juist omdat ze geen aparte afdeling riskmanagement hebben. Daar is risicomanagement fenomenaal goed geïmplementeerd, omdat het als verantwoordelijkheid van het lijnmanagement onderdeel is van de dagelijkse business.’