Renze Munnik: Pleisters tegen de symptomen
Renze Munnik: Pleisters tegen de symptomen
Door Renze Munnik, Risk Management Consultant bij Probability & Partners
Risk governance is de wijze waarop de verantwoordelijkheden, bevoegdheden en taken met betrekking tot het beheersen van de risico’s van een organisatie zijn verdeeld. Het blijft mij telkens intrigeren hoe een bepaalde risk governance tot stand is gekomen. Waar komen bepaalde keuzes vandaan? En waren het überhaupt wel keuzes, of is het ‘gewoon’ zo gegroeid?
In mijn optiek is de risk governance in veel gevallen een lappendeken van symptoombestrijding geworden, in plaats van een weloverwogen inrichting met als doel de organisatie te helpen de bedrijfsdoelstellingen te behalen.
Het begon heel simpel. Je had een bedrijf en dat deed z’n werk. De directie stuurde het bedrijf aan en stuurde het bij als dat nodig was.
Dat ging goed, tot het bedrijf groter werd en de directie het niet meer kon overzien, ook niet met een of twee managementlagen. Dus richt je een stelsel van interne beheersing in. Je treft maatregelen die ervoor moeten zorgen dat alles in goede banen loopt. Als de organisatie groot en complex genoeg is, neem je een auditor (of een auditfunctie) aan, die periodiek beoordeelt of dat stelsel van maatregelen wel goed ingericht en effectief is.
Tot zover is het nog redelijk overzichtelijk en logisch.
Pleisters plakken tegen symptomen
Maar wat blijkt: de risico’s worden toch niet goed genoeg beheerst. Audit en toezicht zeggen daar iets van, en dat wil men niet horen, maar het werkelijke probleem wordt niet opgelost. Nu is de vraag: kunnen we dit niet, of willen we dit niet?
Er is een wond (onvoldoende risicobeheersing) en die bloedt (incidenten en kritische rapportages). Dus plakken we een pleister, een doekje tegen het bloeden. We plaatsen er een extra politieagent tussen: de zogenoemde tweede lijn. En als het dan nog steeds bloedt? Nog een agent bij die tweede lijn. Maar de wond, die laten we zitten. Een risicomanager, een compliance officer, een privacy officer, een security officer…
We bestrijden de symptomen, maar doen niets tegen de oorzaak, bijvoorbeeld een verkeerde cultuur, onjuiste incentives, onvoldoende kennis op de juiste niveaus, onvoldoende belang voor en kwaliteit van beheersing.
En inmiddels hebben we meerdere pleisters geplakt. En die pleisters overlappen elkaar ook nog. Risicomanagement kijkt namelijk naar alle risico’s. Dus ook het risico van het niet voldoen aan wet- en regelgeving, het risico op belangenverstrengeling, het risico op niet integer gedrag. Allemaal voorbeelden die ook in het takenpakket van de compliance-functie zitten.
De privacy officer is bezig met informatiebeveiliging, maar de security officer ook. En omdat het een risico is, de risicomanager ook. En misschien, vanwege de integriteit, de compliance officer ook. En zo zijn er nog wel meer voorbeelden. Waar leg je de knip? Of laat je het ze allemaal doen?
De discussie is het signaal
En zo ontstaan er ellelange en moeizame discussies over wie wat doet. Kijkt de 2e lijn ergens naar of doet de 3e lijn dat? Maar als de 2e lijn dat doet, dan kan de 3e lijn toch niet helemaal niets doen? Moet de 1e lijn iets inrichten of doet de 2e lijn dat? Of is de 1e lijn verantwoordelijk, maar werkt de 2e lijn het uit vanwege de aanwezige expertise? En als risicomanagement ergens naar heeft gekeken, gaat compliance het dan nog dunnetjes overdoen? Of juist andersom?
Het rare is dat organisaties uren verspillen aan deze discussies, maar dit niet zien als een signaal dat er iets niet klopt. Als je zo lang hierover moet discussiëren en dan nóg niet tot een bevredigend resultaat komt, weet je dat je niet op het goede pad zit.
Maar de basiskeuzes voor de inrichting van de risk governance (zoals het gebruik van de three lines of defence en het instellen van vele verschillende soorten controlerende functies/functionarissen) wordt als een gegeven gezien. Zo moet het nou eenmaal.
Je kunt ook concluderen dat als je al zo lang, zo veel onduidelijkheid hebt, de governance in praktijk dus ook nooit het gewenste resultaat op zal gaan leveren.
Complexiteit van de organisatie
Een ander probleem in risk governance is de complexiteit van de organisatie zelf. De rollen zijn te ver verspreid, de verantwoordelijkheden te veel uit elkaar getrokken. Het overzicht is weg. En dan gaan er zaken tussen wal en schip raken, óf er worden juist dingen dubbel gedaan, of op de verkeerde plek in de organisatie besloten.
Dit zie je bijvoorbeeld bij een onderneming met verschillende business units en stafafdelingen. Zodra niet duidelijk is wie waarvoor verantwoordelijk is, denkt de een dat de ander het zal doen en vice versa. Dus: er gebeurt niets. Of iemand in de business unit denkt dat hij de verantwoordelijkheid heeft en neemt een besluit, terwijl de stafafdeling op groepsniveau dacht dat daar de verantwoordelijkheid was belegd.
Slechte onderlinge communicatie werkt hier uiteraard ook problemen in de hand. Hiervoor had ik het over de discussies over verantwoordelijkheden tussen lijnen, functies en personen die zo lang en zo moeizaam zijn. Maar als deze discussies niet worden gevoerd, dan gaat er ook iets niet goed. Dan gaat ieder ervan uit dat de ander hetzelfde beeld heeft. En dat is doorgaans toch niet het geval.
Risk governance evalueren
Sommige zaken kun je als individuele organisatie niet zomaar veranderen. Je bent in sommige gevallen bijvoorbeeld verplicht een compliance officer en/of risicomanagementfunctie te hebben. Maar binnen die kaders kun je de verplichte governance in ieder geval zo goed mogelijk voor jezelf laten werken. Daarvoor is het goed om de governance periodiek goed te evalueren. Past het ontwerp nog bij het doel? Werkt deze wel zoals we denken?
Daarbij is een externe blik geen overbodige luxe. Die heeft nog geen blinde vlekken. Die kijkt onbevangen naar het geheel en kan vergelijken met een alternatieve opzet. Die stelt de vragen die een ander wellicht zelf denkt te kunnen beantwoorden (maar waarvan achteraf doorgaans blijkt dat 'ie het antwoord niet weet).
Als jij ervan overtuigd bent dat jij degene bent die een besluit neemt, dan ga je niet aan iemand anders vragen of hij denkt dat hij het besluit neemt. Een externe doet dat wel. Die gaat met ieder het gesprek aan en komt tot de conclusie dat er verschillende mensen zijn die vinden dat ze besluiten nemen over hetzelfde onderwerp.
En als je de risk governance echt goed op de rit wilt krijgen, zul je governance, als sector inclusief bijvoorbeeld de toezichthouder(s) en mogelijk de wetgever, in z’n geheel nog eens goed tegen het licht moeten houden. Want als individuele organisatie moet je ook eenmaal aan bepaalde governance-vereisten voldoen vanuit wet- of lagere regelgeving. Die vereisten zijn juist een groot deel van de pleisters die geplakt moeten worden om symptomen te bestrijden.
Maar dat gaat nog wel even duren. De echte oplossing ligt namelijk bij 'beginnen bij de bron': cultuur, incentives, beheersing en vertrouwen.
Probability & Partners is een Risk Advisory Firm die geïntegreerde risicomanagement en kwantitatieve modelleringsoplossingen biedt aan de financiële sector en aan data-gedreven ondernemingen.