Zou het kunnen?
Iedere keer weer aan tafel te gaan zitten en jezelf te verwonderen?
Echt vragen stellen zonder vooroordeel?
Vragen niet gebaseerd op je stokpaardjes?
Vragen oprecht vanuit je persoonlijke verantwoordelijkheidsgevoel?
Vragen vanuit de juiste intentie?
Vragen vanuit vertrouwen?
Niet om te controleren maar om te begrijpen?
Om dit kunnen moeten toezichthouders volgens mij veel afleren (het moeilijkste wat er is). Zullen we raden anders moeten samenstellen. De traditionele inrichting (accountant, oud-bestuurder, jurist, branchespecialist, etc) zou misschien niet meer volstaan. Immers, als je vanuit kennis en expertise wordt aangesteld ga je daar ook naar handelen. En je ziet dan alleen waar je naar kijkt.
Natuurlijk geldt ook hier dat een combinatie waarschijnlijk het beste werkt. Dit vraagt echt heel veel zorgvuldigheid bij de samenstelling en het functioneren van de Raad. Karaktereigenschappen, omgangsvormen, assertiviteit, sensitiviteit, introvert, extravert, emotioneel, etc. Allemaal zaken die naar mijn mening nu niet expliciet worden meegenomen bij de samenstelling van de Raad.
En degene die de Raad mag voorzitten mag de grootste verwonderaar zijn. Het schaap met de vijf poten? Alleen voorzitten en zorgen dat de goede beslissing genomen wordt en de juiste vragen door iedereen worden gesteld. Ga er maar aan staan. Je eigen ego volledig dienstbaar aan de vergadering opofferen.
zien jullie oud bestuurders/directeuren of moet ik zeggen beslissers dit al doen?
Vele organisaties geven hoog op over hun risicomanagement. Systemen zijn ingericht, mensen worden getraind op kennis en vaardigheden, het is onderdeel van de Planning en Control Cyclus, jaarlijks worden risicoanalyse gehouden, etc. We kennen allemaal het COSO model, de ISO 31000 norm, MOR wellicht ook nog. Aan alle vereisten wordt voldaan. Toch?
En we twijfelen allemaal of al deze inspanningen voldoende zijn. En bij twijfel gaan we nog meer doen / inrichten /rapporteren.
Waar draait het naar mijn mening echt om?
Discipline
Welke organisaties hebben de discipline risicobewust te handelen. Bij iedere beslissing de afweging te maken of de risico’s opwegen tegen de kansen. Staan ze in verhouding tot elkaar? Welke organisatie heeft de toewijding, het commitment om deze risicoafweging echt onderdeel uit te laten maken van iedere besluitvorming. En niet te wachten tot de volgde P&C Cyclus.
Mentaliteit
Om de discipline op te kunnen brengen is de juiste mentaliteit nodig. Risicoalertheid ontstaat als het onderdeel wordt van het denk- en gedragspatroon van de organisatie. Alleen dan bereik je dat we elkaar durven aan te spreken en erop te attenderen dat risicoalert handelen ons successen brengt. Deze mentaliteit maakt organisaties succesvol.
Systemen zijn op te zetten en te omzeilen, af te vinken. Kennis is te trainen en te vergeten. Vaardigheden zijn aan te leren en weer te vergeten. Als Mentaliteit en Discipline onderdeel zijn van het gedachtegoed van een organisatie valt er niet aan te ontkomen. Je bent onderdeel van de organisatie en anders past het niet! Rollen, verantwoordelijkheden en bevoegdheden zijn duidelijk en bespreekbaar op ieder moment.
En daarom, risicomanagement valt alleen als organisatie in z’n totaliteit te implementeren en niet ergens te beginnen en te hopen dat het overwaait.
De problemen bij de Rabobank stapelen zich op. Recente voorbeelden zijn het Libor-schandaal en het terugdraaien van benoemingen, maar het meest actueel zijn de problemen met het naleven van het toezicht. Met name bij de lokale banken.
Het jarenlang, zorgvuldig opgebouwde en onkreukbare imago van de Rabobank begint dus scheuren te vertonen. Een les uit de historie: bedrijven die het meest prat gaan op hun goede imago zijn ook degenen die het hardst vallen. Hard ageren tegen andere partijen, in dit geval de staatsbanken ING en ABN AMRO, zorgt ervoor dat je onder een vergrootglas komt te liggen. Nu blijkt ook de Rabobank een ‘gewone’ bank met problemen. In het bijzonder de klantintegriteit.
De oplossing voor dit probleem ligt intern en vraagt om ‘good governance’, oftewel om goede bestuurders. Directieleden en managers die klantintegriteit niet zien als compliance, maar als drijfveer. Ik zal uitleggen waarom.
Coöperatie
De lokale banken, de ‘moeders’ van Rabobank Nederland, zijn al jaren een onderwerp van gesprek. Door de lastige besluitvorming zijn ze in goede tijden conservatief geweest en nooit gekomen tot spectaculaire overnames. Hier is het goede imago van de bank op gestoeld. Tijden veranderen echter snel en de vraag is nu of de huidige governance nog wel in balans is met de organisatiestructuur.
Local Compliance Officer
Zou het probleem kunnen worden verholpen door op last van De Nederlandsche Bank 140 Local Compliance Officers te benoemen, om het toezicht te verscherpen? Iemand die de directie van een lokale bank van reflectie mag dienen? Ik denk het niet. De lokale banken zijn al decennia lang gewend om zelf ‘de macht’ te hebben. Als zelfs Rabobank Nederland moeite heeft om de lokale banken aan te sturen heb ik hier weinig fiducie in.
Deze ‘oplossing’ komt namelijk van buiten af, maar de sleutel tot succes ligt intern. De juiste mensen binnen een transparant systeem. Medewerkers bij de lokale banken die er alles aan willen doen om de integriteit van de klant te bewaren! Klantintegriteit is geen kwestie van moeten, maar van willen. De eerste bank die hier invulling aan geeft, zal de komende jaren de markt gaan dicteren.
Software kan de basis vormen voor goed risicomanagement, omdat het zorgt voor het voeren van de juiste discussie. Het doel van de software is dus niet om alles zo compleet mogelijk vast te leggen, dit is alleen handig bij risicoverantwoording. Dit is een wezenlijk onderscheid waar managers rekening mee moeten houden bij het selecteren van de juiste tool. Omdat hierover verschillende misverstanden bestaan, maar het een strategische afweging betreft, vind je in deze blog mijn selectiecriteria voor software voor risicomanagement.
Leverancier
Het begint direct bij de leverancier. De wereld verandert razendsnel en dit heeft natuurlijk effect op de software. Daarnaast is deze vaak nieuw en complex, dus heb je hulp nodig om er mee te kunnen werken. De informatie in het systeem dient in elk geval veilig te zijn en het contact met de leverancier moet soepel verlopen. Puntsgewijs:
Capaciteit. De mogelijkheid om door te ontwikkelen en veranderingen op te vangen.
Hulp. Een helpdesk voor snelle back-up is wenselijk.
Beveiliging. Risico-informatie bestaat uit cruciale gegevens die niet op straat mogen komen te liggen.
Stabiliteit. Kies een leverancier die verstand heeft van de software èn de inhoud.
Flexibiliteit. Ontwikkelingen gaan snel, hier moet een leverancier in mee kunnen gaan.
Inhoud. Leveranciers zonder inhoudelijke expertise zullen meer moeite hebben aansluiting te vinden met de risicomanagement uitdaging.
Meten
Een aantal zaken moet terugkomen in elke digitale risicomanagement tool. Software is goed geschikt om te meten en vergelijken. Zorg daarom dat in de tool in elk geval de volgende elementen zitten:
Stakeholder schema’s
Trendanalyses
Grafieken
Kosteneffectiviteit van beheersmaatregelen
Rapportages die gaan over inhoud en cultuur
Online en ander gemak
De hele wereld is online en dat heeft allerlei redenen, maar gemak en snelheid zijn er zeker twee van. Om de zekerheid te hebben dat de informatie in het systeem actueel is en de tool gebruiksvriendelijk, zijn de komende features van belang:
Toegang via web. Zo kan er op verschillende locaties gewerkt worden.
Smart applicaties. Hierdoor kan informatie eenvoudig ingevoerd en gedeeld worden.
Intuïtief. De tool moet logisch zijn, zeker om gebruik op de lange termijn te waarborgen.
Links met het web. Hierdoor kan externe kennis worden gebruikt.
Onbeperkt gebruik. Zodat klanten, nieuwe werknemers en andere betrokkenen de tool ook kunnen gebruiken.
Snelheid. Niemand wil in een traag systeem werken.
Ondersteuning
Goede software ondersteunt alle stappen van het risicomanagement proces. Het beheersen van planningen, maken van connecties en archiveren van data hoort hier uiteraard bij.
Tijdsplanninganalyse
Oorzaak- en gevolgschema’s
Risicoregister
Monte Carlo analyse
Verbinden
Een risicomanagement informatiesysteem dat goed geïmplementeerd is, hoeft niet persé met allerlei andere systemen te integreren. De manager moet wel op de hoogte zijn van de belangrijkste risico’s uit andere systemen. Het verbinden van resultaten vanuit verschillende kaders zorgt ervoor dat het management een goede integrale afweging kan maken.
Erik van Marle - Blog over risicomanagement 