Erik van Marle – Blog over risicomanagement

www.naris.com

Tagarchief: RvA


door 1 reactie

ING’s mislukte 3-line of Defence model in Witwas schandaal!

Financieel Dagblad Zaterdag 8 september

IMG_20CD16F24B89-1

De 3 afdelingen ‘business’, ‘compliance’ en ‘internal audit’ binnen ING hebben langs elkaar heen gewerkt. Niemand voelt zich verantwoordelijk voor het geheel. ‘Velen waren gezamenlijk verantwoordelijk voor een deel van het verwijtbare gedrag’ geeft het OM aan.

Laat dit nu net het probleem zijn waar de Monitoring Commissie Corporate Governance Code in de laatste update heel veel aandacht aan heeft besteed. De code is tegenwoordig zelfs wettelijk verankerd.

Corporate Governance Code

De Code besteed veel aandacht aan Risicomanagement. Ze geeft daarbij zelfs aan dat ondernemerschap het realiseren van kansen is door op een bewuste wijze risico’s te nemen. Hiervoor is essentieel een adequaat risicobeheersingssysteem. Dit moet onder andere een vooruitblik geven op die risico’s die het voortbestaan van de organisatie in de weg kunnen staan. Expliciet wordt hierbij aangeven dat de auditfunctie hier een steeds belangrijkere rol in gaat spelen. Immers, het bestuur en de raad van commissarissen krijgen door deze functie echt inzicht in de werking van het risicobeheersingssysteem van de organisatie.

3-Lines of Defence

De uitgangspunten van het 3-lines of defence model zijn volgens mij al heel lang erg duidelijk. De ‘business’ (1st line) is eindverantwoordelijk voor de keuzes die ze maken en de risico’s die ze businesswise aangaan. Hier zou bij een organisatie als ING toch geen onduidelijkheid over moeten bestaan?

‘Compliance'(2de line) ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.

‘Internal Audit’ (3de line) voorziet de hoogste leiding van zekerheid over de kwaliteit van sturing en beheersing. Ze is dus niet in directe zin verantwoordelijk voor de kwaliteit van het in control zijn van de organisatie maar wel verantwoordelijk voor de mate waarin ze in staat is om de inconsistenties in de opzet en het bestaan van de control frameworks te analyseren en zichtbaar te maken.

De praktijk is altijd weerbarstig maar heeft vaak wel te maken met ego’s/cultuur. De praktijk leert dat iedere lijn z’n eigen systemen wil en het liefst de Rolls-Royce. Het kost organisaties ontzettend veel tijd om hier keuzes in te maken. Hierdoor verschuift uiteindelijk de aandacht en de urgentie. ‘Business’ voelt zich altijd superieur en dus volgt Compliance en Audit. Het gevolg hiervan is dat de systemen om het risicomanagement en beheerssysteem niet gaan functioneren. Bestuur en management missen het zicht op de kansen en bijbehorende beheersing.

4 Aanbevelingen:

  1. Alle afdelingen zullen moeten werken in hetzelfde systeem!
  2. Het bijhouden van kansen die genomen worden en de beheersing die hierbij past is een verantwoordelijkheid van de ‘business’;
  3. ‘Audit’ en ‘Compliance’ zijn leading in de keuze van de systematiek en het systeem;
  4. ‘Audit’ legt rechtstreeks uit het systeem verantwoording af over de bevindingen en aanbevelingen aan bestuur en raad van commissarissen.

ING

Dit is het ultieme moment voor ING om het juiste risicobewuste gedrag in de organisatie te stimuleren en de cultuur te veranderen. Maak de ‘business’ expliciet verantwoordelijk voor het benoemen en beheersen en dus vastleggen van dit soort risico’s. Bepaald dat ‘Compliance’ en ‘Audit’ bepalen via welk proces en systeem er gewerkt dient te worden. Het heeft geen zin nog meer afvink gedrag te stimuleren door meer compliance officers aan te stellen. Zorg dat de ‘business’ begrijpt wat ze aan het doen zijn en dat het hun verantwoordelijkheid is.

‘Never let a good crisis go to waste’ Winston Churchill

Advertentie


door 5 reacties

Corporate Governance en veilig incidenten melden

Corporate Governance en veilig incidenten melden

Natuurlijk wordt de wereld transparanter en willen we ook ook steeds meer weten van bedrijven. En zolang bedrijven en dus personen INTEGER handelen heeft dit een zeer positieve uitwerking op de uitstraling van de organisatie.

Incident melden

Er is tegenwoordig echter ook een andere vorm van transparantie. De transparantie die de media, de externe toezichthouder, parlementaire enquete, branchvereniging, etc zoekt nadat zich incidenten hebben voorgedaan. Het resultaat van deze laatste vorm van transparantie is een bijna niet te stoppen vallend imago van de betrokken organisaties in het bijzonder en de branche in het algemeen. Denk hierbij aan de bankensector, de woningcorporaties, de tussenpersonen en financiële adviseurs, de bouwsector, etc. De voorbeelden staan iedere week in de krant. Naam en toenaam worden niet geschuwd.

Het grote risico van ‘Naming and Shaming”

Het effect van deze ‘naming and shaming’ heeft een veel grotere impact dan de veroorzakers hiervan zich volgens mij realiseren. Een paar effecten voor de vuist weg:

  • Het imago van het bedrijf is voor vele jaren besmeurd;
  • Huidige stakeholders verliezen vertrouwen;
  • Klanten vertrekken;
  • Enorme juridische kosten;
  • Reorganisatie voor medewerkers;
  • etc.

Maar het grootste risico is dat voor de komende jaren niemand meer iets durft te melden binnen zo’n organisatie!

Alle ervaringen leren ons immers dat mensen dit soort ervaringen nooit meer willen meemaken. Iedere kans om zo’n mediacircus te voorkomen wordt dan toch aangegrepen? En we weten hoe het met de klokkenluiders afloopt…..

Waar is de Raad van Toezicht?

Naar mijn mening is een van de belangrijkste taken van de Raad van Toezicht / Raad van Commissarissen bereikbaar te zijn voor meldingen van incidenten. Zelfs pro-actief hier naar op zoek te gaan. Het is een van de belangrijkste indicatoren om te zien en te voelen of een organisatie zich veilig voelt en continue wil verbeteren.

Aan iedere materiële claim gaan 100 incidenten vooraf!

Ziet u als toezichthouder de belangrijkste 5 oorzaken van de meest voorkomende incidenten in uw organisatie?

De organisatie uit de wind houden!

Door het inzicht te hebben in deze incidenten bent u als toezichthouder in staat om de organisatie op de belangrijke momenten uit de wind te houden. In geval van incidenten staat u voor de bestuurder. Indien het voor de wind gaat staat u achter de bestuurder. Op dit soort moment is de RvC de enige die voor continuïteit van de organisatie kan zorgen. Een van de belangrijkste doelstellingen die een RvC moet hebben?

Governance Code Van Manen

Gelukkig is er in de nieuwe code ingegaan op deze elementen. De RvC is verantwoordelijk voor de goede werking van het Risicomanagement en Beheerssysteem. Daar hoort bij het toetsen van de juiste cultuur die past bij de desbetreffende organisatie. Een onderdeel hiervan is vanzelfsprekend het monitoren van onregelmatigheden / incidenten.

Good Governance, niet in het bijzonder voor je medebestuurders maar voor de belangrijkste stakeholders (medewerkers) van je organisatie!

ps. Incidenten betreffen dus de onregelmatigheden in de breedste zin van het woord. Veiligheid, Arbo, Financiele missers, HR, etc. zijn in deze zin uitwisselbaar.

 


door Een reactie plaatsen

Het verschil in risicomanagement bij een private en publieke organisatie!

publiek privaat

Regelmatig wordt deze vraag gesteld en iedere keer wordt er weer gegraven in mijn gestolde kennis (ervaring). Een paar overwegingen die ik met jullie wil delen zonder daar overigens nu al volledig in te willen zijn.

Publieke organisaties zijn veel meer gewend om (risico) verantwoording af te leggen over hun reilen en zeilen dan private organisaties. Waar private organisaties dit pas zijn gaan doen na de invoering van de Code Tabaksblat zit dit van oudsher al veel meer in het natuur van de publieke organisaties. Deze laatsten hebben altijd moeten functioneren met belangrijke stakeholders als gemeenten, zorgpartijen, woningcorporaties die allemaal in hetzelfde speelveld een rol hebben. In deze consternatie is verantwoording een vanzelfsprekendheid. Voor private partijen bleek de code Tabaksblat een struggle. ‘Pas toe of leg uit’ werd in het begin op verschillende wijze uitgelegd.

Private organisaties hebben de laatste jaren een flinke inhaalslag gemaakt. Daar waar veel publieke organisaties blijven hangen in de klassieke risicoparagraaf leggen private organisaties veel sterker de link tussen de performance en de daarbij behorende risico’s. In hun zogenaamde ‘sustainability reports’ gaat het erover hoe duurzaam hun strategie is en welke keuzen ze hierin gemaakt hebben. Qua risicomanagement gaat hun uitleg over hoe ze het hebben georganiseerd. Vanzelfsprekend gaan ze niet in op de risico’s en kansen die ze zien, dit is immers concurrentiegevoelige informatie. Publieke organisaties hebben ook te maken met deze gevoelige informatie maar voelen zich wel vaak verplicht deze risico’s te benoemen. Wat mij betreft niet noodzakelijk. Als stakeholder zou ik liever lezen hoe ze er voor zorgen dat de organisatie te allen tijde alert blijft!

Fraude (Imtech bijvoorbeeld) buiten beschouwing gelaten valt mij ook op dat in private organisaties risico’s veel sneller op tafel komen. Uit de vele gesprekken die ik hierover voer valt mij op dat dit hoofdzakelijk komt doordat risico’s veel sneller voor de betrokkenen relevant worden. Ze voelen veel sneller zelf de gevolgen doordat het rechtstreeks invloed heeft op resultaten. Dit in tegenstelling bij publieke organisaties. De gevolgen van risico’s worden minder persoonlijk gevoeld en doordat publieke organisaties vaak met meerjarige begrotingen werken vallen de (financiële)gevolgen vaak weg in het totaal.

Deze laatste hobbel is de grootste uitdaging. We raken hier immer de cultuur van de organisatie. Het management van een publieke organisatie zal dus veel meer moeite moeten doen om risico’s positief bespreekbaar te krijgen. De juiste vragen stellen is cruciaal.

Welke vragen stelt u?


door Een reactie plaatsen

DE eigenschap van een professionele toezichthouder moet zijn…..

Verwondering

……VERWONDERING

Zou het kunnen?
Iedere keer weer aan tafel te gaan zitten en jezelf te verwonderen?
Echt vragen stellen zonder vooroordeel?
Vragen niet gebaseerd op je stokpaardjes?
Vragen oprecht vanuit je persoonlijke verantwoordelijkheidsgevoel?
Vragen vanuit de juiste intentie?
Vragen vanuit vertrouwen?
Niet om te controleren maar om te begrijpen?

Om dit kunnen moeten toezichthouders volgens mij veel afleren (het moeilijkste wat er is). Zullen we raden anders moeten samenstellen. De traditionele inrichting (accountant, oud-bestuurder, jurist, branchespecialist, etc) zou misschien niet meer volstaan. Immers, als je vanuit kennis en expertise wordt aangesteld ga je daar ook naar handelen. En je ziet dan alleen waar je naar kijkt.

Natuurlijk geldt ook hier dat een combinatie waarschijnlijk het beste werkt. Dit vraagt echt heel veel zorgvuldigheid bij de samenstelling en het functioneren van de Raad. Karaktereigenschappen, omgangsvormen, assertiviteit, sensitiviteit, introvert, extravert, emotioneel, etc. Allemaal zaken die naar mijn mening nu niet expliciet worden meegenomen bij de samenstelling van de Raad.

En degene die de Raad mag voorzitten mag de grootste verwonderaar zijn. Het schaap met de vijf poten? Alleen voorzitten en zorgen dat de goede beslissing genomen wordt en de juiste vragen door iedereen worden gesteld. Ga er maar aan staan. Je eigen ego volledig dienstbaar aan de vergadering opofferen.

zien jullie oud bestuurders/directeuren of moet ik zeggen beslissers dit al doen?