We gaan hier niet het antwoord geven op wanneer u een goede toezichthouder bent. Dat weet ik gewoonweg niet. Ik zie echter wel veel toezichthouders voorbij komen en deel hier de ervaringen.
Een rode draad die mij opvalt is de mate van ontspannenheid. En dan niet alleen wanneer het goed gaat maar ook wanneer het niet goed gaat. Weten wanneer je voor de bestuurder staat en wanneer er achter.
Ontspannen toezichthouders:
Stellen betere vragen, kennen ieder moment hun rol, helpen maar nemen niet over, zijn bereikbaar voor iedereen, zorgen voor een goede sfeer, houden van ondernemen en dus van risico’s, houden ook van verantwoording maar niet van bureaucratie, houden van een zelfverzekerde kwetsbare bestuurder, zien toezicht als 24/7/365 per jaar, durven zelf ook!, houden van alternatieven, hebben waardering voor gevoel, spreken zich uit, etc.
Een bestuurder met een ontspannen toezichthouder hoeft niet op scherp te worden gezet, dat staat hij continue!
Wat doet een toezichthouder die niet ontspannen is?
De problemen bij de Rabobank stapelen zich op. Recente voorbeelden zijn het Libor-schandaal en het terugdraaien van benoemingen, maar het meest actueel zijn de problemen met het naleven van het toezicht. Met name bij de lokale banken.
Het jarenlang, zorgvuldig opgebouwde en onkreukbare imago van de Rabobank begint dus scheuren te vertonen. Een les uit de historie: bedrijven die het meest prat gaan op hun goede imago zijn ook degenen die het hardst vallen. Hard ageren tegen andere partijen, in dit geval de staatsbanken ING en ABN AMRO, zorgt ervoor dat je onder een vergrootglas komt te liggen. Nu blijkt ook de Rabobank een ‘gewone’ bank met problemen. In het bijzonder de klantintegriteit.
De oplossing voor dit probleem ligt intern en vraagt om ‘good governance’, oftewel om goede bestuurders. Directieleden en managers die klantintegriteit niet zien als compliance, maar als drijfveer. Ik zal uitleggen waarom.
Coöperatie
De lokale banken, de ‘moeders’ van Rabobank Nederland, zijn al jaren een onderwerp van gesprek. Door de lastige besluitvorming zijn ze in goede tijden conservatief geweest en nooit gekomen tot spectaculaire overnames. Hier is het goede imago van de bank op gestoeld. Tijden veranderen echter snel en de vraag is nu of de huidige governance nog wel in balans is met de organisatiestructuur.
Local Compliance Officer
Zou het probleem kunnen worden verholpen door op last van De Nederlandsche Bank 140 Local Compliance Officers te benoemen, om het toezicht te verscherpen? Iemand die de directie van een lokale bank van reflectie mag dienen? Ik denk het niet. De lokale banken zijn al decennia lang gewend om zelf ‘de macht’ te hebben. Als zelfs Rabobank Nederland moeite heeft om de lokale banken aan te sturen heb ik hier weinig fiducie in.
Deze ‘oplossing’ komt namelijk van buiten af, maar de sleutel tot succes ligt intern. De juiste mensen binnen een transparant systeem. Medewerkers bij de lokale banken die er alles aan willen doen om de integriteit van de klant te bewaren! Klantintegriteit is geen kwestie van moeten, maar van willen. De eerste bank die hier invulling aan geeft, zal de komende jaren de markt gaan dicteren.
Software kan de basis vormen voor goed risicomanagement, omdat het zorgt voor het voeren van de juiste discussie. Het doel van de software is dus niet om alles zo compleet mogelijk vast te leggen, dit is alleen handig bij risicoverantwoording. Dit is een wezenlijk onderscheid waar managers rekening mee moeten houden bij het selecteren van de juiste tool. Omdat hierover verschillende misverstanden bestaan, maar het een strategische afweging betreft, vind je in deze blog mijn selectiecriteria voor software voor risicomanagement.
Leverancier
Het begint direct bij de leverancier. De wereld verandert razendsnel en dit heeft natuurlijk effect op de software. Daarnaast is deze vaak nieuw en complex, dus heb je hulp nodig om er mee te kunnen werken. De informatie in het systeem dient in elk geval veilig te zijn en het contact met de leverancier moet soepel verlopen. Puntsgewijs:
Capaciteit. De mogelijkheid om door te ontwikkelen en veranderingen op te vangen.
Hulp. Een helpdesk voor snelle back-up is wenselijk.
Beveiliging. Risico-informatie bestaat uit cruciale gegevens die niet op straat mogen komen te liggen.
Stabiliteit. Kies een leverancier die verstand heeft van de software èn de inhoud.
Flexibiliteit. Ontwikkelingen gaan snel, hier moet een leverancier in mee kunnen gaan.
Inhoud. Leveranciers zonder inhoudelijke expertise zullen meer moeite hebben aansluiting te vinden met de risicomanagement uitdaging.
Meten
Een aantal zaken moet terugkomen in elke digitale risicomanagement tool. Software is goed geschikt om te meten en vergelijken. Zorg daarom dat in de tool in elk geval de volgende elementen zitten:
Stakeholder schema’s
Trendanalyses
Grafieken
Kosteneffectiviteit van beheersmaatregelen
Rapportages die gaan over inhoud en cultuur
Online en ander gemak
De hele wereld is online en dat heeft allerlei redenen, maar gemak en snelheid zijn er zeker twee van. Om de zekerheid te hebben dat de informatie in het systeem actueel is en de tool gebruiksvriendelijk, zijn de komende features van belang:
Toegang via web. Zo kan er op verschillende locaties gewerkt worden.
Smart applicaties. Hierdoor kan informatie eenvoudig ingevoerd en gedeeld worden.
Intuïtief. De tool moet logisch zijn, zeker om gebruik op de lange termijn te waarborgen.
Links met het web. Hierdoor kan externe kennis worden gebruikt.
Onbeperkt gebruik. Zodat klanten, nieuwe werknemers en andere betrokkenen de tool ook kunnen gebruiken.
Snelheid. Niemand wil in een traag systeem werken.
Ondersteuning
Goede software ondersteunt alle stappen van het risicomanagement proces. Het beheersen van planningen, maken van connecties en archiveren van data hoort hier uiteraard bij.
Tijdsplanninganalyse
Oorzaak- en gevolgschema’s
Risicoregister
Monte Carlo analyse
Verbinden
Een risicomanagement informatiesysteem dat goed geïmplementeerd is, hoeft niet persé met allerlei andere systemen te integreren. De manager moet wel op de hoogte zijn van de belangrijkste risico’s uit andere systemen. Het verbinden van resultaten vanuit verschillende kaders zorgt ervoor dat het management een goede integrale afweging kan maken.
Ondernemen is risico nemen! Hoe beter men de risico’s begrijpt, hoe meer risico men kan nemen. Anders gezegd; de risico’s waar men verstand van heeft beheerst men van nature beter.
De voorbeelden spreken voor zich. SNS Reaal had onvoldoende verstand van vastgoed, Woonbron niet van schepen, de woekerpolis van de banken, verliezen van gemeenten op grondposities, etc.
In tijden van hoog conjunctuur verschaft de financiële ruimte de geestelijke vrijheid aan veel bestuurders om te denken dat iedereen kan ondernemen. Het is ook veel sexier om door middel van nieuwe innovaties, initiatieven te laten zien dat het goed gaat met het bedrijf. In dit soort tijden groeit het aantal activiteiten van bedrijven snel. Echter, nieuwe initiatieven kosten naast geld ook veel aandacht. Hierdoor verliest men aandacht voor de CORE BUSINESS en zit men minder dicht op de bal en ontstaan de risico’s. In de huidige tijd krimpen organisaties in en gaat iedereen terug naar CORE.
Lessons Learned:
Zorg dat nieuwe initiatieven altijd in gezonde verhouding staan tot het rendement op core business
Kennis van zaken is cruciaal
Behoud voldoende aandacht voor business as usual
bedrijfsvreemde activiteiten vragen om een gezonde risicohouding, organiseer bewust tegenkracht!
De berichtgeving van vandaag lijkt allemaal geweldig. Pensioenfondsen gaan massaal in hypotheken! De achterliggende gedachte is dat de banken meer ruimte krijgen om andere kredieten te verstrekken. Nu scheelt het dat de meeste banken inmiddels staatsbanken zijn maar dat roept meteen de vraag op:
Waar ligt het risico? Toch niet bij de pensioenfondsen en dus de deelnemers en dus de Nederlandse bevolking?
Citaat Blok: ‘Pensioenfondsen krijgen een hoger rendement, de Staat neemt geen enkel nieuw risico en banken zien hun financieringskosten dalen.’
Wat als er toch nog een bank omvalt? Het zou mij vertrouwen geven als men transparant is over de risico’s die er aan kleven.
Als er iets is wat we hebben kunnen leren van SNSReaal en de daaruit vloeiende pijn is dat je niet massaal in hetzelfde risico moet stappen. We mogen nu toch wel concluderen dat alle banken achter elkaar aangelopen hebben en allemaal in vastgoed hebben geïnvesteerd in de verwachting dat deze waarde alleen maar kan stijgen. De situatie vandaag is dat alle banken hetzelfde probleem hebben, een vastgoed portefeuille waarop enorm moet worden afgeschreven.
Fouten maken mag….. alleen als je er van leert! Vertoon aub geen kuddegedrag.
Pensioenfondsen, bezint eer ge begint. Jullie hebben als taak om de pensioenen te beheren van velen. Niet om de banken uit hun zelf gecreëerde nood te helpen.
De incidenten van de afgelopen jaren (SNS Reaal, Ahold, DSB, Vestia, Rochdale, etc) hebben ons wel geleerd dat het gedrag van bestuurders zeer bepalend kan zijn voor de koers van de organisatie. De vraag is natuurlijk of die ene persoon zo bepalend kan zijn dat dit een hele organisatie in gevaar kan brengen.
Het gaat daarom niet alleen om leiderschap, het gaat ook om de groepsdynamiek die er in de lagen eronder plaatsvinden. Hoe komt besluitvorming tot stand, welke formele lijnen zijn er en welke informele lijnen. Worden alle risico’s besproken of wordt alles gesimplificeerd waardoor het cruciale gesprek niet plaatsvindt?
Als leider / bestuurder is het dus belangrijk om de juiste vragen te stellen. Wanneer de zaken goed maar zeker ook wanneer zich incidenten voordoen. De vragen die Churchill zichzelf altijd stelde waren:
Waarom wist ik het niet?
Waarom wisten mijn adviseurs het niet?
Waarom werd het me niet verteld?
Waarom heb ik er niet naar gevraagd?
Dat wat je niet weet, daar kun je ook niet naar vragen! Een diversiteit in het managementteam helpt om vanuit verschillende brillen naar de zaken te kijken. Dit legt alleen ook een grote verantwoordelijkheid in deze lagen. Wat zijn de noodzakelijke elementen wil er een gezonde bedrijfscultuur heersen dat er een gezamenlijke alertheid ontstaat om de complexiteit het hoofd te bieden?
Iedereen alert op verstoringen
Voorkom teveel simplificeren (niet alles past op een half A4 tje)
Secuur op de uitvoering (de machinekamer is niet zo belangrijk als de strategie)
Scherp op aanpassingsvermogen (wat gaat er nog zoals gepland)
Respect voor expertise (experts mogen zich niet laten overrulen)
Het is crisis en dus stellen steeds meer organisaties ons de vraag of het nodig is om hun riskappetite vast te stellen. Uit de vele vragen maak ik op dat nog maar weinig organisaties dit expliciet hebben gedaan. Men is wel gewend om naar externen te laten zien hoeveel risico men genomen heeft, hoe dit zich verhoudt tot bepaalde kerncijfers maar vooraf hier duidelijkheid over geven is nieuw!
Toch kan het heel veel waarde toevoegen.
Aan aandeelhouders, toezichthouders, investeerders, financiers, etc. Hoe prettig is het als je vooraf weet hoeveel risico een organisatie bereid is om te nemen. Een organisatie is namelijk niet innovatief als het op heel veel kansen inzet, maar als het de juiste kansen pakt en deze tot een succes weet te maken. Zowel financieel als operationeel is er gewoon een grens aan het aantal kansen (lees riskappetite) dat je kunt oppakken.
Een mooi overzicht dat ik veel gebruik is hier rechts afgebeeld. Het geeft mooi aan dat je eerst kijkt naar het ‘risk universe’. Hoeveel risico lopen we? Daarna bepaal je hoeveel risico je kunt lopen (risk tolerance)? En tenslotte kom je overeen hoeveel risico je als organisatie wilt lopen. Er zijn immers meerdere kansen en je wilt niet op 1 paard wedden.
Waar relateer je het riskappetite aan? Dit kan zijn een % van de grootste of meest ingewikkelde balansposten, maar ook een % van bepaalde posten uit de winst en verliesrekening. Voor iedere organisatie kunnen eigen criteria gelden.
Mijn overtuiging is dat goede communicatie over het riskappetite dat je wilt aangaan als organisatie je niet alleen helpt intern in bewustzijn maar ook extern in het behalen van je doelstellingen.
Het is tegenwoordig een veel gebezigde term “zelfevaluatie”. En men is ook al snel trots op het feit dat dit sinds 1 of 2 jaar gebruik is. Slechts enkelen laten zich hierbij begeleiden door een derde, helaas!
Alle goede bedoelingen ten spijt, als dit niet wordt begeleid door een derde heeft het naar mijn mening weinig zin. Een paar argumenten hiervoor:
De onderlinge relatie moet meestal nog een paar jaren mee, omwille van de relatie / werkverhouding wordt veel niet benoemd
Vaak kent men elkaar ook vanuit andere netwerken wat aanspreken niet makkelijk maakt
De huidige generatie commissarissen is het nog niet gewend
Het is altijd lastig om een al bestaande situatie te veranderen
Begeleiding door een derde zorgt voor een driehoeksverhouding waarbij de begeleider het aanspreekpunt vormt. Deze persoon kan aanvoelen of iedereen daadwerkelijk zegt wat men na aan het hart ligt. Verder zijn er verschillende werkvormen om op een positieve wijze elkaar te laten inzien dat het toezicht naar een hoger niveau moet. Alleen je best doen is tegenwoordig immers niet meer genoeg!
Evaluatie zou niet een moment in het jaar moeten zijn maar een continue proces. Dit kan op verschillende manieren:
Stel een jaarplan op met daarin ook de waarden en normen waarop men elkaar kan aanspreken
Open houding zodat men elkaar op ieder moment tijdens de vergadering kan aanspreken. Een onderbuik / onplezierig gevoel kan je een hele vergadering bezig houden
Voorbespreken van de agenda voordat de vergadering begint en zonder de bestuurder
Evaluatie na iedere vergadering waarbij sommigen ook nog de mogelijkheid hebben om de bestuurder terug te roepen bij een ontevreden gevoel
Er zijn genoeg voorbeelden (bankensector, woningcorporaties, ziekenhuizen, bouwsector) dat het zelfreinigend vermogen tot de grootste uitdaging behoort van ons mensen en dat hulp hierbij echt de organisatie verder brengt.
In de discussies over alle incidenten bij SNS Reaal, Vestia, ABN Amro, etc komt altijd snel de rol van de toezichthouders aan de orde. Over deze rol is blijkbaar veel onduidelijkheid.
Dit is niet nodig mijns inziens. De toezichthouder is 100 % verantwoordelijk. Wat is anders je legitimiteit als je gaat over de aanstelling van de CEO, controller, meebeslist over de strategie, continue op de hoogte bent over de financiele stand van zaken, etc.
Het moet maar eens afgelopen zijn met het verschuilen achter deze zelf gecreëerde onduidelijkheid!
Dit geldt overigens ook voor de externe toezichthouder. Als er goedkeuring door SNS Reaal is gevraagd voor de aankoop van Bouwfonds Property Finance dan is het nu tijd om je verantwoordelijkheid te nemen.
In sectoren met aparte externe toezichthouders moet er een goed samenspel zijn georganiseerd tussen de externe en de interne Raad. Verantwoordelijkheid van beiden!
Hoe grijzer het gebied, hoe makkelijker manoeuvreren, hoe onduidelijker de verantwoordelijkheden en last but not least; men weet niet meer welke bevoegdheden men wel of niet heeft en men kan of wil geen beslissingen meer nemen. Hier is geen bedrijf ooit beter van geworden!
In de toelichting op het persbericht van SNS Reaal stond precies 1 zin over risico’s!
Er zal een apart comité voor risicomanagement voor het nieuwe SNS Property Finance worden ingesteld met daarin twee leden van de Raad van Bestuur van SNS REAAL en externe deskundigen.
Verder blijft het management van BPF in takt zodat het zichzelf verder kan ontwikkelen maar ……. het gaat wel worden aangestuurd conform de kaders van SNS Reaal.
Behoorlijke tegenstrijdigheden als je bedenkt:
Er is gebleken dat er 3 mensen zaten op risicomanagement en die bovendien niet serieus genomen werden
Property Finance nooit op de risicomanagement vergaderingen verscheen
Bankiers alleen maar meer beloond werden voor de risico’s die ze namen
De CEO alleen maar Durf beloonde
etc
Deze beloften zijn in ieder geval niet in ingelost!
Terwijl de risico’s overduidelijk waren:
Binnen 2 maanden nadat ze geld hadden opgehaald kochten ze Bouwfonds Property Finance, een klassieker! (geld brandt)
SNS Reaal had geen buitenland ervaring terwijl 30% van de portefeuille dit wel was
Ze kochten een portefeuille waar posten in zaten die factor 100 waren die de SNS Reaal mensen gewend waren
Het is naïef te denken dat hoge rendementen zonder risico’s zijn!
Ik vraag me af:
Hoe Risicointelligent was SNS Reaal; niet volgens mij. De leiding voelde niet de gevolgen van hun beslissingen. Dit zijn per definitie gevaarlijke figuren (lees RQ)
Welke tegenkrachten waren? Geen, niet van de mededirectieleden en niet van de RvC
Welke verkopende partij doet dit voor een prijs zodat de investering direct winstgevend is? Een normale minimale terugverdientijd is 3 jaar. Het persbericht doet anders geloven.
Wat kunnen we er van leren:
Loop als bedrijf niet achter de meute aan. Hanteer je eigen strategie! Laten we wel zijn: iedere bank heeft nu hetzelfde probleem, ze zitten allemaal met een vastgoedportefeuille waarop ze flink moeten afschrijven. Dit doel veel pijn en daarom doet met dit maar zeer summier. De grote klap komt nog voor. Mede daarom willen ING, Rabo en ABN SNS graag in de lucht houden
Bij een goede en evenwichtige risicospreiding is het altijd mogelijk dat er een of enkele onderdelen de verwachtingen niet waarmaken
Creëer tegenkrachten! Dit is het meest lastige maar wel noodzakelijk. Duidelijke kaders vooraf opstellen welke risico’s wel en niet acceptabel zijn. Investeringen waarvan je geen verstand hebt is altijd een No-Go. Kijk maar naar Ahold en Unilever, etc. Er zijn genoeg partijen geweest waarvan men kon leren
Achteraf praten is makkelijk
Natuurlijk is het met de feiten voor je eenvoudiger analyseren. De kracht van Risicomanagement is wel dat je dit ook vooraf doet. Hiervoor moet je mensen de gelegenheid geven en hun expertise respecteren. Dit vraagt een open cultuur die gewend is om naar elkaar te luisteren om zo de juiste beslissing te kunnen nemen. Dit vraagt respect voor elkaar rollen, voor zowel de CEO als de Riskmanager.
Een rode draad die mij opvalt is de mate van ontspannenheid. En dan niet alleen wanneer het goed gaat maar ook wanneer het niet goed gaat. Weten wanneer je voor de bestuurder staat en wanneer er achter.
Erik van Marle - Blog over risicomanagement 