SIRA: zoek de bananenschil!

Peter Westdijk

Dit artikel is een vervolg op deel 1: Oeps, een bananenschil…

En wat kunnen of moeten we hier nu mee?

Als ik alles laat bezinken kom ik tot een soort werk-conclusie dat ons denken over integriteitsrisico’s misschien wel op de schop zou moeten. Want in de kern is elke vorm van niet-integer handelen (ik laat onopzettelijke zaken hier even buiten scope) een belangenconflict. Het conflict tussen het eigen/persoonlijke belang en het belang van iemands werk/omgeving/groep/etc. “Elke persoon heeft een moreel kompas”, zeggen we wel, maar dat is feitelijk een andere formulering voor dat iedereen een eigen risico-afweging maakt. Van welke handeling word ik beter, welk gedrag voelt voor mij prettiger? Opvoeding, sociale setting en nog vele andere zaken maken hoe een individu denkt en handelt, maar ook hoe hij of zij de kansen inschat. En iedereen kiest elke keer voor die optie die het beste past:

• Risicomijdende types mijden risico’s omdat ze zich daar prettig bij voelen.
• Dieven stelen omdat hen dat een prettiger manier lijkt om inkomen te genereren dan hard werken (loterijen appelleren aan hetzelfde principe maar worden minder als niet-integer beschouwd).
• Compliance officers richten zich op wet- en regelgeving omdat ze het fijn vinden om netjes volgens de regels te leven en hun organisatie willen helpen om de doelen te bereiken.

Niet-integer handelen is daarmee een inherent risico voor alles wat door mensen gebeurt. Maar is fraude dan nog een integriteitsrisico? Of is fraude gewoon een vorm van niet-integer handelen? Moeten we als compliance officer in de SIRA zoeken naar frauderisico’s? Of laten we dat over aan de accountant en is onze SIRA-focus gericht op de mens?

Belangenverstrengeling is ook zo’n integriteitsrisico-categorie waar je vraagtekens bij zou kunnen zetten. Want op zich is het geen risico als een persoon meerdere belangen heeft. Het wordt pas vervelend als deze persoon wordt gedwongen keuzes te maken als belangen niet parallel lopen, als er sprake is van een belangenconflict. En als betrokkene dan ook nog niet de goede keuze maakt; als hij of zij niet kiest voor het belang dat wij (als de moraalpolitie) passend vinden (het bedrijfsbelang) maar voor een ander belang.

Het is niet automatisch zo dat meerdere belangen geen probleem vormen zolang je maar de goede keuze maakt. De schijn van belangenverstrengeling kan een reputatierisico met zich meebrengen. En reputatie is een belangrijke asset voor elke organisatie. Het bewaken van de reputatie (of de vermeende reputatie) is op zich weer een integriteitstopic, zoals hiervoor onder ‘Externe verwachtingen’ is beschreven.

Wat is eigenlijk belangenverstrengeling? Iedereen heeft een eigen, persoonlijk belang. We willen allemaal een fijn leven met goed eten, onderdak, wat materialistische dingen en ga zo maar door. Daarvoor willen we best inspanningen leveren (werk) maar wel in balans: de work-life balance. En daar hebben we het fundament van belangenverstrengeling! Eigen belang drijft in mijn ogen het handelen van ons allemaal. En heel veel factoren beïnvloeden onze keuzes, maar in essentie is dit wat er aan de hand is. En de hele dag is elk individu bezig met het afwegen van opties en het maken van de keuze die op dat moment het beste past. Een bijna economische keuze: welke optie biedt mij de meeste waarde? En die waarde wordt bepaald door zaken als het eigen moreel kompas.

• En daarbij heeft iedereen een prijs, een omslagpunt. “Ik niet, ik handel integer!” hoor ik je nu denken. Maar hoe kan het dat berijders van milieu-verantwoorde hybride of elektrische auto’s op de A2 wel 100 rijden en op de A12 niet? Of überhaupt te hard rijden? Is er een verband met het wel of niet uitvoeren van trajectcontrole: is het verschil in pakkans van invloed? Belangrijke vergadering, mijn partner heeft de auto nodig, alle redenen zijn het goedpraten van het maken van een overtreding, van niet-integer handelen. Het privébelang prevaleert op dat moment boven het maatschappelijk/milieubelang en boven het voldoen aan de door onze overheid gestelde kaders en wetten.
• Hier ligt ook een link naar de rol van de compliance officer, die met verschillende middelen en technieken kan werken aan het moreel kompas van individuen en van de organisatie (zie hierna in deze bijdrage)

Let wel: volgens mij. Ik ben niet geschoold in sociale psychologie of andere kennisgebieden op dit terrein, maar dit is wat ik denk.

Compliance 2.0?

Stel dat mijn visie enig hout snijdt: hoe kunnen we dan kijken naar integriteitsrisico’s en de beheersing daarvan? Hoe zou dat er dan uitzien? En wat is dan compliance?

Is tijd een bananenschil?

Als ik naar de uitglijders kijk, dan is er een patroon te zien waarin een organisatie (of groep of individu) zich schuldig maakt aan een bepaald soort niet-integer handelen en hierop uiteindelijk ‘gepakt’ wordt. Deels zijn onafhankelijke onderzoeken de bananenschil waarover men uitglijdt maar grotendeels is de uitglijder het niet kunnen volhouden van het bedrog; je kunt de schijn van het gedrag (of bedrog) niet oneindig volhouden. Opgepompte financiële cijfers maken de bankrekening niet groter en crediteuren moeten wel betaald blijven worden.

Er wordt wel gezegd ’tijd heelt alle wonden’, maar ’tijd legt alle wonden bloot’ gaat in mijn ogen net zo goed op. Als een organisatie intern maar vooral om zich heen een schijnwerkelijkheid creëert door frauduleuze rapportages wordt het verschil met de echte werkelijkheid uiteindelijk zo groot dat dit niet meer onopgemerkt kan blijven. En dan glijdt de organisatie uit over de bananenschil die men zelf heeft neergelegd.

De rol van compliance

Het belang van ‘compliance als in het voldoen aan wet- en regelgeving’ is hier duidelijk. De oorsprong van het vak is niet weg; sterker nog, deze is meer dan actueel. Maar het gedrag van mensen en dus ook persoonlijke integriteit en het moreel kompas zijn meer dan actueel: een CEO die iets verkeerds bedenkt en beslist heeft altijd meerdere medewerkers nodig die het besluit uitvoeren. De compliance officer kan (deels) beoordelen hoe besluitvorming plaatsvindt (evenwichtigheid, beheerste en integere bedrijfsvoering) en wordt uitgevoerd (werking van de PDCA-cyclus) en daarop in actie komen. De monitoring-rol blijft, maar de objecten die we monitoren zullen in de loop van de tijd wel gaan verschuiven naar de verschillende verschijningsvormen van non-integriteit. En ik voorzie een toenemend belang van het integriteitsdenken van het bestuur van organisaties; versterking van het moreel kompas van het bestuur verstevigt de integere bedrijfsvoering. Deels in de besluitvorming en deels in de governance die een veilige countervailing power faciliteert.

Wat betekent dat voor de SIRA?

De discussie kun je dus simplificeren door te stellen dat integriteitsrisico’s die samenhangen met de mensen binnen de organisatie eigenlijk het risico op niet-integer handelen zijn, in welke vorm dan ook. De taxonomie is dan simpel: er is maar één risico. Inherent risico, omdat het een risico is dat inherent is aan het werken van mensen.

Als er dan eigenlijk maar één risico is, waarom zou je dan nog een SIRA doen? Heeft het nut om naar integriteitsrisico’s te kijken als alles is terug te voeren naar het hebben van medewerkers?

Geen SIRA doen voelt niet goed, maar het huidige denkmodel is het denk ik ook niet meer. Maar wat moet dan de kern van zo’n SIRA zijn? Ten eerste zie ik dan andere namen voor me in de SIRA:

• Non-integriteit door te frauderen
• Non-integriteit door omkoping
• Non-integriteit door belastingwetgeving te ontwijken of te ontduiken
• En vele andere manieren van niet-integer handelen.

Want we hoeven niet zozeer naar integriteitsrisico’s te zoeken, maar vooral naar de manieren waarop die zich kunnen manifesteren. En als we die manieren in beeld hebben zouden we kunnen gaan zoeken naar mogelijke en passende beheersmaatregelen. En dat is volgens mij precies wat DNB heeft beoogd met het werken met scenario’s.

We wachten in de sector met spanning op de nieuwe good practices die DNB heeft beloofd voor de SIRA. Met bovenstaande in het achterhoofd kan ik mij goed voorstellen dat het actualiseren van die good practice de mensen van DNB enorme hoofdpijn bezorgt bij het definiëren van integriteit en (inherente) integriteitsrisico’s op een manier die goed aansluit bij de financiële sector en hen helpt bij hun toezichtrol.

Totdat de nieuwe good practice ons verder op weg gaat helpen, kunnen we de bestaande SIRA-processen en scenario’s wel een beetje tweaken:

• Bekijk eens hoe de organisatie zich extern profileert en presenteert: legt men zichzelf daarmee druk op, die aanleiding zou kunnen zijn voor niet-integer gedrag?
• Bekijk eens hoe belangrijk de grootste afnemers en opdrachtgevers voor de organisatie zijn en hoe de grote opdrachten worden afgesloten. Hoe is die markt opgebouwd? Is alle besluitvorming daar op objectieve factoren gebaseerd? Of: hoe wordt in een bepaald land van vestiging zaken gedaan?
• Beoordeel verleende kortingen of bijzondere prijsstelling vanuit de organisatie: is zo’n korting rationeel en objectief uitlegbaar?

De drie genoemde voorbeelden zijn ontleend aan de 101 uitglijders, die niet alleen over Nederlandse financiële instellingen gaan. Maar het gaat mij om de manier van denken van ons als compliance officer. Niet-integer gedrag heeft een reden, waarbij zowel motief als methode belangrijk zijn. Motieven kunnen we niet zo goed beïnvloeden, maar we kunnen wel zoeken naar signalen dat een methode van niet-integer gedrag ‘op de loer ligt’. En dan natuurlijk wel vertaald naar de organisatie waarvan je compliance officer bent. De drie hiervoor genoemde vragen zijn scenario’s voor het integriteitsrisico. En hier ligt volgens mij de crux: de nadruk zou moeten verschuiven van integriteitsrisico’s naar scenario’s waarin niet-integer handelen zich kan uiten. En hier mogen we als compliance officer best scherp zijn en mogelijk niet-integer gedrag wijzen als we een SIRA challengen.

Eigenlijk moeten we in de SIRA dus op zoek naar manieren waarop uitglijders ontstaan; op zoek naar de bananenschillen!