Praten over risico’s is nu niet meteen de eerste hobby van managers en bestuurders, merk ik wel eens. En dat is een understatement. Te vaak wordt risicobeheer, waaronder compliance risicobeheer, als corvee gezien. Als een onderdeel van de verplichte ellende die je over je afroept als je financiële producten en diensten wilt verkopen.
Immers, omgaan met klanten is veel leuker. Deze commerciële activiteiten stuwen de onderneming op in de vaart der volkeren, dat is wat de schoorsteen doet roken! En dat is trouwens ook waar we al die risk managers van kunnen betalen. Dus, wat wil je nu eigenlijk met je gesprek over risico’s?
Wanneer komt risicomanagement in beeld?
Frappant vind ik, dat juist het helpen managen van risico’s van klanten tot de kernactiviteit hoort van elke financiële instelling. Het gaat immers om het goed passen op de toevertrouwde middelen, het met beleid beleggen van gelden of het afwegen van risico’s bij het financieren van een groot project. Je zou dan toch zeggen dat risicomanagement tot het DNA behoort van de succesvolle accountmanagers en hun leidinggevenden?
Maar kennelijk verandert er iets als we het gaan hebben over onze eigen organisatie. Natuurlijk: het belang van de klant hoort voorop te staan, maar het zou logisch zijn om het belang van de klant in een rechte lijn in verband te brengen met het belang van de organisatie. Immers, wanneer klopt een klant aan bij jouw instelling? Het antwoord gaat vanzelfsprekend in eerste instantie over het vertrouwen dat de klant heeft. Daarna komen overwegingen in beeld, zoals de vraag of de organisatie het beste de klantbehoeften invult. Maar de basis ligt in het vertrouwen. Niet alleen in de financiële sector overigens, zelfs bij een bezoek aan de supermarkt, de dokter of het voetbalstadion speelt een soortgelijke overweging. Als je niet het vertrouwen hebt dat het eten dat je koopt veilig is, de dokter je echt kan helpen beter te worden of dat je niet terecht komt in een supportersrel, dan ga je niet. Zo simpel is het.
Vertrouwen dat de onderneming jouw belangen het beste behartigt is dus van cruciaal belang. Dan komt vervolgens direct de vraag op hoe we er nu voor kunnen zorgen dat dit betrouwbare beeld van onze organisatie onderhouden blijft en zo mogelijk nog verder te verduidelijken is. Dan komt dus organisatie breed risicomanagement in beeld. En meer specifiek het beheersen van compliance risico’s. Deze risico’s kunnen we in formele termen omschrijven als: “Het gevaar voor aantasting van de reputatie of bestaande of toekomstige bedreiging van vermogen of resultaat van een (financiële) onderneming als gevolg van een ontoereikende naleving van wat bij of krachtens enig wettelijk voorschrift is voorgeschreven.” Maar hoe doen we dat? En welke valkuilenmoeten we hierbij proberen te vermijden?
Nadenken over risico’s vergt enige oefening
Een instrument dat het nadenken over risico’s kan ondersteunen is de Systematische Integriteits Risico Analyse (SIRA). Hier heeft DNB een zeer bruikbare brochure over gepubliceerd. In deze brochure staat een aantal voorbeeld risico’s beschreven, tezamen met de wijze waarop deze in de analyse kunnen worden betrokken. Een vaak voorkomend misverstand in het bespreken van dit soort risico’s wil ik graag nader kort belichten in deze blog.
Het gaat hier om de verwarring die vaak speelt tussen ‘bruto risico’s’ en ‘onvoldoende functionerende beheersingsmaatregelen’. Bruto risico’s worden omschreven als de risico’s die spelen als gevolg van het type organisatie dat je bent, het type producten dat je voert, de soort dienstverlening die je biedt, de markten waarin je actief bent, et cetera. Het gaat in deze opzet om de beoordeling van risico’s zonder de impact van welke maatregel ter beheersing dan ook. En dat is geen eenvoudige opgave. Daar is enig voorstellingsvermogen en soms ook enige hulp van ervaren professionals voor nodig. Het denken aan niet of onvoldoende werkende beheersingsmaatregelen vertroebelt dit gesprek vaak. Natuurlijk kun je het niet goed functioneren van het AO/IC systeem zien als een risico, maar het OA/IC systeem is er om risico’s te helpen beheersen. En om die (dieper liggende, bruto) risico’s gaat het in de SIRA in eerste instantie.
Een beheersingsmaatregel, in het Engels vaak aangeduid met het woord ‘control’, is bijvoorbeeld het hebben van een beleid op het gebied van privé beleggingstransacties of het controleren van alle privé beleggingstransacties van insiders binnen de organisatie. Het risico dat deze maatregelen beogen te beheersen is het risico op marktmisbruik, de handel met voorkennis. Op het moment dat de een goede werking van de beheersingsmaatregel in gevaar komt, dan blijft er dus een hoger netto risico over. Immers, een netto risico is het risico dat resteert nadat de uitwerking van de beheersingsmaatregelen is meegerekend.
Heldere uitgangspunten
Voor een zuiver gesprek en een degelijke beoordeling van risico’s is het belangrijk dit onderscheid tussen de verschillende onderdelen van de analyse goed scherp te hebben. Daarom adviseren wij om voorafgaand aan de start van een SIRA de verschillende uitgangspunten voor alle stakeholders kristalhelder te maken. Pas als iedereen begrijpt wat deze uitgangspunten zijn, inclusief de rolverdeling in de analyse, gaan we daadwerkelijk van start. Dat scheelt vaak veel werk in het herstellen van misverstanden.
Wil je hierover eens in gesprek met één van onze specialisten op het gebied van compliance risico’s? Neem dan contact op met mij of één van mijn collega’s.
