Commissaris moet onder motorkap organisatie kijken

Cultuur en risicobeheersing
Hoe voorkom je een tweede dieselgate?

Cultuur en gedrag zijn onlosmakelijk verbonden met risico- en beheersingssystemen. Commissarissen moeten zicht hebben op beide om gevoel te krijgen voor de smell of the place. De vertaling naar gedragsinterventies en soft controls is een musthave voor het toezicht, betogen Marco Boer en Tonny Dekker van EY.

Gedragsinterventies

Bestuurders en toezichthouders zijn overtuigd van het belang van goed en gedegen functionerende risico- en beheersingssystemen binnen organisaties. De commissie-Van Manen onderkent dit ook in haar voorstel tot herziening van de Nederlandse Corporate Governance Code. In het voorstel worden best practices toegevoegd op de onderdelen risico-inventarisatie, implementatie en evaluatie. Daarnaast zet de commissie-Van Manen het veelbesproken en bediscussieerde onderwerp organisatiecultuur expliciet op de kaart. Een goede ontwikkeling en een noodzakelijke nadere invulling van de risico- en beheersingssystemen. Daarmee krijgt de commissaris een belangrijke nieuwe rol naar bestuurders in het signaleren en managen van gedragsrisico’s binnen hun organisatie. Hoe kan de commissaris zicht krijgen op de versterking van organisatiecultuur en gedrag, in samenhang met de risico- en beheersingssystemen?

Beter inzicht in organisatiecultuur

Tot voorheen werd organisatiecultuur en -gedrag vrij instrumenteel geassocieerd met gedragsodes en een regeling voor het melden van (vermoedens) van misstanden. Steeds meer organisaties komen tot de conclusie dat de organisatiecultuur resultaten en risico’s beïnvloedt en daarmee relevant is om een beter inzicht in te verkrijgen. Zodra gedrag (sterk) afwijkt van het gewenste gedrag ontstaan gedragsrisico’s voor de organisatie, die de risico- en beheersingssystemen mogelijk ondermijnen. Om een duidelijk beeld te krijgen van de huidige status van de organisatie is een objectieve meting essentieel:

  1. Is het gewenste gedrag duidelijk gedefinieerd: in het algemeen, maar ook in de verschillende organisatorische rollen en processen? Waar liggen onze gedragsrisico’s?
  2. Wat is onze (risico)cultuur en wat zijn de potentiële consequenties daarvan?
  3. Zijn er in de organisatie sterke verschillen tussen landen, functies of afdelingen?
  4. Wat zijn de oorzaken en de effecten van de gedragsrisico’s en welke gedragsinterventies of soft controls zijn opportuun en haalbaar?

Melden van misstanden

Is de commissaris klaar met dit inzicht in cultuur en gedrag? Helaas, gedragsrisico’s moeten altijd in samenhang gezien worden met de risico- en beheersingssystemen. De effectiviteit van de systemen wordt door gedrag beïnvloed en andersom. Een goed voorbeeld daarvan is de regeling voor het melden van misstanden. Daarbij kan de commissaris de volgende vragen stellen: Zijn normen voor gedrag duidelijk gedefinieerd en naar ieder gecommuniceerd? In welke mate draagt de opzet van de organisatie bij aan het effectief managen van risico’s? En in hoeverre wordt de organisatie gemotiveerd en beloond voor voorbeeldgedrag?

Zonnekoninggedrag

Welke rol heeft de commissaris in het inzicht krijgen en het bespreekbaar maken van cultuur- en gedragsrisico’s op het hoogste niveau binnen de organisatie? Een veelbesproken voorbeeld is Volkswagen: het gedrag en de cultuur binnen Volkswagen hebben niet bijgedragen aan het voorkomen van ‘dieselgate’. Hebben de commissarissen van Volkswagen inzicht gehad in de organisatiecultuur en gedragsrisico’s die daartoe geleid hebben? Het antwoord daarop is niet eenvoudig te geven. Een aantal voorbeelden van signalen van risicogedrag waarop de commissaris alert dient te zijn: zonnekoninggedrag, het vertrek van waardevolle en competente mensen met een eigen mening, het belonen van dominant optreden, spreadsheetmanagement, overregulering, verdacht informeel overleg en informatiemonopolisering.

Can you handle the truth?

Een van de tools van commissarissen is mensenkennis bij de benoeming van bestuursleden: past deze bestuurder en zijn gedrag binnen de cultuur van deze organisatie en bij de strategische doelstellingen? Dit lijkt een cliché, maar het komt voor dat commissarissen toegeven dat bepaalde bestuursleden misschien toch niet helemaal pasten. Vertrouwen in het bestuur is goed, maar kritisch luisteren en je afvragen of de (gehele) waarheid wel verteld wordt, blijft cruciaal. Maar ook jezelf de vraag stellen: ben je als commissaris benaderbaar voor het bestuur voor het bespreken van issues en risico’s? Can you handle the truth?

Eigen waarnemingen

Daarnaast doet de commissaris er goed aan zich te laten informeren door het bestuur over de status van de risico- en beheersingssystemen en kritische en specifieke vragen te stellen (Smart and Dumb Questions to Ask, Michael Power, mei 2011). Best practices laten een volledige integratie van gedragsmatige aspecten zien op alle organisatorische niveaus. Goede intenties worden in de praktijk immers behoorlijk op de proef gesteld. Daarom is het essentieel om de gedragsinterventies te definiëren. Commissarissen dienen een beeld te krijgen van de cultuur en het daadwerkelijke gedrag binnen de organisatie (Smell of the Place, (Sumantra Goshal, 2010) door objectieve metingen en eigen waarnemingen. Voorbeelden van eigen waarnemingen zijn periodiek overleg met internal audit, de ondernemings- en/of medezeggenschapraad en bedrijfsbezoeken.

Soft controls

Conclusie: cultuur en risico- en beheersingssystemen zijn onlosmakelijk met elkaar verbonden. Om risico’s daadwerkelijk effectief te managen, dient elke organisatie niet alleen een adequaat functionerend systeem van risicomanagement te hebben, maar tevens een cultuur en een sturing van het gedrag die het geheel aan beheersmaatregelen versterkt. Culture Enabled Risk Management (CERM) maakt de relaties tussen risico’s, cultuur en gedrag expliciet en integreert de verschillende risicomanagementfuncties en -activiteiten met die van de cultuur en gedragingen en leidt tot soft controls.

Informatie uit andere lagen organisatie

De moderne commissaris moet zichzelf op basis van de risico- en beheersingssystemen en Culture Enabled Risk Management afvragen of bepaalde prestaties werkelijk gebaseerd zijn op het juiste handelen, zonder het nemen van onverantwoorde risico’s. Hij of zij moet zich voorzien van informatie uit andere lagen van de organisatie om aansluiting te zoeken met de ‘waarheid onder de motorkap van de organisatie’. De commissaris heeft informatie nodig over (de omvang van) bewust genomen risico’s, maar ook over de cultuur en het gewenste en werkelijke gedrag van de organisatie dat daaraan ten grondslag ligt. Een gevoel van de ‘smell of the place’ en de vertaling daarvan naar expliciete gedragsinterventies en soft controls is een musthave voor commissarissen, die hen zal ondersteunen bij het beter en vollediger uitoefenen van hun toezichthoudende functie.

Klik hier voor contact met Marco Boer en Tonny Dekker.