Wie is verantwoordelijk voor gedragsrisico? De "social controller"?

Chris Juta
Dit is het zevende en laatste deel van een serie over gedragsrisico en smart data, die in aanloop naar het komende Behavioral Risk Congres op 6 december zijn verschenen. Eerder verschenen op dit platform: “Gedragsrisico: Fundamentele onzekerheid in beeld”, “Transitie van oud naar nieuw denken over risico”, “Wij zijn onze betekenisgeving” en “Nieuwe strategische paden voor bestuur, toezicht op basis van nieuwe voorspelbaarheid”, “Nieuw meten operationaliseert nieuw denken” en “De inrichtingsvraag: hoe organiseren we het?”. In dit zevende deel verken ik de vraag wie eigenlijk verantwoordelijk is voor gedragsrisico. Kernbegrip in dit artikel: nieuw management denken.

Dat we met de technologie inmiddels zo ver zijn dat je naar landkaarten kan kijken waarop je gedragsrisico’s als relatieve posities in beeld ziet gebracht, is fantastisch, maar wie in de organisatie vraagt daarom? Wie is er verantwoordelijk voor gedragsrisico en dus voor de ontwikkeling van gedrag en cultuur in een organisatie? De commissie Van Manen en de herziene Corporate Governance Code is duidelijk: het bestuur.
In zijn verslag op 25 oktober 2016 naar aanleiding van een onderzoek onder Nederlandstalige compliance officers, stond een quote van mij hierover. Ik zeg en bedoel in mijn quote dat de compliance officer niet verantwoordelijk kan en mag zijn voor de ontwikkeling van (het juiste) gedrag en cultuur. Per definitie is audit & control er wel voor verantwoordelijk dat op corporate niveau accuraat inzicht ontstaat in de gelopen risico’s en wat de impact daarvan is op de continuïteit van de onderneming als geheel. Dus verantwoordelijk voor het in beeld brengen van hoe het risico-denken van de verschillende businesses leidt tot corporate risico’s. Laat me een beetje verder uitwerken wat ik bedoel.
Gedragsrisico ontstaat in, en is de verantwoordelijk van, de business. Elke business is er zelf verantwoordelijk voor hoe sociaal en economisch kapitaal samenwerken. Dus hoe dat wat mensen willen en bedoelen wordt gerealiseerd en omgedraaid: hoe mensen leren van dat wat niet werkt. Hoe beter intenties en realiteit op elkaar aansluiten, hoe geringer het gedragsrisico en hoe beter het met de business gaat. Het is corporate verantwoordelijkheid dat er een systeem(taal) is waarbinnen je over gedragsrisico’s en hun effecten op corporate resultaten afspraken kan maken.
Daarmee introduceer ik een belangrijk onderscheid. Er is op corporate niveau (het geheel) sprake van gedragsrisico en er is sprake van specifiek het gedragsrisico binnen de context bestuur (of zoals professor Arjo Klamer het benoemt: de bestuurlijke sfeer). Het bestuur immers is eindverantwoordelijk voor gedragsrisico. Betekenis: je zult als toezichthouder of Raad van Commissarissen over (de toegestane hoeveelheid) gedragsrisico binnen de directie als team afspraken moeten willen maken. Dat kan nu. Er zijn in de wisselwerking tussen business-verantwoordelijkheid en governance verantwoordelijkheid dus twee perspectieven zichtbaar te maken en ik populariseer een beetje: Als je als organisatie(bestuur) vanuit een sterke cultuur opereert zul je als vanzelfsprekend eisen opleggen aan wie je – of welk gedrag je – toelaat tot die cultuur, waar dan ook binnen de organisatie. Omgedraaid: een sterk (business)team creëert z’n eigen cultuur onafhankelijk van een systeem-norm. Wat heeft het dan voor zin om op corporate niveau over gedragsrisico te praten?
Vanzelfsprekend zijn beide perspectieven – bottom-up en top-down – van belang en draait het alleen maar om de vraag of je de verschillende bijdragen aan het totaal resultaat – gedrag en cultuur in en van de organisatie – kan zichtbaar maken in die twee perspectieven. In het ene perspectief kijk je hoe businesses in samenhang leiden tot individuele en corporate resultaten. Je krijgt exploitatie en expansie in beeld. In het andere perspectief krijg je in beeld hoe bestuur voor die samenhang zorgt. In dat laatste perspectief wordt de ‘return on leadership’ zichtbaar: je vermogen om te orkestreren, dirigeren, synergie te behalen en het geheel sociaaleconomisch te laten groeien. Dan kun je de vraag toespitsen: heb je niet een ‘social controller’ nodig die op corporate niveau verantwoordelijk is voor het menselijke systeem en de ontwikkeling van het sociaal kapitaal, naast de ‘financial controller’ die verantwoordelijk is voor de ontwikkeling van het economisch kaptaal? Is het niet zo dat in de dialoog tussen deze twee wordt bepaald wat de onderneming aan gedragsrisico (en daarmee ook reputatierisico) bereid is te lopen, afgezet tegen welke financiële risico’s? Zo kaders (lees: interne normen) opleggend aan de business?
Het model waarmee dit artikel (zie afbeelding hierboven) begon brengt de twee ‘virtuous circles’ in beeld waar we hier over praten. Laat dit model niet ook zien hoe de samenwerking tussen DNB en AFM eruit zou moeten zien?
Operationalisering naar accountants: soft controls
Bestuurders die hun best doen zijn nu niet beter dan kapitein Smith van de Titanic die niet onder water kon zien welke ijsberg zijn noodlot zou bepalen. Grote organisaties en ondernemingen zijn nu allemaal Titanics geworden en bestuurders allemaal kapiteins Smith. Toezichthouders komen ijverig aan boord van het schip om met de kapitein te praten over zijn manier van besturen, zonder zelf ook maar enig inzicht te hebben wat er zich ‘onder water’ afspeelt. Zonder ook maar enig zicht op de eigen oordeelsvorming: het proces van gewaarwording en identiteitsvorming waar ze zelf als autoriteit doorheen moeten.
Wat mag je en wat moet je van een autoriteit verwachten als het om identiteit en cultuur gaat? Je mag en moet verwachten dat waar de business expansie nastreeft, een autoriteit juist synthetisch denkt en handelt. Synthetisch denken klinkt abstract en ingewikkeld, maar de operationalisering is dat niet. Dat zijn namelijk de soft controls die met smart data eenvoudig en transparant communiceerbaar zijn te maken. Synthetisch denken is het resultaat van de werkwijze: je leert ‘on the job’.