Dilemma's rond informatievoorziening voor bestuur en toezicht

De commissarissen van een grote woningcorporatie in de Randstad vergaderen vier keer per jaar. De meesten van hen hebben al jaren zitting in het toezichtcollege. Er is een hechte vertrouwensband met het bestuur. De voorzitter van het bestuur bepaalt de vergaderagenda en stuurt de bijbehorende stukken keurig toe. De dikke rapporten en het overvloedige cijfermateriaal geven de commissarissen het gevoel dat ze uitstekend geïnformeerd worden. Tijdens de vergaderingen wordt dan ook nauwelijks doorgevraagd, ook niet bij een belangrijke verschuiving in het portfolio en bij risicovolle investeringen. Het bestuur heeft het vertrouwen immers nooit beschaamd? De commissarissen doen evenmin een poging om achter de cijfers te kijken of op zoek te gaan naar andere informatiebronnen. Ze zijn bovendien te beleefd om hun collega’s in het auditcommittee af te vallen. Tot ze op een ochtend de krant opslaan en daar het bericht lezen dat het corporatiebestuur met ontoelaatbare risico’s de continuïteit in gevaar heeft gebracht.

Schijnzekerheid
Dit fictieve voorbeeld laat zien dat effectieve informatievoorziening zich in het hart van effectief toezicht bevindt. Zonder tijdige, betrouwbare en volledige informatie hebben interne toezichthouders1 onvoldoende zicht op de gang van zaken om het bestuur adequaat te controleren en adviseren. Falend toezicht begint dan ook bij falende informatievoorziening, zoals de crisis in de financiële sector en de affaires bij publieke organisaties pijnlijk duidelijk hebben gemaakt. De toezichthouders ontdekten te laat dat ingrijpen noodzakelijk was, doordat ze te weinig informatie kregen of vroegen, onvoldoende kritisch waren ten aanzien van de informatie die wel verstrekt werd of zelfs een schijnzekerheid ontleenden aan de dikke rapporten die ze kregen toegestuurd. Informatievoorziening is dus niet altijd effectieve informatievoorziening. Te vaak nog is sprake van eenrichtingsverkeer op de brug die de informatiekloof tussen het bestuur en de raad van commissarissen overspant, terwijl effectieve informatievoorziening een gezamenlijke verantwoordelijkheid is.

Tien dimensies van toezicht
Die terughoudendheid heeft alles te maken met de dilemma’s waarmee commissarissen in de praktijk worden geconfronteerd. Recent onderzoek bracht die dilemma’s in kaart, op basis van interviews met 35 bestuurders en commissarissen van publieke organisaties over hun visies en praktijkervaringen op het gebied van informatievoorziening2. De interviews vonden plaats over de volle breedte van de publieke sector: met bestuurders en toezichthouders van zorg- en onderwijsinstellingen, woningcorporaties, ontwikkelings- en charitatieve organisaties en zelfstandige bestuursorganen (ZBO’s). De gesprekken werden gestructureerd volgens de Q-sort-methodiek: aan alle geïnterviewden werden dezelfde stellingen voorgelegd, met de vraag deze te waarderen op een vijfpuntsschaal van geheel eens tot en met geheel oneens. Uit de kwantitatieve scores en de toelichtingen destilleerden de onderzoekers tien dimensies waarbinnen de informatievoorziening zich beweegt (zie figuur 1). Deze dimensies vormden de basis voor de formulering van een aantal belangrijke praktijkdilemma’s op het gebied van effectieve informatievoorziening3, inclusief good practices en valkuilen.

Figuur 1. Tien dimensies van effectieve informatievoorziening. Bron: Effectieve informatievoorziening. Praktijkdilemma’s en good practices voor bestuurders en interne toezichthouders in de publieke sector (2009).

Informatievoorsprong bestuur
In het voorbeeld van de woningbouwcorporatie worstelen de commissarissen met een aantal dilemma’s tegelijk. We beperken ons in dit artikel tot de belangrijkste4. Allereerst staan ze als toezichthouder op afstand, terwijl ze tegelijkertijd betrokken moeten zijn. Of, zoals een van de commissarissen in het onderzoek het formuleert: “Toezichthouder is een fulltime rol blokdie je parttime uitoefent. Het is eigenlijk net als vaderschap, je bent het altíjd, maar je bént er níet altijd.” Het bestuur heeft dan ook per definitie een informatievoorsprong. Als commissarissen deze willen inlopen, worden ze geconfronteerd met een klassiek dilemma:

Hoe houd je van een afstand meer (toe)zicht op de operatie, zonder op de stoel van de bestuurder te gaan zitten?

Een ander dilemma behelst de afhankelijke positie van de commissaris versus de eis van onafhankelijk toezicht. Het primaat voor de informatieverstrekking ligt – in lijn met governancecodes – bij het bestuur. Formeel wordt de vergaderagenda bepaald door de voorzitter van de RvC. In de praktijk ligt het bepalen van de vergaderagenda echter vaak bij (de voorzitter van) het bestuur. Daarmee maken de commissarissen zich afhankelijk van de prioritering en kleuring van de informatie door het bestuur, terwijl ze als toezichthouders worden geacht onafhankelijk te zijn. Dat werpt het volgende dilemma op:

Hoe kan de raad van commissarissen ondanks een informatieachterstand en een feitelijke afhankelijkheidsrelatie ten opzichte van het bestuur toch beschikken over onafhankelijke informatie en een bepalende invloed uitoefenen op de vergaderagenda?

Juist omdat de positie van de commissaris zich kenmerkt door afstand en afhankelijkheid, is vertrouwen in het bestuur cruciaal. Informatie is de drager van dat vertrouwen. Als de RvC-leden vertrouwen in het bestuur hebben, vertrouwen ze vaak ook blindelings op de informatie van het bestuur. Pas als het vertrouwen begint af te brokkelen, gaat de RvC meer informatie opvragen, ook bij andere bronnen. Het bestuur ziet dat vervolgens als een motie van wantrouwen. De schijnbare onverenigbaarheid van vertrouwen en controle vormt dan ook een groot dilemma voor veel toezichthouders:

Hoe kun je als raad van commissarissen opereren vanuit vertrouwen in (de informatieverstrekking door) het bestuur en tegelijkertijd voorkomen dat je te laat of helemaal niet ingrijpt door ontbrekende, onbetrouwbare of onjuiste informatie?

De uitweg uit dit dilemma hangt samen met het toezichtmodel van de RvC: een coalitie met het bestuur of juist constante confrontatie? Het bestuur moet ruimte geven voor kritische vragen, de RvC moet die ruimte ook nemen. Maar juist daar stuit de RvC vaak op een dilemma:

Doorvragen is bedoeld om meer informatie te verkrijgen over gevoelige onderwerpen, maar kan juist leiden tot minder informatie over àlle onderwerpen doordat het bestuur zich geïrriteerd afsluit voor kritische vragen of zelfs informatie gaat achterhouden.

De commissarissen van de fictieve woningcorporatie vragen dan ook nauwelijks door om de relatie met het bestuur niet onder druk te zetten. Ze nemen bovendien genoegen met louter financiële informatie. Maar in veel publieke organisaties draagt juist de ‘zachte’ informatie, zoals de kwaliteit van zorg of onderwijs, de grootste risico’s in zich. Toezichthouders moeten dan ook actief op zoek gaan naar zachte informatie, bijvoorbeeld door te praten met functionarissen uit de managementechelons onder het bestuur. Of, zoals een commissaris uit het onderzoek het omschrijft: “Als je een organisatie wilt controleren, moet je ook de stallen bekijken.”

Daarbij stuiten toezichthouders echter op het volgende dilemma:

Hoe kom je als RvC aan informele/zachte informatie, zonder dat het bestuur dat als motie van wantrouwen beschouwt en als de kurk in een flessenhals blokkeert?

Een andersoortig dilemma doet zich voor bij het vertrouwen op louter interne informatie, hetzij formeel, hetzij informeel:

De interne informatie zit het dichtst bij de bron en is daarmee het meest zuiver, maar is juist om die reden niet onafhankelijk en in zichzelf onvoldoende.

Commissarissen moeten daarom ook onafhankelijke informatiebronnen buíten de organisatie zoeken, die vervolgens aanleiding kunnen zijn voor vragen naar aanvullende informatie aan het bestuur. De commissarissen van de woningcorporatie raadpleegden pas een voor de hand liggende externe bron (hun ochtendkrant) toen het al te laat was. Een punt van aandacht is de betrouwbaarheid van de informatie: ook externe informatie kan onvolledig, onjuist en/of gekleurd zijn.

Zelf regie voeren
De genoemde dilemma’s gaan steeds meer klemmen door de recente ontwikkelingen in het toezicht. Zo vragen de steeds explicieter beschreven taken en verantwoordelijkheden van toezichthouders in governancecodes en het toenemende afbreuk- en reputatierisico om een actiever en onafhankelijker toezicht, waarin commissarissen zelf de regie voeren over de informatievoorziening. Het is dan ook cruciaal dat commissarissen zich bewust worden van het belang van effectieve informatievoorziening en samen met het bestuur het initiatief nemen om deze te verbeteren. Het dak repareren wanneer de zon schijnt, voorkomt dat de informatievoorziening blokkeert bij problemen en vergemakkelijkt een vroegtijdige signalering.

Allereerst moeten bestuur en commissarissen samen meer aandacht geven aan het dashboard voor de aansturing van de organisatie: het bepalen van de jaaragenda en de stuurinformatie, op basis van de strategie, inclusief een risicoanalyse. Vervolgens stellen het bestuur en de RvC samen een informatieprotocol op, zoals de proeve van de Zorgbrede Governancecode 2010 aangeeft. Daarin worden afspraken vastgelegd over de inhoud, frequentie, timing en structurering van de informatie.
Een goed informatieprotocol benoemt ook in welke situaties de RvC op de hoogte gehouden wil worden en in welk stadium. Ook de afstemming tussen bestuur en commissarissen wordt benoemd: bijvoorbeeld wekelijks overleg tussen beide voorzitters en het gezamenlijk vaststellen van de agenda voor de commissarissenvergadering. Het informatieprotocol gaat echter pas leven als commissarissen zich er ook naar gedragen: durven doorvragen en zelf actief op zoek gaan naar informatie binnen en buiten de organisatie. Om wantrouwen bij het bestuur te voorkomen, is het belangrijk om bijvoorbeeld contacten met de andere managementechelons te institutionaliseren. Het is gebruikelijk dat commissarissen die gesprekken vooraf melden en terugkoppelen naar het bestuur. Tot slot geldt dat de informatievoorziening ook periodiek beoordeeld moet worden. Voldoet deze aan externe eisen en interne afspraken en maakt het informatiegedrag van bestuurders en toezichthouders deel uit van het evaluatieproces?

Informatiesystemen aanpassen?
Een actiever informatiegedrag van commissarissen heeft ook consequenties voor de organisaties waarop toezicht wordt gehouden. Het bestuur moet commissarissen proactief betrekken bij het vaststellen van de (jaar)agenda en het vormgeven van het informatieproces. Daarnaast zal het bestuur constructief moeten leren reageren op doorvragen, verzoeken om aanvullende informatie en contacten van de commissarissen met andere managementechelons.

Vragen waarover bestuur en toezicht samen kunnen nadenken:

• Hoe kan de interne organisatie toekomstgerichte informatie en/of informatie over bijvoorbeeld sectorale benchmarks leveren?
• Moeten de interne informatiesystemen worden aangepast om ook gestructureerd te rapporteren over zachte onderwerpen?
• Moet de rapportagefrequentie flexibeler worden? Bovenop kwartaalrapportages kunnen commissarissen bijvoorbeeld verzoeken om maandelijkse risico-overzichten, tussentijdse rapportages, of opvolging van vragen tijdens de commissarissenvergadering.
• Hoe kan het systeem worden ingericht op het melden van afwijkingen, zodat de commissarissen op het afgesproken ‘escalatiemoment’ op de hoogte worden gesteld?

Commissarissen worden bovendien alerter op externe informatie. Organisaties doen er verstandig aan om het ‘ontdekken’ van die externe informatie niet over te laten aan de commissarissen, maar deze proactief in te bedden in de interne informatievoorziening. Zo verstuurt een woningcorporatie de commissarissen periodiek een (digitale) knipselkrant met externe berichtgeving.

Gevolgen voor de controller
Dit alles zou kunnen leiden tot een verbreding en verzwaring van de taak- en rolopvatting van de controller binnen de traditionele driehoek bestuur - toezichthouders - controller. Dit betekent dat de RvC voor het verkrijgen van informatie niet meer alleen afhankelijk is van het bestuur, maar ook vaker een beroep kan doen op de kennis en expertise van de controller. Deze ‘nieuwe’ relatie tussen commissaris en controller wordt geïllustreerd in figuur 2.

Figuur 2. De `nieuwe’ relatie tussen commissaris en controller.

Om deze rol goed te kunnen vervullen, dient de controller zichzelf een aantal vragen te stellen:

• Welke aanvullende informatie kan ik vanuit mijn functie leveren en waar raak ik aan de grenzen van mijn expertise?
• Zijn de beschikbare informatiesystemen in staat om deze informatie betrouwbaar en tijdig te leveren?
• Op welke wijze kan ik de informatievoorziening vanuit de organisatie naar de RvC zodanig stroomlijnen dat er geen verwarring ontstaat?
• Hoe ga ik om met mogelijke ‘conflict of interest’-situaties tussen bestuur en RvC ten aanzien van het verschaffen van effectieve informatievoorziening?
• Ben ik voldoende in staat om het ‘beeld’ achter de cijfers duidelijk te maken?
• Is mijn rol in de informatievoorziening voldoende verankerd in de governancestructuur van de organisatie?

Het beantwoorden van deze vragen geeft de controller een duidelijk(er) beeld van zijn specifieke verantwoordelijkheid ten aanzien van het verbeteren van de effectiviteit van de informatievoorziening. Ook een goed inzicht in de praktijkdilemma’s die zich kunnen voordoen in de relatie tussen bestuur en toezichthouders, kan de controller helpen bij de bewustwording van zijn toegevoegde waarde in dit opzicht en bij een nieuwe invulling van zijn taak en rol als informatieleverancier en organisatiegeweten.

Meer contact tussen commissaris en controller
Ook commissarissen kunnen hun voordeel doen met een beter inzicht in de verborgen praktijkdilemma’s. De fout die de commissarissen van de fictieve woningcorporatie maakten, was dat ze hun vertrouwen in het bestuur gelijkstelden met vertrouwen in de informatie. Ze wisten niet te ontsnappen aan de dilemma’s waarmee informatievoorziening is omgeven. Als ze zich actiever en onafhankelijker hadden geïnformeerd, heldere afspraken met het bestuur hadden vastgelegd in het eerder genoemde informatieprotocol, informele en externe informatiebronnen hadden geraadpleegd en een geïnstitutionaliseerd contact hadden onderhouden met de controller, dan hadden ze het lek in het risicobeheer niet uit de krant hoeven te vernemen, maar was het onder hun toezicht wellicht tijdig opgespoord en gerepareerd. Een ervaren commissaris hield een gehoor van collega’s eens het volgende voor: “Je kunt als commissaris op twee manieren in de krant komen: met een financieel debacle of met een kwaliteitsprobleem. Eigenlijk mag je gewoon kiezen. Dat heeft ertoe geleid dat commissarissen eerder hun verantwoordelijkheid nemen.” Die verantwoordelijkheid zal zich moeten uiten in effectief informatiegedrag, zowel binnen als buiten de boardroom. In beide settings zullen de commissaris en de controller elkaar steeds vaker tegenkomen.

Hans Dijkstra is werkzaam bij PricewaterhouseCoopers als Senior Manager Corporate Governance Unit/Advisory.
Bas Wakkerman is eveneens werkzaam bij PwC als Director Public Sector Rijksoverheid.

Noten
1 Voor de interne toezichthouders wordt de term commissarissen gehanteerd, ook ter onderscheid van de externe toezichthouders waarmee organisaties in de publieke sector te maken hebben. Ter afwisseling wordt ook de term toezichthouders in algemene zin gebruikt. Het interne toezichthoudende orgaan wordt aangeduid met de benaming raad van commissarissen (soms afgekort tot: RvC). De diverse benamingen voor het bestuurlijk orgaan (directie, bevoegd gezag et cetera) in de publieke sector, brengen we samen onder de gemeenschappelijke noemer het bestuur.
2 Het onderzoek werd uitgevoerd door PricewaterhouseCoopers en vormde de basis voor de publicatie Effectieve informatievoorziening, Praktijkdilemma’s en good practices voor bestuurders en interne toezichthouders in de publieke sector (2009).
3 De formulering van de tien dimensies van het toezicht en effectieve informatievoorziening en de bijbehorende dilemma’s is geïnspireerd door het model waarin Fons Trompenaars en Charles Hampden-Turner zeven dimensies van cultuur onderscheiden.
4 In de publicatie Effectieve informatievoorziening komen alle tien dimensies, praktijkdilemma’s, good practices en valkuilen uitgebreid aan bod