Toezichthouder, risico en risicomanagement (1)
31 oktober 2012 om 14:57 0 reacties
De stroom van incidenten en gevallen van ondernemingsfalen in met name de maatschappelijke ondernemingen lijkt nog steeds groeiend. Dit is deels verklaarbaar. Het betekent echter wel dat adequaat en doelbewust risicomanagement een uiterst belangrijke factor is geworden en meer moet inhouden dan het traditionele instrumentarium. Wat houdt dit in voor de intern toezichthouder? Er worden steeds meer en steeds hogere eisen gesteld aan wat deze moet kunnen en weten. Terecht vanuit het oogpunt van de gedeelde eindverantwoordelijkheid voor de organisatie, maar in veel gevallen onmogelijk in te vullen. De toezichthouder moet zich bewust zijn van zowel de eisen als de beperkingen van de functie en vooral een goed beeld hebben van de risicofactoren. Daarbij gaat het niet alleen om de systeeminherente risico’s van de maatschappelijke onderneming en de specifieke risico’s van de eigen organisatie in het bijzonder, maar zeker ook om de risicofactoren die in de invulling van het toezicht zelf zijn besloten. Het is zaak dat de toezichthouder die risico’s kent en ernaar handelt. Checklists kunnen een waardevol hulpmiddel vormen, maar ook niet meer dan dat. Een goede inschattingsvaardigheid en andere soft skills blijken naast gedegen kennis en vaardigheden even noodzakelijk.
In het tweede deel van dit artikel wordt nader ingegaan op de factor aansprakelijkheid en de toenemende claimbereidheid in de samenleving naar bestuurders en toezichthouders.
Gericht risicomanagement: meer dan ooit noodzakelijk
Het aantal ophef veroorzakende incidenten en gevallen van ondernemingsfalen dat de samenleving de laatste vijftien jaar heeft opgeschrikt, lijkt nog steeds groeiend. Dat geldt voor alle sectoren, maar vooral instellingen in de zorg, de sociale huisvesting en het onderwijs springen eruit. Uit de losse pols is een lange reeks organisaties met een maatschappelijke opdracht op te sommen die in de problemen zijn gekomen, vaak met dramatische gevolgen voor een brede kring van betrokkenen. Hestia, SGBB, Meavita, Philadelphia, De Key, Rochdale, Inholland, MaasstadZiekenhuis, Zonnehuizen, Vestia, Amarantis: de lijst is inmiddels onafzienbaar. Dat juist dit soort organisaties er in de berichtgeving uitspringt is om verschillende redenen verklaarbaar. We hebben het hier immers over hybride organisaties, die niet alleen naar hun aard een grote mate van complexiteit bezitten, maar ook in andere opzichten steeds gecompliceerder worden. Kijk alleen al naar de schaalgrootte. Bij de problemen die zich de laatste jaren in onder meer Meavita, Vestia, Inholland en Amarantis voordeden is regelmatig de vraag opgeworpen, of het in de praktijk nog te doen is om in dit soort grote conglomeraten primair gericht te blijven op het creëren van de publieke waarde waarvoor ze zijn bedoeld. Ook op financieel terrein hebben de veranderingen van de laatste jaren met name voor de maatschappelijke ondernemingen grote consequenties gehad. Door wijzigingen in wet- en regelgeving kregen ze in de meeste gevallen niet alleen meer autonomie, maar ook meer risico’s waarvoor een buffervermogen moet worden aangehouden. In de sectoren waarin integrale verantwoordelijkheid voor het vastgoed is ingevoerd zijn daarbij extra risico’s ontstaan, opnieuw gepaard gaande met nieuwe vermogensbestanddelen waarmee moet worden omgegaan. Vraagstukken zoals rente- en cashmanagement hebben door wijzigingen in de regelgeving vaak een substantieel andere lading gekregen, om van beleggingspolitiek en de inzet van derivaten nog maar niet te spreken.
Het is waar dat we mogen aannemen dat maatschappelijke ondernemingen eerder de publiciteit halen dan andere organisaties, ook als het om relatief kleine incidenten gaat. Dat is overigens niet echt verbazingwekkend: wat in bijv. de zorg, het onderwijs of de sociale huisvesting fout gaat raakt mensen heel direct in persoon. De bestuurder die dit alles het hoofd wil bieden en het risico op problemen wil minimaliseren, zal allang hebben beseft dat adequaat en doelbewust risicomanagement een uiterst belangrijke factor is geworden. Die bestuurder weet bovendien dat het toepassen van de traditionele vormen van risicomanagement veel minder effectief is dan werd aangenomen, zoals uit verschillende onderzoeken van de laatste jaren blijkt. Risicomanagement moet, om optimaal te kunnen functioneren in de steeds complexer wordende omgeving van de maatschappelijke onderneming, duidelijk iets anders inhouden dan het instrumentarium waarvan tot voor kort werd uitgegaan.
Nieuwe vormen van risicomanagement
Bestuurders van maatschappelijke ondernemingen zullen in toenemende mate moeten handelen als ondernemers die risico’s niet per se uit de weg gaan, maar gecalculeerd nemen op basis van hun missie en strategie, stellen Sluijters c.s in een verhelderend artikel elders in dit nummer. Traditioneel risicomanagement, zeggen de auteurs, gaat uit van beheersen, beperken, vermijden, kijkt voornamelijk naar de eigen interne organisatie, zoekt oplossingen in eindeloze reeksen risk controls en procedures en heeft geen aandacht voor (maatschappelijke) vraagstukken om de organisatie heen. Het werkt daardoor verlammend, verwordt tot een legitimeringinstrument en draagt niet meer bij aan het realiseren van de organisatiedoelstelling, aldus de auteurs. Andere werkwijzen en methoden zijn nodig: open discussies over risico’s, scenarioverkenningen, niet-calculatieve methoden van risico-inschatting en toepassing van sociale wetenschappen zoals de organisatiepsychologie. Het gaat immers om het handelen en gedrag van managers, bestuurders en toezichthouders op basis van vooruitzichten en niet op basis van historische cijfers als verantwoording achteraf. Risicomanagement in de organisatie, is een van de conclusies, behoort niet (langer) het exclusieve domein te zijn van controllers en interne auditors. Dit sluit goed aan bij de boodschap die Kees Cools zo’n anderhalf jaar geleden uitdroeg in een college met de niet mis te verstane titel ‘Risicomanagement is out of control’. Voor succesvol risicomanagement, was zijn stelling, moet veel meer gekeken worden naar drijfveren en prikkels: risicomanagement wil zeggen: eerst naar gedrag kijken en dan pas naar systemen.
Wat betekent dit alles voor de interne toezichthouder? Deze vormt immers in het huidige denken over de besturing van ondernemingen/ organisaties ‘de andere helft’ van het besturingssysteem van de individuele organisatie, samen met de bestuurder de eindverantwoordelijkheid dragend voor het functioneren ervan. Het is dus terecht dat de toezichthouder op die verantwoordelijkheid wordt aangesproken, maar hoe moet daarmee worden omgegaan?
Organisatierisico’s en de rol van het intern toezicht
Wie de literatuur leest en de media volgt, zou verantwoord mogen concluderen dat de remedie voor alle organisatiekwalen steeds meer wordt gezocht in het toezicht, zowel het extern als het intern toezicht. Dit lijkt gepaard te gaan met toenemend hoge, soms onmogelijk hoge eisen aan de toezichthouders. Feitelijk wordt daarmee de toezichthouder ook zelf tot risicofactor verklaard. Inmiddels kunnen we constateren dat de grenzen aan de effectiviteit van extern toezicht lijken te zijn bereikt of zelfs overschreden – kijk naar de toenemende kritiek van de laatste jaren op het functioneren van overheidstoezichthouders.1 De aandacht komt mede daardoor steeds meer te liggen bij het intern toezicht. De hoge verwachtingen vanuit de samenleving over de mogelijkheden van intern toezicht hangen hiermee in sterke mate samen. Op dit moment dient de intern toezichthouder eigenlijk een soort supermens zijn, die met cyber-ogen vanaf helikopterhoogte álles in de organisatie overziet en kan duiden, alles weet, alles leest, iedereen spreekt. En die bovendien zonder moeite kan functioneren in de dubbele spagaat die ontstaat door de paradoxen in de vereiste opstelling van de toezichthouder: betrokken zijn maar tegelijk onafhankelijk, vertrouwen hebben in de raad van bestuur maar tegelijk ook behoorlijk kritisch zijn – u kunt die rijtjes tegenstrijdige vereisten ongetwijfeld zo reciteren.
Hoe weet in deze situatie de intern toezichthouder of hij/zij zich met vertrouwen kan verantwoorden als het in de organisatie dreigt mis te gaan? Kijk alleen al naar het risico van brand; in zorginstellingen was er in 2010 een record aantal binnenbranden. Het merendeel van de zorginstellingen voldoet niet aan de wettelijke brandveiligheidseisen, stelde de Onderzoeksraad voor Veiligheid kort geleden2 vast in zijn rapport over een tragische brand in zorginstelling Rivierduinen. Maar de raad stelde bovendien dat ook Rivierduinen, ondanks het feit dat daarin werd voldaan aan alle wettelijke eisen, niet ‘voldoende op maat heeft opgelet’, niet voldoende rekening heeft gehouden met de concrete zorgsituatie in de instelling. Hoe zit het in zo’n geval met de verantwoordelijkheid van de intern toezichthouder?
Voorbeeld:
* Vrij naar Toolkit toezicht onderwijs, Blokdijk (red.), Nationaal Register Den Haag, 2009. |
Risicofactoren in het intern toezicht
Systeeminherente risicofactoren
Het intern toezicht in maatschappelijke ondernemingen heeft, zoals bekend, te maken met enkele inherente risicofactoren die voortkomen uit onvolkomenheden in het systeem. Met name genoemd moet worden het in verreweg de meeste gevallen ontbreken van het derde element in de checks en balances van het ondernemingsbestuur die in het bedrijfsleven wél aanwezig is: de eigenaar/aandeelhouder. De maatschappelijke discussie over de eigendoms- en beschikkingsvragen die de laatste jaren nogal heftig heeft opgespeeld in de woningcorporatiesfeer, vormt op dit punt een sprekend voorbeeld. In organisaties met een maatschappelijke opdracht is feitelijk sprake van samenlevingseigendom, een factor die tot nu toe in de besturingssystematiek geen gereguleerde vorm van formele vertegenwoordiging heeft gevonden. In plaats van de bestuurlijke driepoot van het bedrijfsleven: eigenaar-directie-toezichthouder, zien we hier een tweepoot: directie-toezicht. De inmiddels op gang gekomen introductie van particuliere eigendom in met name de zorg doet aan dit principe vooralsnog niet af. Het denken over dit en andere manco’s op systeemniveau is in ontwikkeling: met stakeholderparticipatie, maatschappelijke participatieraden, raden van belanghebbenden enzovoorts wordt geëxperimenteerd. Het zijn echter wel aspecten waarmee de toezichthouder ook vandaag al bewust rekening moet houden.
Niet-systeeminherente risicofactoren
Datzelfde geldt uiteraard voor de specifieke risico’s die in de organisatie zelf besloten zitten en voor de niet-systeeminherente risicofactoren in de invulling van het toezicht. Met nadruk wordt hier gewezen op het ervaringsgegeven dat toezichthouders zich in de praktijk van het toezicht nauwelijks bewust blijken te zijn van de vraag wanneer ze vanuit welke rol denken en handelen: vanuit de controlerol, de advies/ klankbordrol of de werkgeversrol naar de bestuurder. Dat is overigens in de praktijk ook niet zo gemakkelijk als het klinkt, blijkt uit evaluaties van raden van toezicht/commissarissen. Een van de lastigste paradoxen in de opdracht van de intern toezichthouder is immers juist die combinatie van de adviesen de controlerol. Het is duidelijk dat als vooraf in de adviesrol met de bestuurder is meegedacht in keuzen van strategie en beleid, de controlerende rol op die punten een stuk lastiger kan worden en nog verder kan worden gecompliceerd door elementen uit de werkgeversrol. Het vormt een risico als de toezichthouder zich dit niet bewust is.
Tal van andere factoren die goed functioneren van het intern toezicht belemmeren of zelfs beletten vormen evenzovele potentiële risicofactoren. Denk aan het ontbreken van een gezamenlijke toezichtvisie, van schriftelijk vastgelegde en zo mogelijk meetbare toezichtcriteria en ijkpunten, en een uitgewerkt jaarlijks toezichtplan. Dat zijn noodzakelijke elementen van toezicht, die bovendien gebaseerd moeten zijn op een breed in de organisatie gedragen visie op wat deze nu en in de komende jaren nodig heeft. Als toezichthouders daarover niet beschikken, niet vooraf hebben vastgelegd op basis van welke criteria en ijkpunten ze strategie, beleid en uitvoering beoordelen en niet werken met een goed gestructureerd toezichtplan, wordt goed functioneren vrijwel onmogelijk.
Een andere in de praktijk zeer belangrijke risicofactor voor goed intern toezicht is uiteraard de informatievoorziening. Een complex element, gekenmerkt door twee serieus beperkende factoren: de onafhankelijkheidsparadox en de kennis- of informatieasymmetrie, waarmee resp. wordt bedoeld dat degene die toezicht houdt afhankelijk is van de medewerking van degene op wie het toezicht is gericht en het feit dat intern toezichthouders te maken hebben met een natuurlijke achterstand op de bestuurder, die veel meer van de organisatie weet omdat hij er deel van uitmaakt. De toezichthouder moet in kort tijdbestek met beperkte middelen en op afstand informatie verzamelen waarvan hij/zij vaak het bestaan niet kent. Een organisatie die deze informatievoorziening niet goed regelt loopt een groot risico, net als de toezichthouders zelf. Andere factoren die een risico kunnen vormen voor het functioneren van het toezicht zijn bijv. een niet op de behoeften van de organisatie afgestemde samenstelling van de raad van toezicht of commissarissen, ontbrekend inzicht in nevenfuncties en mogelijke belangenverstrengeling, en te weinig (of te weinig serieuze) evaluatie van het eigen functioneren. Eerlijk gezegd slaat de meeste toezichthouders de schrik om het hart als ze zich realiseren op hoeveel punten in hun functioneren ze risico lopen, op welke elementen ze kunnen worden aangesproken en waarop ze geacht worden te letten.
Voorbeeld: Belangrijkste derailers:
Eerste symptomen
* Naar de Amerikaanse psycholoog Robert Hogan, bekend geworden door zijn innovaties op het gebied van persoonlijkheidstesten. Het hier weergegeven lijstje van mogelijke ‘derailers’ stamt uit de Hogan Development Survey (HDS) en is te vinden via http://www.hoganassessments.com/assessments-hogan-development-survey. |
Checklists helpen
Een waardevol hulpmiddel, maar ook niet meer dan dat, kan zijn het werken met checklists. In verschillende publicaties zijn lijsten te vinden met punten waarover de toezichthouder vragen moet stellen, welke punten hij/zij moet nagaan. Enkele voorbeelden van dergelijke lijstjes zijn opgenomen in een drietal kaders: twee in dit deel van het artikel, een derde in het tweede deel. Het is, zo leert de ervaring, praktisch en nuttig je als raad van toezicht/commissarissen van tijd tot tijd gestructureerd in dergelijke handreikingen te verdiepen. Maar het afvinken van checklists is zeker niet voldoende: het is niet moeilijk een lange rij casussen te noemen waarin de boel in de soep liep ondanks bijv. een ISO- of HKZ-certificering. Uiteindelijk draait het voor de toezichthouder om een helder inzicht in het totale systeem van checks en balances in de organisatie. Wie daar goed zicht op heeft, weet wat de positie is van de ondernemings- of medezeggenschapsraad in het geheel, van de cliëntenraad en de interne controller, maar ook van de individuele professionals en de afdelingshoofden. Weet als toezichthouder op hoofdlijnen hoe de verantwoordelijkheid is geregeld als salmonellakippen zijn ingekocht, of als brand uitbreekt.
Het helpt als toezichthouders zich realiseren dat niet alleen het adviesonderdeel van de toezichttaak naar zijn aard in het voortraject zit, ex ante dus, maar dat ook het controledeel steeds meer verschuift van ex post naar ex ante, van achteraf controleren of het allemaal wel goed is gegaan naar vooraf kijken of het wel goed kán gaan. Dat betekent uiteraard kijken of de systemen op orde zijn. Of er een goed systeem van risicodetectie is en of er überhaupt sprake is van een voldoende mate van risicomanagement. Maar in de praktijk blijkt vooral een goede inschattingsvaardigheid nodig, goed inzicht in hoe processen verlopen, hoe mensen samenwerken, in welke mate het nastreven van persoonlijke belangen in een organisatie ruimte heeft gekregen. Het is uiterst belangrijk te beschikken over bestuurlijke sensitiviteit, betrokkenheid en maatschappelijke voelsprieten. Dat die psychosociale aspecten, de boardroomdynamiek, een belangrijker rol spelen dan vaak wordt gedacht, mag duidelijk zijn. Wat Cools en Sluijters c.s., naar wie naar wie hier eerder verwezen is, zeggen over het wezen van ‘modern’ risicomanagement, sluit hierbij volledig aan. Voor toezichthouders is het belangrijk zelfs de kleinste signalen – de early warning signals – op te pikken en niet te wachten op de rinkelende bellen van red alerts.
Toezichthouders moeten goed in beeld hebben of bestuurders en managers op hun taken berekend zijn, of ze samen door één deur kunnen. Of ze niet zijn losgezongen van de organisatie en zich in een soort knusse cocon op hun eigen verdieping bevinden, of ze niet te veel tijd in elkaar steken zonder zich af te vragen of dat wel zo relevant is voor de organisatie. Of de bestuurders door de organisatie en door de buitenwereld nog wel serieus genomen worden. Of hun besluiten voldoende impact hebben. Hoe kijkt de rest van de organisatie aan tegen het netwerkgedrag van de bestuurder, hoe beoordelen patiënten de kwaliteit van de zorg, wat is de invloed van de lopende fusie op de beeldvorming in de media, welke geluiden gaan rond bij de vakbonden – en zijn de bestuurder en die ene politicus geen erg goede vrienden? Voor toezichthouders is, kortom, behalve gedegen feitelijke kennis en vaardigheden de aanwezigheid van uitstekende soft skills noodzakelijk. Ze moeten zelf hun voelhorens uitsteken. Dat vereist veel kennis van zaken, maar vooral een wijs en prudent oordeel.
In het tweede deel van dit artikel, dat in het volgende nummer van dit blad wordt opgenomen, wordt nader ingegeaan op het thema risico en aansprakelijkheid.
Mr. Trudy M.M. Blokdijk is als docent-onderzoeker verbonden aan TiasNimbas Business School/Universiteit Tilburg, begeleidt (zelf) evaluaties van raden van toezicht en raden van commissarissen en is toezichthouder in een aantal organisaties.
Noten
1 Zie bijv. de recente uitspraken over de Inspectie voor de Gezondheidszorg door onder meer de WRR, de Nationale Ombudsman en de minister van VWS. Een ander recent voorbeeld is het door de rechter terugfluiten van de NMa ter zake van aan zorginstellingen opgelegde boetes. De rechtbank Rotterdam vernietigde begin april van dit jaar de eerste daadwerkelijke boetes die de NMa heeft uitgedeeld in de zorgsector, omdat deze niet voldoende gemotiveerd waren. De toezichthouder had meer onderzoek moeten doen naar specifieke situaties in de thuiszorg, zoals de rol van het zorgkantoor en de aanwezigheid van wachtlijsten, luidde het oordeel.
2 April 2012.
Literatuur
- Minderman, G.D., ‘Vier vuistregels voor adequaat toezicht binnen de publieke sector’, Public Controlling, november 2003, 5-9.
- Tweede Kamer der Staten-Generaal, Kaderstellende visie op toezicht, Kamerstukken 2005/06, 27831, nr. 15.
- Algemene Rekenkamer, Goed bestuur in uitvoering, de praktijk van onderwijsinstellingen, woningcorporaties, zorgorganisaties en samenwerkingsverbanden, Den Haag, 2008.
- Toolkit toezicht onderwijs, G.M.M. Blokdijk (red.), Nationaal Register, Den Haag, 2009.
- Dijkstra, Hans, Goed bestuur in de egoïsteneconomie, Mediawerf, 2011.
- Honan, Robert, The Hogan Development Survey (te vinden via http://www.hoganassessments.com/assessments-hogan-developmentsurvey).
- Wetenschappelijke Raad voor het Regeringsbeleid, Overheidstoezicht door de Inspectie voor de Gezondheidszorg, Den Haag, 2012.
- Raad voor de Maatschappelijke Ontwikkeling, Tegenkracht Organiseren, Den Haag, 2012.