Risicomanagement heeft continu aandacht van het (financieel) management nodig. Compliancedeskundige mr. drs. Maud Bökkerink: “Het is nu te veel hapsnap.”
De witwasaffaire bij ING staat ons nog goed op het netvlies. Deze deed CFO Koos Timmermans de das om. Het ontbreken van de nodige controls, leek bij ING een klassiek dilemma tussen risicomanagement en een eagerness om toch vooral maar deals te kunnen blijven doen. Het bijbehorende OM-rapport las vervolgens als een thriller. De megaboete die volgde, was niet de enige die Nederlandse financiële instellingen voor de kiezen kregen. Ook de Liboraffaire van Rabobank ligt nog vers in het geheugen. En meer recent wil De Nederlandsche Bank dat ABN AMRO al zijn klanten nog eens doorlicht. Het oordeel? De bank heeft klantendossiers niet voldoende op orde. Ook wordt het risico op financiële criminaliteit niet altijd goed ingeschat. Wie denkt dat dat soort controlemechanismen alleen bij banken falen, heeft het zelf mis. We hoeven alleen maar Steinhoff en Imtech te noemen. En wellicht is General Electric het volgende voorbeeld?
De aandacht ebt weg
“Het gaat te ver de voorbeelden op één hoop te gooien”, begint Bökkerink het gesprek. “Maar als ik een rode draad zou moeten benoemen, dan constateer ik wel dat er te weinig of soms niet constant aandacht voor risicomanagement is. In het algemeen worden de teugels na een schandaal of affaire flink aangetrokken. Maar daarna ebt de aandacht te snel weg en wordt het weer business as usual. De aandacht voor risicomanagement gaat met golven, ook naar gelang toezichthouders meer of minder van zich laten horen.” En af en toe is het ook niet eenvoudig, beschouwt Bökkerink. “Met name financiële instellingen moeten aan zoveel regels voldoen, dat het niet eenvoudig is om die te verwerken in de organisatie. Het is lastig, en dat zie je bij zowel ING als ABN AMRO, om die in de systemen te krijgen. Nog los van het feit dat je duizenden medewerkers mee moet zien te krijgen. Als laatste spelen ook gewoon de kosten mee. Compliance en risicomanagement kosten geld, dat je niet aan de groei van de onderneming kunt besteden. Soms is de vraag in een organisatie dan ook snel gesteld: kunnen we niet met wat minder toe?”
Het echte risicodenken
Complexe regelgeving. Technisch moeilijk te implementeren. Kosten. Het zijn de elementen die maken dat risicomanagement niet altijd een populair onderwerp is in de boardroom. Bökkerink: “Alles bij elkaar opgeteld, krijg je het effect dat medewerkers niet meer zien waarvoor wet- en regelgeving is bedoeld. Het echte risicodenken zit er dan niet meer in. Met risicodenken bedoel ik een inschatting van het risico maken. Als basis neem je het gegeven dat je niet alle risico’s kunt vermijden. Anders ben je out of business. Om een inschatting te maken van de risico’s die je kunnen raken, moet je een inventarisatie maken. Vervolgens beoordeel je die risico’s. Aanvaard ik dit risico of moet ik – aanvullende – mitigerende maatregelen nemen? Om een voorbeeld te noemen: de gemiddelde particuliere betaalrekening is niet zo interessant. Mkb en private banking worden al interessanter. En bij grote ondernemingen loopt het risico verder op. Uit onwetendheid screenen banken alles op dezelfde wijze, maar dat is niet te doen.”
Bökkerink waarschuwt voor de extraterritoriale reikwijdte van Amerikaanse wet- en regelgeving. “Die gaat ver. Amerikaanse toezichthouders eisen bijvoorbeeld rechtsbevoegdheid op zodra er in Amerikaanse dollars wordt gehandeld. Alsof je je op Amerikaans grondgebied bevindt. De dollar is ook een wereldmunt. Het overgrote deel van de wereldhandel gaat in dollars. De laatste vijftien jaar zijn Amerikaanse toezichthouders ook nog eens strikter geworden. Die extraterritoriale reikwijdte speelt ook bij de sancties tegen Iran, die daardoor dus ook voor Europese partijen geldt. Banken, maar ook corporates moeten dus hun activiteiten controleren alsof zijzelf en de partijen waarmee ze zaken doen onder het Amerikaanse wetgeving vallen. Dat is een enorme klus, maar je ontkomt er niet aan. Die Amerikaanse wet- en regelgeving is ook nog eens veel meer rule based, in plaats van principle based.”
Regels links laten liggen
Focus op de echte, grote risico’s. Bökkerink: “Dat begint met een goede analyse. Want dan kun je pas iets zeggen over hoe je ze kunt beheersen. Dat vraagt ook kennis van wet- en regelgeving. Welke zijn voor jou als organisatie van toepassing? En voor wie precies in de organisatie? Welke klanten raakt het? Door dat soort vragen te stellen wordt al snel duidelijk dat je iemand met een rekening met een paar honderd euro niet moet hebben. Maar wellicht wel als hij ineens een paar ton doorschuift naar andere rekeningen. Probleem is nu dat er een berg regels over medewerkers wordt uitgestrooid, zonder te vertellen waar deze voor dienen. Je moet het voldoen aan wet- en regelgeving makkelijk maken voor je medewerkers. Uit de kunst van behavioural economics weten we dat – als dat niet gebeurt – medewerkers regels links laten liggen. Overigens ligt daar ook een taak voor de overheid. Die moet wet- en regelgeving ‘doenbaar’ maken.”
Technologie als oplossing
Technologie kan helpen het probleem te tackelen. Bökkerink: “Met klantprofielen op basis waarvan je kunt bepalen aan welke transacties een hoger risico kleeft. Bijvoorbeeld aan internationale transacties naar schimmige landen of regio’s. Telecommunicatieconcerns werken al jaren succesvol met dergelijke klantprofielen.” Ondernemingen die dit deel van risicomanagement bij de kop willen pakken, kunnen stappen zetten. “Bijvoorbeeld door je klanten te screenen, op basis van informatie die beschikbaar is via diverse commerciële partijen. Daarnaast is er software die kan bekijken welke transactie nu wel of niet bij een klant passen. Als je ineens een verzoek tot betaling krijgt vanuit China of Brazilië, terwijl die klant daar niet actief is, krijg je daar dan een melding van.” Technologie kan dus helpen, maar eigenlijk zou de overheid ook moeten kijken in hoeverre wet- en regelgeving haalbaar is voor financiële instellingen en bedrijven. Anders krijg je als vanzelf een reflex bij dat soort partijen: het zal mijn tijd wel duren.”
Lees ook:
Martin van Staveren: “Omgaan met risico’s hoort tot DNA van management”
Risicomanagement: Voelsprieten naar externe omgeving essentieel
Maud Bökkerink werkt al meer dan 20 jaar op de gebieden compliance, integriteit, toezicht en de bestrijding van financieel-economische criminaliteit. Na gewerkt te hebben bij de FIU, KLPD, het Ministerie van Financiën, IMF en De Nederlandsche Bank is Maud sinds september 2017 zelfstandig consultant op het gebied van compliance, de integere bedrijfsvoering, AML/CFT en sanctieregelgeving. Naast advisering aan overheden, toezichthouders en financiële instellingen, zowel nationaal als internationaal, geeft zij presentaties en trainingen en schrijft zij regelmatig artikelen over deze onderwerpen.
