Magazine 01 december 2008

Schaken tegen de geschiedenis

Betekent de kredietcrisis het démasqué van het professionele risicomanagement? Integendeel, menen betrokkenen. Risk managers zijn juist te weinig gehoord en hun positie in het ondernemingsbestuur moet worden versterkt. ‘Het probleem was dat risk managers te weinig macht hadden en onvoldoende serieus zijn genomen.’

Dit artikel is verschenen in de Accountant nr. 12, 2008

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Risk management na de kredietcrisis

Hoe kón dit nou? Nooit eerder stond risk management als zelfstandig specialisme zo centraal in de belangstelling als de laatste paar jaar. Het vakgebied bereikte in Nederland ruim anderhalf jaar geleden een mijlpaal met de benoeming van Koos Timmermans tot chief risk officer in de raad van bestuur van ING Groep. Een teken dat de discipline volwassen was geworden en meetelde op het hoogste niveau in het bestuur van beursgenoteerde ondernemingen, inclusief financiële instellingen.

En dan, zo kort daarna, dat ongekende debacle in het bankwezen - in oktober 2008 compleet geworden met de volledige of gedeeltelijke nationalisatie van tientallen financiële instellingen in de hele westelijke wereld. En erger: alles wees erop dat juist het risk management in het bankwezen zwaar onvoldoende moet zijn geweest.

Misschien zelfs dat risk managers aan de wortels van het probleem hebben gestaan. Hebben aan die hypothekenportefeuilles waarin herverpakte credit default swaps een rol speelden immers ook niet mensen zitten sleutelen die de titel ‘risk manager’ op hun kaartje hadden staan?

‘Nieuwe factoren’

De afgelopen jaren was Gert-Jan Sikking een van de belangrijkste promotors van het jonge vak risk management. Hij is het gezicht van de Nederlandse afdeling van GARP, de Global Association of Risk Professionals. GARP is een wereldwijd opererende, in 1997 in Amerika begonnen organisatie die beoogt de kennis over het vak risk management te vergroten.

Wordt in de wereld van risk managementspecialisten het bankendrama niet ondergaan als een tekortschieten van het vak?

Sikking: “We kunnen niet aantonen dat de schade bij financiële instellingen dankzij risk managers beperkter is dan die zonder hen was geweest. Andersom overigens ook niet. Maar we ontkomen er niet aan vast te stellen dat onze inzichten op allerlei manieren zwaar op de proef zijn gesteld.”

Sikking, die benadrukt dat hij nu niet namens GARP spreekt maar alleen op persoonlijk titel, zegt verder: “Er hebben zich scenario's ontrold waarmee waarschijnlijk niet één risk manager rekening heeft gehouden. Een situatie waarin meer markten tegelijkertijd zeer snel inzakken in combinatie met een soms volledig wegvallen van liquiditeit. Zó heeft niemand zich dat kunnen voorstellen.”

Hij wijst ook op zaken die een rol hebben gespeeld en waarvan de invloed onbekend was: “Het effect op de markten van de transparantie veroorzaakt door fair value accounting en, de extreem snelle ontwikkeling van zeer complexe producten in combinatie een ongekende massapsychose, waren nieuwe factoren.”

Katrina

Als relatief jonge discipline doet risk management denken aan marketing in de jaren tachtig, of investor relations in de jaren negentig van de vorige eeuw. Ineens klonk alom dat dit een uiterst belangrijk vakgebied is dat hoognodig naar een professioneler niveau getild moest worden. Plots leek iedereen verbaasd dat het specialisme door raden van bestuur voorheen zo weinig serieus was genomen. Wat nu precies maakte dat het vak juist de laatste jaren zo in de schijnwerpers kwam te staan, is niet helemaal duidelijk. Mogelijk hield het verband met een versterkt maatschappelijk risicobesef door een reeks gebeurtenissen met wereldwijde impact. Een dergelijk effect hadden de aanval op de New Yorkse Twin Towers in 2001 en ook het in diezelfde tijd leeglopen van de dot-com-bubble zeker.

Maar niet alleen manmade drama's ondermijnden het gevoel dat we in een relatief veilige wereld leven. De tsunami van Tweede Kerstdag 2004, de orkaan Katrina van augustus 2005 en mogelijk ook het vooruitzicht op nog grootschaliger rampen - denk aan Al Gore's film ‘An Inconvenient Truth’ over de aanstaande klimaatverandering - waren wellicht een voedingsbodem voor het idee dat je professionals nodig hebt om na te denken over wat er allemaal kan misgaan.

Specialisme

Overigens hing de behoefte om gestructureerder na te denken over minder voor de hand liggende risico's al eerder in de lucht. Want behalve de oprichting van GARP waren er in de jaren negentig meer initiatieven om risk management op de kaart te zetten. De Nederlandse Associatie van Risk- en Insurance Managers werd in 1996 gevormd. En het half aanpalende Genootschap voor Risico Management gaat zelfs terug tot 1984. Aanvankelijk werd dat ‘risicomanagement’ gezien als een taak die een controller of een interne accountant er wel bij kon nemen. Maar de laatste jaren groeide het vak snel uit tot een op zichzelf staand specialisme.

Stressscenario's

Een van de dingen waar risk managers zich mee bezig hielden en waarin ze - dankzij informatietechnologie en de steeds grotere rekencapaciteit van computers - steeds bedrevener in leken te worden was het doordenken van extreme stressscenario's.

Waarom gingen er op afdelingen risk management na zulke tests dan niet meteen rode lampen branden na de eerste berichten over problemen met subprimehypotheken?

Sikking: “Stressscenario's bedenken en stresstests uitvoeren hoort inderdaad bij dit vak. In de praktijk werkt het bijvoorbeeld zo dat je tien scenario's bedenkt en test: vijf gebaseerd op wat al eens eerder is voorgekomen - een terreuraanslag, een ICT-ramp of een valutacrisis - en vijf puur fictieve. Maar voorbeelden van tests waarin een massapsychose alle markten tegelijk lamlegt, heb ik in geen enkel stressmodel uitgewerkt gezien. Er zijn oneindig veel extreme en extreem onwaarschijnlijke scenario's te bedenken. Maar welke daarvan moet je serieus testen?”

Meltdown

In feite zegt Sikking - terecht - dat van niemand het onmogelijke kan worden geëist: “Ook risk managers kunnen niet voorspellen. En als dat wel wordt verwacht moet je misschien zeggen dat het uitoefenen van het vak risk management een onbegonnen opgave is. Wat wel mag worden verwacht is dat een risk manager gevoeligheden in kaart brengt en inzichtelijk maakt welke invloed die op de balans en de resultatenrekening van een bedrijf kunnen hebben.”

Hij wordt bijgevallen door Gerrit Jan van den Brink, directeur van de Duitse firma ValueData7 die kleinere banken adviseert over risk management-gerelateerde zaken en tevens universitair docent aan de J.W. Goethe Universiteit in Frankfurt. “De marktomstandigheden die we hebben gezien werden veroorzaakt door extreme, niet-rationele overreacties die eenvoudigweg niet in stressmodellen te vangen zijn. Tegen een totale meltdown als deze kun je je niet wapenen.”

Dat betekent overigens niet dat er volgens hem niets te leren valt. “In de toekomst”, zegt van den Brink, “zullen we de grenzen van onze stressmodellen aanpassen en ook minder geïsoleerd naar risico's moeten kijken. Een conclusie lijkt me ook dat we meer dan voorheen naar dynamische gebeurtenissenanalyses moeten kijken”.

Vetorecht

Toch acht de consultant iets anders nog belangrijker: “De echte les die banken - en andere ondernemingen - moeten trekken is dat ze de adviezen van risk managers veel serieuzer moeten nemen. Ik ken helaas té veel gevallen waar risk managers bankbestuurders wel waarschuwden over expected shortfall in risicoposities, bijvoorbeeld door te zwaar ge-leveragede producten, maar directies tegenover zich vonden die daar niet over wilden praten vanwege de hoge verwachte rendementen. Hoeveel interne transparantie een bank kan verdragen? Dat is de vraag waarover het moet gaan.”

Normaliter hadden de corporate governance- systemen van banken moeten zorgen voor bijsturing van roekeloos gedrag. Maar Van den Brink denkt dat daarvan niets terecht kon komen door het zijns inziens desastreuze shareholder value-denken. “De rendementen moesten omhoog. Alleen dát telde, en aandeelhouders noch commissarissen gaven tegenwicht.” Zijn conclusie: “Een risk manager kan alleen effectief zijn als hij op bestuursniveau vetorecht krijgt.”

In feite komt Van den Brinks analyse van de situatie erop neer dat hij de hele zaak omkeert: Niet ondanks de sterk toegenomen invloed van risk managers ontstonden de problemen in het bankwezen, maar juist als gevolg van hun nog steeds veel te zwakke positie in de bankhiërarchie. Hij gaat in de aanval in plaats van zich te verdedigen. Risk managers zouden omver geblazen zijn door net iets te ‘innovatieve’ commerciële bankjongens die vanuit de top van de organisatie wel steun kregen.

Heeft hij gelijk?

Drie verdedigingslinies

Wel in de ogen van een andere consultant op het gebied van risk management. Wim Eysink is partner bij Deloitte - dat als bedrijf overigens lid is van het Genootschap voor Risico Management - en geeft leiding aan een afdeling die grotere organisaties adviseert over kwesties rond risk management. “Risk managers horen in een organisatie te fungeren als countervailing power tegenover de meer ondernemende afdelingen. Maar ze worden vaak niet gekend in het besluitvormingsproces of hun mening wordt niet adequaat meegenomen.”

Eysink onderscheidt drie lagen in een onderneming waar risico- en rendementsafwegingen worden gemaakt. De eerste is de laag van het management. Dat is meestal erg performance-gericht en neigt er van nature niet erg naar ‘op de rem’ te staan. De second line of defence - vanuit het perspectief van risicobeheersing - is de controller die de bedrijfssystemen moet checken. De third line of defence is volgens Eysink de interne auditafdeling die kijkt of het systeem van checks en balances heeft gewerkt.

Overruled

“De risk manager hoort natuurlijk in die second line of defence te opereren”, aldus Eysink. “Hij of zij is bij uitstek het ‘geweten’ van het bedrijf.”

Volgens Eysink ontstonden bij sommige banken problemen doordat in de eerste laag met grote snelheid producten werden ontwikkeld die de tweede laag qua kennis en systemen eigenlijk niet heeft kunnen bijhouden. “Risk managers moeten steunen op diverse informatiesystemen. Ze keken wel naar allerlei modellen en de statistieken die ten grondslag lagen aan die complexe producten, maar een gestructureerd inzicht ontbrak.”

Eysink denkt dat vooral werd gekeken of de systemen die op kansberekening waren gebaseerd stand hielden. “Kleine kansen met een hoge kwetsbaarheid zijn veelal niet onderkend, niet meegenomen, of wellicht werden risk managers overruled. In ander gevallen waren de risico's en de mogelijke gevolgen wellicht wel bekend, maar is er door het management welbewust een afweging gemaakt om die gewoon te nemen. Het lijnmanagement is verantwoordelijk voor gemaakte keuzen, niet de risk managers. Laten we dat niet vergeten.”

Sigarendoosjes

Min of meer in lijn met wat Van den Brink daarover zegt, meent ook Eysink dat over de plaats van het risk management in het governance system opnieuw moet worden nagedacht.

“Het is een vak dat nog moet door- groeien. En de pretentie moet realistisch zijn: risk managers doen aan reductie van onzekerheid. Meer dan dat kunnen ze niet beloven.”

Hij herinnert eraan dat ondernemen risico's nemen is. Maar uiteindelijke moet wel antwoord worden gegeven op vragen als: welke beloning hoort bij welke risico's die we hiervoor nemen? En: hoe kwetsbaar zijn we als onderneming?

“Door de complexe systemen en veelheid van data, zit het gevaar erin dat ze steeds verder weg raken van de kernvragen, die vroeger op die spreekwoordelijke achterkant van het sigarendoosje uitgerekend werden.”

‘Geen kenniskloof’

Bijna nog strijdlustiger dan Eysink en Van den Brink klinkt Jan van de Poel, hoogleraar risk management aan de economische faculteit van de Universiteit van Maastricht. Hij trok de afgelopen maanden onder meer aandacht met zijn observatie dat het op zich al een veeg teken was dat de laatste jaren in sommige bankbesturen chief risk officers zijn benoemd. Hij vatte zijn kritiek kernachtig samen met de uitspraak: “Bankieren ís immers risk management.” In zijn reactie op de vraag of het bankendebacle geen vragen oproept over wat risk management vermag, klinkt dan ook geen verontschuldiging door. “Bankbestuurders moeten zelf risk management doen, en dat dus ook kunnen. Nu zijn risk manager een soort grensrechters met te weinig bevoegdheden.”

Maar Van de Poel legt in zijn analyse wel andere accenten. Hij gelooft niet in een kenniskloof tussen de risk manager en de financial engineer die complexe constructies bouwt: “Risk management en structured finance zijn domeinen die elkaar vrijwel volledig overlappen. Mits goed opgeleid weten beiden evenveel. Ze hebben alleen andere functies en verantwoordelijkheden. De snag zit niet in de kennis, maar in de plaats en rol in de organisatie.”

Keukenmessen

De hoogleraar vindt dat er veel meer aan risk management had moeten worden gedaan. “Het probleem was dat risk managers te weinig macht hadden en onvoldoende serieus zijn genomen.” Degenen die de macht wel hadden, waren “als chirurgen die met keukenmessen stonden te opereren”. Dat beeld doemde volgens Van de Poel ook op uit het rapport dat de internationale lobbyclub van banken International Institute of Finance (IIF) afgelopen zomer liet verschijnen. “Wat veel eindverantwoordelijke bankiers deden was feitelijk nattevingerwerk.” Van de Poels opvatting is dat de nieuwe instrumenten die in de financiële sector worden gebruikt zeer verfijnd zijn en dat verantwoord gebruik ervan vereist dat bankiers kennis hebben op het hoogste niveau.

Accountants

De Maastrichtse hoogleraar maakt zich zorgen over de soms erg simplistische reacties op de gebeurtenissen: “Ik hoor roepen dat we terug moeten naar rechttoe rechtaan bankieren; wég dus met die complexe instrumenten. Onzin! Typisch weer die Pavlov-reactie: terug naar vroeger. Terug naar de Middeleeuwen dus. Maar dat is natuurlijk veel schadelijker.”

Ook op de vraag hoe excessen in de toekomst vermeden moeten worden heeft Van de Poel wel een antwoord: “Ik pleit niet voor nóg meer of nog strenger toezicht van overheidswege. De Stalinvariant lijkt mij zeer onaantrekkelijk. Als het kan, moet dit kunnen worden opgelost door bankiers die worden ondersteund door risk managers die echt verstand van zaken hebben. En gespecialiseerde externe accountants moeten hen controleren.”

Dat de rol van accountants in deze crisis ook niet altijd vlekkeloos was, ziet Van de Poel ook wel. “Maar een waardeloze beroepsgroep is het zeker niet.”

Maginot-linie

En toch blijft er, ook bij al die uiterst plausibele motieven om de positie van risk managers in bedrijven te versterken, twijfel knagen. In gedachten doemt een vergelijking op met de Maginot-linie die de Fransen in de jaren twintig en dertig van de vorige eeuw bouwden. Een zware miljardenverslindende keten van bunkers en kazematten aan hun noordoostelijke grens met Duitsland. Die moest het gevaar van Hitler en zijn territoriale ambities definitief beteugelen. Wat de Fransen vergaten was dat de Duitsers gewoon de neutraliteit van België aan hun laars konden lappen en Frankrijk vanuit het noorden konden binnentrekken. Dát, plus de inzet van een nieuw wapen - het vliegtuig - maakte die ‘onneembare’ Maginot-linie in een klap tot een koddig ouderwets idee.

Anders gezegd: gevaar - of om het neutraler te zeggen: risico - blijkt steeds weer uit een hoek te komen van waaruit je het niet verwacht. Het werk van risk managers doet denken aan schaken; ze schaken tegen de geschiedenis.

Zwarte zwanen

Nassim Nicholas Taleb, hoogleraar aan de London Business School, essayist, belletrist en voormalige effectenhandelaar met een Libanese achtergrond, schreef enige jaren geleden het boek Fooled by Randomness en recenter The Black Swan. Publicaties die op de verplichte boekenlijst van risk managers in-spe misschien hoger zouden moeten staan dan de standaardwerken op het gebied van statistiek, wetenschapsfilosofie, financiële rekenkunde of geschiedenis.

Taleb bedoelt met een Black Swan een gebeurtenis waarvan de waarschijnlijkheid dat hij zich voordoet zeer klein is, maar die enorme repercussies heeft. Hij wijst erop dat de invloed op de wereldgeschiedenis van zulke gebeurtenissen veel groter is dan we beseffen. In een interview met MCA, Tijdschrift voor Organisaties in Control, dat Taleb najaar 2007 gaf, herinnert hij er aan dat de Eerste Wereldoorlog, die iedereen achteraf ‘voorspel- baar’ noemde, indertijd in werkelijkheid helemaal niet werd verwacht. Talebs betoog is in feite één groot pleidooi om onder ogen te zien dat we ons niet in slaap moeten laten sussen door de wereld te zien door de bril van ‘waarschijnlijkheden’. Aan de gevarenkant niet, maar zeker ook niet aan de kansenzijde.

Normaalverdeling

De observaties van Taleb worden ondersteund door de recente gebeurtenissen in de financiële markten. Hoe groot was immers de kans dat alles tegelijk samen- werkte en zorgde dat bijvoorbeeld de drie grootste banken van Nederland zonder staatssteun niet kunnen voorbestaan. Tot voor kort was dit statistisch haast ondenkbaar. Maar het lijkt ook te impliceren dat zelfs als risk managers in de hiërarchie van bedrijven steviger posities krijgen en roekeloos gedrag kunnen indammen, grote, onverwachte gebeurtenissen zullen blijven voorkomen.

Risk management-promotor en GARPvoorman Gert-Jan Sikking lijkt zich die beperking van zijn vak wel bewust te zijn: “We dachten na over de vraag: hoe groot is de kans dat extreem scenario zus of zo zich voordoet? Als die erg klein was, dus heel ver in de linker- of rechter staart van de Gauss-curve (normaalverdeling, zie kader) zat, hebben we misschien ver zuimd ons af te vragen: áls zich dat geval toch voordoet, hoe groot kan de schade dan zijn? Bovendien: hoe taxeer je de gevolgen van die gebeurtenissen met extreem lage waarschijnlijkheid? Kosten die je een paar miljoen, een paar honderd miljoen of nog meer?”

Schaken

Maar er zijn nog wel en paar andere vragen waar de vakbroeders in de wereld van het riskmanagement hun tanden in kunnen zetten.

Sikking noemt er een paar: “Misschien moeten we onze aannames over kansverdelingen bijstellen. Maar wellicht is onze benadering juist te strikt kwantitatief geweest en moeten we ons juist meer met het kwalitatieve bezighouden. Dus meer scenario's bedenken. Maar ja, welke waarschijnlijkheden moet je dan weer aan die extreme scenario's koppelen?”

Sikkings woorden onderstrepen: Wat risk managers proberen te doen is niet te toekomst voorstellen maar inderdaad een vorm van schaken tegen de geschiedenis. Een indrukwekkende opgave, vooral nu de halve wereld toekijkt en wacht op het moment dat ze nu eindelijk ook een keer gaan winnen.

Platforms risk management

Genootschap voor Risico Management (GVRM)

Het GVRM, opgericht in 1984, is een vereniging van mensen die zich bezighouden met of geïnteresseerd zijn in risicomanagement in de breedste zin. Het genootschap wil een platform zijn voor kennisuitwisseling en een netwerk voor professionals, en streeft naar verdere ontwikkeling van het vakgebied. Er worden themabijeenkomsten, lezingen en congressen georganiseerd, en men neemt deel aan nationale en internationale fora. Het genootschap ondersteunt diverse opleidingen.

Leden: tachtig bedrijfsleden, 55 persoonlijke leden.
Voorzitter: Johan ten Houten, Deloitte Accountants.

Nederlandse Associatie van Risk en Assurance Managers (NARIM)

Associatie van risk en insurance managers die werkzaam kunnen zijn bij ondernemingen, overheden en andere instellingen. NARIM werd opgericht in 1996. Leden zijn meestal belast met risicobeheer (enterprise risk management) of het beheer over de verzekeringsporfeuille van een organisatie, en werken in de dagelijkse praktijk veel met (her)verzekeraars, makelaars en schade-experts. NARIM organiseert congressen en kent branche-geörienteerde vakgroepen.

Ledental: 150.
Voorzitter: Peter den Dekker, Corporate Risk & Insurance Manager, Stork NV.

Global Association of Risk Professionals (GARP)

Wereldwijde gemeenschap (community) van hoofdzakelijk in de financiële sector opererende risk professionals. Leden zijn actief zowel in de academische als in de commerciële wereld. Sterk gericht op het aanbieden van opleidingen en certificeringsprogramma's. Werkt samen met centrale banken in diverse landen. Verzorgt in Nederland opleidingen, onder meer Financial Risk Management, in samenwerking met NIBE-SVV.

Ledental: wereldwijd 77.000, in Nederland 250.
Vertegenwoordiger van het Dutch chapter: Gert-Jan Sikking, PGGM.

De dunne staarten van de Gauss-curve

Organisaties en individuen nemen beslissingen op basis van waarschijnlijkheden. We stappen in een vliegtuig want we veronderstellen dat het veilig zal landen. Banken geven hypotheekleningen in de veronderstelling dat hun klanten genoeg blijven verdienen om de rente te betalen.

Ook wie nog nooit van een Gauss-curve heeft gehoord, denkt en plant in termen van een normaalverdeling: de grafiek met het profiel van een hoop droog zand. Begrijpelijk. Toch spelen onwaarschijnlijke, vaak amper voorstelbare gebeurtenissen - de promillages aan de uiteinden van de curve - een veel grotere rol dan we denken. De chaostheorie van de wiskundigen Lorenz en Poincaré wees er al op dat heel kleine oorzaken via een onnavolgbare keten van gebeurtenissen grote gevolgen kunnen hebben. Denk aan het beeld van die vlindervleugels in de Amazone die elders een storm veroorzaken. Relaties tussen oorzaak en gevolg worden dus veel te makkelijk gelegd. Was de Russische Revolutie wel een gevolg van denkbeelden uit Marx' Das Kapital? Willekeur, misverstanden, toevalligheden spelen vaak een enorme maar vaak onzichtbare rol.

Hiermee nauw verbonden is de what if-vraag die in 1991 al eens op de agenda van een NIVRA-congres stond. De titel van dat congres ‘De neus van Cleopatra’, verwees naar Keizer Marcus Antonius die verliefd werd op de Egyptische koningin. Hoe zou het met het Romeinse rijk zijn afgelopen zonder die neus? What if?-vragen kijken achteruit.

In zijn boek The Black Swan - ondertitel: The impact of the highly improbable - kijkt auteur Nassim Nicholas Taleb juist vooruit. Hij zegt: Hou er rekening mee dat de gebeurtenissen vaak niet tenderen naar de meest waarschijnlijke scenario's. Bewijs zijn bijvoorbeeld het spontaan ontstaan van het internet. Of de extreme rijkdom van Bill Gates. Zulke uitschieters noemt hij ‘zwarte zwanen’: zeer onwaarschijnlijke gebeurtenissen die toch telkens voorkomen. Negeer ze niet, maar koester ze.