Opinie 11 september 2017

Soft controls en cultuurverandering

Eind 2016 kwam aan het licht dat negentig medewerkers van een grote Nederlandse bank handtekeningen van klanten kopieerden, om hypotheekdossiers volgens de regels af te kunnen sluiten. Over het begrijpen van regels, soft controls en het creëren van een transparante cultuur.

Laszlo Nagy

Het komt regelmatig voor dat een hypotheekadvies van een bank, na ondertekening door de klant, toch nog moet worden aangepast. De regel is dat hypotheekadviezen, inclusief alle wijzigingen, door klanten formeel geaccordeerd moeten worden. In zo'n geval moeten klanten dus opnieuw hun handtekening zetten, hoe klein ook de aanpassing. 

Soms lukte het medewerkers van de bank echter niet om tijdig van de klant een nieuwe handtekening te verkrijgen. Uit vrees om niet 'compliant' te zijn met de strenge regels hadden sommige medewerkers zelf maar een gekopieerde handtekening op het aangepaste advies gezet.

Non-compliance om compliant te kunnen zijn? Is dat in het belang van de klant en de organisatie? Begrijpen we wel goed wat we doen en waarom? Tijd voor meer aandacht voor 'soft controls': begrijpen wat we doen, in plaats van het klakkeloos volgen van regels.

De afgelopen jaren hebben zich allerlei problemen voorgedaan bij onder meer woningcorporaties, banken en verzekeraars. Van fraude en ontspoorde projecten tot woekerpolissen en perverse prikkels. Dit heeft geleid tot grote financiële schade, zowel voor de desbetreffende organisaties als voor individuele klanten en opdrachtgevers. Het heeft het afgelopen decennium mede gezorgd voor veel nieuwe regelgeving, zoals de Solvency- en Basel-regels in de financiële sector en de herziene Woningwet voor woningcorporaties.

Regels begrijpen

De stroom van nieuwe wetten en regels heeft echter ook een keerzijde. Natuurlijk is het van groot belang dat van de lessen uit het verleden wordt geleerd. Dat dit leidt tot nieuwe regels en wetten is een gegeven. Maar zoals blijkt uit het bovenstaande voorbeeld, is het bestaan van regels op zichzelf onvoldoende om de ongewenste risico's te managen en beheersbaar te maken. Het is van wezenlijk belang dat medewerkers op zijn minst de regels kennen, begrijpen, weten waarom ze er zijn en wat het belang van die regels is. Van belang is ook dat het verantwoordelijke management steeds het goede voorbeeld én de juiste prikkels geeft. 

Goed risicomanagement kan daarom niet zonder aandacht voor het gedrag binnen een organisatie. Als medewerkers niet weten waarom regels belangrijk zijn, zullen zij zich er niet snel aan houden. Als er in een organisatiecultuur 'perverse' prikkels zijn, die er toe leiden dat medewerkers zich niet aan de regels houden, dan is aanscherpen van de regels geen oplossing. Zeker zo belangrijk is dan het opsporen van die prikkels en het verbeteren van de cultuur binnen de desbetreffende organisatie. 

Zachte maatregelen

Ik krijg in mijn beroepspraktijk regelmatig de vraag van organisaties wat er moet gebeuren om te zorgen dat medewerkers hun werk volgens de afgesproken regels doen. Misschien een beetje een open deur, maar allereerst moeten die medewerkers de regels natuurlijk kennen. Zeker zo belangrijk is dat ze begrijpen waarom die regels nodig zijn. Met andere woorden: medewerkers moeten inzien waarom bepaalde regels waarde hebben voor de organisatie en diens stakeholders.

Wat helpt voor begrip en draagvlak is als medewerkers worden betrokken bij het opstellen van die 'afgesproken regels'. Geen gegeven, maar betrokkenheid. Er moet daarnaast energie gestoken worden in de 'zachte' maatregelen die bedrijfsprocessen ondersteunen en het gedrag van medewerkers beïnvloeden. Door de gerichte inzet van zulke 'soft controls' kan een cultuur ontstaan waarin gewenst gedrag wordt gestimuleerd en ongewenst gedrag, zoals het overtreden van regels, wordt ontmoedigd. 

Transparante cultuur

Er zijn allerlei methodieken en instrumenten waarmee je kunt werken aan het ontwikkelen van soft controls en het stimuleren van een transparante organisatiecultuur. Daarbij kun je denken aan medewerkersonderzoek, waarin je vaststelt welk gedrag medewerkers plezierig vinden en welk gedrag niet. Het organiseren van trainingen over feedback geven ('zeg wat je ziet') is ook een goed instrument. Andere tools zijn de beoordelingen van medewerkers, voorbeeldgedrag van het management en het bespreekbaar maken van dilemma's. 

Waar je uiteindelijk naar toe wilt is het creëren van een open en transparante cultuur waarin men elkaar kan, wil en durft aan te sporen en aan te spreken op gewenst en ongewenst gedrag. Maar ook op onwerkbare of doorgeschoten regels en werkwijzen. Dat is een betere voorwaarde voor goed risicomanagement en het navolgen van de regels dan bijvoorbeeld een angst- of schaamtecultuur, waarbinnen medewerkers bang zijn fouten te maken of fouten toe te geven. Dat geldt niet alleen voor bijvoorbeeld banken of zorgverleners, maar ook voor accountants; zie de eerste resultaten van de cultuurmeter. Over die transparante cultuur is het laatste woord nog zeker niet gezegd.

Laszlo Nagy is director Business Risk Services (governance, internal audit, risk management en compliance) bij IMPROVEN, adviesbureau op het gebied van risicomanagement, finance en IT.