“Cultuur is het grootste risico voor een onderneming”

De grootste bedreiging van de continuïteit van een onderneming? Er is voor prof. mr. Steven Schuit, hoogleraar Governance and Responsibility aan Nyenrode Business Universiteit, geen twijfel over mogelijk. “It’s the culture, stupid.”

Schuit is één van de sprekers tijdens de collegereeks Risk & compliance die op dinsdag 7 september 2021 van start gaat. “Cultuur is bepalend voor de strategie”, stelt Schuit in zijn uitleg. “Van een sustainable strategie komt weinig tot niets terecht als de corporate culture niet klopt met de omstandigheden waarin de organisatie verkeert. Met omstandigheden bedoel ik de dingen die spelen in de tijd. Denk aan lange termijn zaken als CO2 en de klimaatdiscussie, ongelijkheid en op de korte termijn onderwerpen als de MeToo-discussie en de gele hesjes. Daar hoort ook de opvattingen bij over de naleving van wet- en regelgeving. Dat zijn tekenen aan de wand. Je moet die tijdsgeest weten te grijpen als organisatie en er zo goed mogelijk bij aansluiten, anders ben snel je out of business. Ze zijn essentieel voor je risicomanagement, maar ook voor het pakken van kansen als onderneming. De cultuur moet een reflectie zijn van de normen en waarden die de onderneming mede ontleent aan de tijdsgeest en de omstandigheden. Kortom, cultuur is bepalend voor je strategie.”

Te weinig aandacht voor corporate culture

Het baart Schuit dan ook zorgen dat er onder bestuurders zo weinig aandacht is voor corporate culture. “Dat blijkt ook uit onderzoek van INSEAD. Ongelofelijk. Twee derde van de bestuurders ziet cultuur niet als factor in risicomanagement. Het ontgaat ze compleet. Dat vind ik bijzonder vreemd, ook al omdat cultuur bepaalt of je medewerkers elkaar aanspreken op gedrag. Cultuur maakt of medewerkers signaleren dat gedragingen in strijd zijn met de regels en normen van de onderneming. Cultuur heeft dus ook een invloed op het feit of er corruptie of omkoping plaatsvindt. Ik zeg dat zonder aarzeling, omdat onderzoek aantoont dat bij een goede ondernemingscultuur er minder fraude plaatsvindt. In een goede ondernemingscultuur is risk en compliance niet een van buiten opgelegde matrix van regels. Nee, het is een deel van de werkbeleving die de onderlinge verhoudingen bepaalt.”

Verbeteren van bedrijfscultuur

Raden van Bestuur moeten sturen op het verbeteren van die bedrijfscultuur. “In de vernieuwde Corporate Governance Code is vereist dat daarover vanaf 2018 wordt gerapporteerd. De bedrijfscultuur is daarmee een formeel onderwerp geworden op de agenda van de RvB en RvC. De RvB moet er over praten en kan het onderwerp niet negeren. Ze moeten er zelfs periodiek met een extern deskundige over sparren; dat kan de accountant zijn. Dat het op de agenda is komen te staan, is een verdienste van de codecommissie onder leiding van Jaap van Manen. Als er bijvoorbeeld een cultuur heerst van uitsluitend grof winstbejag, dan kunnen stakeholders daar nu met een verwijzing naar de code het bestuur van de onderneming op aanspreken met de vraag of deze cultuur wel past bij een sustainable bussiness model. Er moet zelfs formeel naar worden gekeken door de accountant bij de audit. Hoe is de tone at the top, zoals bedoeld in de COSO-principes?”

Durven bestuurders elkaar te bevechten?

Die tone at the top, is een belangrijk element in de bedrijfscultuur, stelt Schuit. “Durft men elkaar aan te spreken? Is er sprake een serieuze dialoog in de raad van bestuur, maar ook richting de raad van commissarissen? Dat de bestuurders elkaar niet alleen bevestigen, maar ook durven te bestrijden. Ik heb het wel eens meegemaakt dat de Raad van Bestuur een onderling pact sloot om een voorstel door de RvC heen te krijgen. Je ontneemt de RvC het inzicht van de argumenten en invalshoeken die zijn uitgewisseld. Een RvC heeft meestal veel minder kennis over de markt, technologische ontwikkelingen, financieringsmogelijkheden, concurrentie en arbeidsomstandigheden en staat toch al op een achterstand ten opzichte van de RvB. Dan zie je dus maar de helft van de factoren die een rol spelen. Zonde, want je wilt juist de inhoudelijke discussie kunnen voeren.”

Kijk naar de achterliggende factoren

Schuit komt met een voorbeeld bij Numico, waar hij commissaris was. “We hadden een goede RvB die veel wist van de markt voor babymelk. Als RvC en als RvB hadden we allemaal onze eigen ideeën over de groei van de bedrijfsactiviteiten in China. En eerlijk gezegd waren plannen van beide zijden destijds niet heel erg realistisch. We hebben toen gezamenlijk besloten om twee dagen te kijken naar de achterliggende factoren om deze te doorgronden. Dan gaan bij jou, als commissaris, de ogen open, maar krijgen de leden van de Raad van Bestuur ook feedback op dingen die ze net iets te vanzelfsprekend zijn gaan vinden. Toen bleek dat we veel meer studie moesten gaan doen. We waren simpelweg nog niet toe aan een besluit.”

Factoren van buiten naar binnen halen

“De onderneming fungeert niet in isolement”, beschouwt Schuit. “En dus moet je factoren van buiten naar binnen halen. Hoe werkt de omgeving in op de onderneming? Je maakt dan een schets van de factoren in de wereld die bepalend zijn voor de waarden en normen van je bedrijf op de lange termijn. Die normen en waarden vertaal je weer naar je strategie en uiteindelijk naar de uitvoering ervan.’ Schuit vindt dan ook dat Raden van Bestuur risicobeheersing in dat grote plaatje moeten gaan zien. ‘Blijf niet steken in korte termijn risico’s, waar de onderneming vast al een handboek voor heeft. Creëer een cultuur waarin risico’s worden onderkend en geadresseerd, in plaats van weggestopt.”

Niet zo nauw nemen met de regels

‘Ik wil niet als een heilig boontje overkomen’, vervolgt de hoogleraar. “Maar ik vind dat er teveel wordt gedacht vanuit de pakkans. We pompen de resultaten aan het eind van het jaar op, want dat ziet toch niemand. Of: we nemen het met de belasting minder nauw, want we hebben net de FIOD langs gehad. Die voeren toch niet snel twee keer achter elkaar een controle uit.” Schuit noemt in dit licht ook ING. “Hoe kan het dat bij een bank met meer dan honderd medewerkers op compliance niemand de vinger heeft opgestoken? En ook de cfo niet? De case ING – de bank maakte mogelijk dat criminelen geld konden witwassen – maakt klip en klaar dat risico’s ook zitten in dingen die je niet onmiddellijk ziet. Risico’s zitten juist in zaken die je niet hebt opgeschreven. In het geval van ING lag de focus te veel op omzet behalen en was de tone at the top vermoedelijk dat ‘we het niet zo nauw hoeven te nemen’ met regels.”

Verantwoordelijk houden

Het gebouw van risicomanagement zag er van buiten prachtig uit. “Maar waar waren de three lines of defence? Maar waar was de audit committee? Waar was de RvC? De cfo is afgetreden, maar had hij niet veel eerder ontslagen moeten worden? Of ceo Hamers ook ontslagen had moeten worden? Dat vind ik moeilijk te zeggen. Want dan heb je meteen ook een leiderschapsissue voor de komende periode te pakken. Maar ING zou er goed aan doen om meer mensen verantwoordelijk te houden en voorbeelden te stellen, ook in de top. Als de audit committee zo aan het slapen is, dan moet je de voorzitter ontslaan. Dat is niet gebeurd. In deze cultuur kom je dus weg met een ernstige overtreding van de regels, terwijl de bank een maatschappelijke functie heeft. Daar zit hun license to operate.”