Integriteit en compliance als kern van toezicht

(Ik weet het, ik had beloofd dat mijn volgende blogje over de bestuurder als subject zou gaan, maar dit kwam even tussendoor). Deze week had ik een interessante Twitter-uitwisseling met Frédérique Six over de commissie Compliance en Integriteit die president-commissaris Hans Alders van ProRail heeft ingesteld. Dit naar aanleiding van een onderzoek naar niet-gedekte betalingen en een ondeugdelijke administratie rond een bepaald spoorverdubbelingsproject.
Zo’n commissie, zo twitterde ik, lijkt mij een zwaktebod, omdat compliance en integriteit naar mijn idee tot de kern van het werk van toezichthouders behoort. Maar, wierp Frédérique tegen, het kan toch best een goed idee zijn, om de RvC tijdelijk te versterken met extra deskundigheid, zeker als het om complexe aanbestedingen gaat.
Zeker, het klinkt heel aanlokkelijk, maar principieel vind ik het onjuist. Ik wil dat uitleggen, en tegelijk laten zien waarom ik het Policy Governance-systeem zo elegant en doeltreffend vind. Daarmee krijg je namelijk goed zicht op wat er aan schort aan dit voorstel.

Taken van de toezichthouder

Vanuit Policy Governance bekeken heeft de toezichthouder (in dit geval de RvC) twee taken:

 1. het vertalen van de waarden van het eigenaarschap in criteria voor het beoordelen van het beleid van de raad van bestuur (RvB)
 2. het toezien op de uitvoering van dat beleid, meer specifiek dat de beoogde resultaten worden bereikt, waarbij onwenselijke situaties worden vermeden.

Policy Governance ontleent zijn naam aan het principe dat een intern toezichthouder zijn beleid vastlegt (in beleidsuitspraken, policies dus). Dat klinkt saai en voor de hand liggend, maar is het toch niet. Er zijn veel RvT’s (en RvC’s) die geen vastgelegde criteria hebben op basis waarvan ze het beleid van de bestuurder beoordelen. Natuurlijk, er zijn wetten waar de organisatie zich aan te houden heeft, regels op het gebied van financiën en boekhouding, als ook aanbesteding, personeelsbeleid, kortom alle externe regulering die je maar kunt bedenken.
Maar dat zijn geen criteria van de toezichthouder zelf. Het uitgangspunt van Policy Governance is, dat de toezichthouder zijn criteria voor toezicht baseert op de ‘waarden van het eigenaarschap.’ Dat klinkt wellicht nogal soft, daar kom ik nog op terug.

De RvC als ‘supermanager’

Een volgend belangrijk uitgangspunt van Policy Governance, is dat de bestuurder, zodra de toezichthouder de criteria vooraf heeft geformuleerd, alle vrijheid heeft om zijn professionele deskundigheid, betrokkenheid, ervaring en creativiteit in te zetten, om binnen die criteria met beleidsinitiatieven te komen.
Dat hoeft de toezichthouder dus niet te doen, want, zoals we gezien hebben, is de taak van de toezichthouder niet om initiatief te nemen, maar om, nou ja, de naam zegt het al, toe te zien op de uitvoering.

Het probleem met de commissie Compliance en Integriteit bij ProRail is nu tweeledig. In de eerste plaats dat, zoals ik het lees, dat de RvC hiermee nog steeds onhelder is over de criteria voor compliance en integriteit die hij gaat gebruiken. En ten tweede, dat de RvC met deze commissie de verantwoordelijkheid voor de uitvoering van het beleid voor een belangrijk gedeelte overneemt van de RvB en zelfs van de staf.
Daarmee maakt de RvC de klassieke fout om ‘supermanager’ te willen zijn, en veronachtzaamt zij haar belangrijkste taak. En die is, nogmaals, het vertalen van waarden van het eigenaarschap in criteria voor toezicht. Nu iets meer over die waarden.

Waarden en criteria

In de casus-ProRail is het eigenaarschap de overheid, en uiteindelijk de samenleving. De RvC houdt dus toezicht namens de samenleving, en heeft zich rekenschap te geven van de waarden die in die samenleving aan de orde zijn. Wat die precies zijn, kan ik hier nu niet in mijn eentje bepalen. Maar afgaand op wat ik lees en hoor, gaat het om transparant zakendoen, eerlijk en fair belonen, het stellen van resultaten bij mensen boven het vasthouden van regels.
Dat zijn waarden, die te vertalen zijn in criteria. Policy Governance maakt daarbij onderscheid in aan de ene kant in beoogde resultaten (Ends), en aan de andere kant het stellen van kaders voor uitvoering (Executive Limitations), om onwenselijke situaties te voorkomen.

Over Ends valt ook veel te zeggen, maar ik richt me nu even op de onwenselijke situaties. Policy Governance begint hier bij het omschrijven van het meest brede kader voor uitvoering dat je kunt formuleren. Die wordt doorgaans ongeveer geformuleerd als volgt: ‘De bestuurder vermijdt situaties waarin sprake is van een onwettelijke, onethische en onverstandige bedrijfsvoering.’ Daarbinnen kan de toezichthouder nader specificeren wat het bedoelt met onwettelijk, onethisch en onverstandig. Zo ontstaat een set samenhangende, gelaagde criteria waarbinnen de bestuurder zijn beleid kan uitzetten. Het lastige werk voor de RvC is vooraf: het opstellen van zo’n set, die tegelijkertijd omvattend is (vandaar de start in het meest brede kader), gericht op de situaties waar de RvC zich het meest zorgen over maakt, maar tegelijk ruim genoeg voor de bestuurder om zijn creativiteit en deskundigheid ten volle in te kunnen zetten.

Analyse van de ProRail-casus

Met deze simpele uitgangspunten worden nu een paar dingen mogelijk, en wordt duidelijk waar het in de ProRail-casus mis zou kunnen gaan.

 • Het is nu aan de bestuurder is om de (vooraf!) gegeven kaders nader in te vullen. De toezichthouder heeft wat het criterium is waarmee hij het beleid van de bestuurder zal beoordelen. De ruimte, en ook de verantwoordelijkheid, is er nu bij de bestuurder om beleidsvoorstellen te doen, die aan die criteria voldoen.
  • In de casus ProRail moet ieder risicovol voorstel voortaan langs de RvB én langs de RvC. Die bepaalt pas op dat moment, wat ze ervan vindt. Dat is erg lastig werken voor de bestuurder en de staf: het zorgt voor een boel extra bureaucratie en het is telkens maar weer afwachten wat de RvC ervan vindt.
 • De RvC hoeft niet alle details van alle mogelijke risicovolle contracten te kennen; ze hoeft slechts te beoordelen of de maatregelen die de bestuurder genomen heeft om de risico’s te beperken, passend zijn binnen de criteria die ze gesteld heeft. En als de verantwoording van de bestuurder over die risicobeperking te onduidelijk, of te ingewikkeld is, dan kan de RvC aan de bestuurder vragen het simpeler of duidelijker uit te leggen.
  • In de casus ProRail is straks de situatie, dat als de RvC een voorstel heeft goedgekeurd, de RvB ontslagen is van verantwoordelijkheid. Want de RvC heeft het toch gezien? Maar de RvC heeft, zelfs met een commissie Compliance en Integriteit, nooit de tijd en de deskundigheid van de de RvB en zijn staf, om alle details te doorgronden. Kwaadwillende, of domweg incompetente, medewerkers hebben nog steeds alle mogelijkheden slechte voorstellen langs de RvC te krijgen. En het vervelende voor de RvC is: ze kunnen dan niemand meer verantwoordelijk houden.
 • In de derde plaats: de integriteit (in de zin van gezamenlijke autoriteit) van de RvC als geheel blijft intact. Compliance is een kerntaak van de hele RvC, op basis van criteria die de RvC samen heeft opgesteld en vastgelegd.
  • In de casus ProRail wordt het beoordelen van risicovolle contracten uitbesteedt aan een commissie Compliance. Dan kan de rest van de RvC feitelijk niets anders doen dan instemmen met het voorstel. Want wie van de RvC zou nog het oordeel van zo’n deskundige commissie ter discussie durven stellen? Daarmee bindt de rest van de RvC zich de handen en wordt het schieten in het donker. Levensgevaarlijk: want gaat er nog eens iets mis, dan is de gehele RvC verantwoordelijk voor een besluit dat slechts een kleine commissie heeft goedgekeurd.

Criteria als keihard instrument

In de Policy Governance werkwijze is de verdeling van rollen en verantwoordelijkheden glashelder. De toezichthouder bepaalt criteria en het is aan de bestuurder om met voorstellen te komen. Het is in deze situatie dus vooral aan de bestuurder om te zeggen: er is veel misgegaan, er is onvoldoende deskundigheid in onze organisatie op dit soort aanbestedingsprocedures, ik versterk de staf op dat terrein. Het zou ‘slechts’ aan de RvC zijn om te zeggen: onze criteria waren niet helder en precies genoeg, we scherpen die aan, en maken de bestuurder nog eens duidelijk wat we van hem verwachten.
En ’slechts’ staat tussen aanhalingstekens, want juist het zuiver en precies formuleren van die criteria, op basis van de waarden van het eigenaarschap namens wie je toezichthoudt, is een ongelooflijk lastige klus. Maar wel een heel belangrijke, want met die set van criteria heeft de toezichthouder een op maat gesneden en keihard instrument om de bestuurder om verantwoording te vragen.

De RvC kan, op basis van nieuwe, scherpere criteria, de verantwoordingsplicht van de bestuurder op dat vlak intensiveren, en bijvoorbeeld ieder kwartaal aan de bestuurder vragen welke mogelijke kwesties zich hebben voorgedaan en hoe de bestuurder en zijn staf daarmee zijn omgegaan. Als de RvC op basis van die verantwoordingen te vaak zou moeten vaststellen dat er onverantwoorde risico’s worden genomen, kan hij de bestuurder daarop aanspreken. Blijft de bestuurder naar de criteria van de RvC te lang in gebreke, dan volgt als ultieme sanctie een ontslagprocedure.

Integriteit en compliance

Door nu te veel voor ‘supermanager’ te spelen, zegt de RvC eigenlijk: we vertrouwen onze bestuurders en hun staf niet in hun deskundigheid. Dus we nemen het over. Dat is echter geen garantie op het voorkomen van fouten. En als het nog eens misgaat, wie is dan verantwoordelijk? De bestuurder kan niet meer aansprakelijk worden gesteld, de staf evenmin, want de RvC heeft zich in detail met ieder risicovol dossier bemoeid. Dan is de enige mogelijkheid nog dat de RvC terugtreedt, en we houden dan een (naar het inzicht van die RvC) incompetente bestuurder over. Lijkt me geen wenselijk scenario.

De integriteit zit dan in de rolvastheid van de RvC; en compliance is de alfa en omega van de RvC. Want voortdurend bepaalt de RvC of de RvB voldoet aan de criteria die ze zelf heeft gesteld. Door dit te delegeren aan een commissie zet de RvC zichzelf en de RvB buitenspel en laadt alle verantwoordelijkheid op de deskundigheid van enkele leden van de commissie Compliance en Integriteit.

Kortom, een commissie Compliance en Integriteit klinkt heel daadkrachtig en aantrekkelijk, het is ook niet onmogelijk, maar als je niet de goede rollen aanhoudt, bereik je precies het tegenovergestelde wat je wilt. Kwalijker is, vind ik, dat je met zo’n commissie de kans loopt  uit te stralen dat je als RvC eigenlijk niet goed weet wat je taak en je rol eigenlijk is. Dat is niet goed voor het vertrouwen dat de maatschappij, uiteindelijk de eigenaren namens wie de RvC optreedt, in het functioneren van toezicht en bestuur.

Daarmee is zo’n commissie niet geheel onmogelijk. Als een tijdelijke commissie binnen de RvC, met als opdracht de criteria aan te scherpen, die de RvC hanteert om het beleid van de bestuurder op het vlak van risicobeheersing bij complexe aanbestedingen te beoordelen, zie ik wel een toegevoegde waarde. Maar dan moet klip en klaar zijn, dat dit een commissie binnen de RvC is, en zodra de nieuwe criteria zijn geformuleerd, dat hij opgeheven wordt. Van het opleggen en uitvoeren van administratieve goedkeuringsprocedures binnen de organisatie moet een dergelijke commissie zich verre houden. Dat is de verantwoordelijkheid van de bestuurder.

 

 

         

Een gedachte over “Integriteit en compliance als kern van toezicht

Geef een reactie

Time limit is exhausted. Please reload CAPTCHA.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.