Certificering risicobeheersing?
Het FD van 11 mei 2009 meldt dat Ernst & Young de mogelijkheid wil onderzoeken van het certificeren van de risicobeheersing van bedrijven. "Dat zegt Pieter Jongstra, die in februari Jan Nooitgedacht opvolgde als bestuursvoorzitter van Ernst & Young Nederland en België, in een gesprek met het Financieele Dagblad."
Wel, wel, ik vind de creatieve onstuimigheid van ons beroep, steeds de markt afstofzuigerend naar nieuwe certificeringsmogelijkheden, toch prachtig. En het gaat slechts om certificering - onze kerndeskundigheid - dus we blijven toch bij de leest? Net als met certificeringen van kredietwaardigheid.
Neen, dit wordt geen prediking tot matiging in alles wat we doen. Ik vind het best, opperbest, om zo'n mogelijkheid eens te onderzoeken, al was het maar om de grenzen van ons formidabele kunnen nog eens af te tasten.
Als nuttig bijproduct zal het bovendien onze eigen risicobepalingen in de controlepraktijk in nuttig perspectief plaatsen; een reality check voor de eigen vertrouwde accountantscontrolegereedschapskist en een opening om de eigen keukenmessen aan te slijpen.
Het is me niet duidelijk of we van plan zijn alleen de methodologie van risicomanagement te certificeren, of ook de beheersbaarheid en betrouwbaarheid van de uitkomsten. Dat scheelt namelijk wel een slok op een borrel, zowel voor de gebruikers als voor onze professionele aansprakelijkheid.
Of hebben we een product voor ogen dat gesierd zal worden met uitsluitend disclaimers?
Op het eerste gezicht is dat wel aan te bevelen. Jarenlang heb ik het zelf gesuggereerd, ook voor de meeste jaarrekeningen. Er is geen waardevoller en informatiever accountantsrapport dan een goed onderbouwde oordeelsonthouding. Hadden we dat maar gedaan voor de meeste Neusje-van-de-Zalm banken, in 2006, in de aanloop naar de kredietcrisis...
Hoe dan ook, de door Jongstra genoemde verkenning zal ook inzichtversterkend werken voor het risicomanagement van accountantskantoren zelve. Misschien moeten we daar gewoon mee beginnen, voor we ook maar iets anders doen. Het kan de aansprakelijkheidsverzekeringspremies misschien nog omlaag brengen. Of omhoog, maar ook dat is dan nuttig nieuws.
Vervolgens kunnen de systemic actors - zij die te groot zijn om te vallen en gezegend zijn met een impliciete staatsgarantie in alles wat ze doen - hetzelfde doen.
En vervolgens de overheid zelve. Een goede gelegenheid om ook eens met het parlement te gaan praten over haar eigen risk appetite. Dat wordt ongetwijfeld onthullend. "Bent u bereid dertig procent lekkage te accepteren voor ontwikkelingshulp?" Ik heb dat eens mogen doen met de Budget Controle Commissie van het Europees Parlement.
Verder is in dit verband raadzaam om ook meteen nog eens de beste riskmanagement-publicatie van de jaren negentig af te stoffen. Ik gebruik ‘m nog steeds. No-nonsense, indringend, inclusief control-overrides, perverse prikkelsystemen, systeemgedreven risico's, tone at the top en alles wat er verder nodig is om een grote tanker op koers en buiten extreme gevarenzones te houden.
Die publicatie was geschreven door een kantoor met de naam Arthur Andersen. Als ze hun eigen recept hadden gevolgd, zouden we nu - acht jaar na de implosie van dat kantoor - een nog betere versie hebben. Maar dat geldt ook voor vele banken, die in rustiger tijden een voorbeeldfunctie claimden op het gebied van risicomanagement. En waarvan het management, zoals we nu weten, niet eens het eigen businessmodel begreep.
Ach, ik zou eindeloos door kunnen gaan.
Hier wil ik slecht memoreren dat wij - overwegend huisdokters zonder onfeilbaarheidgarantie en een nogal fragiel voorspellend vermogen - geen frontale lobotomie (want dat is risk management in essentie) moeten uitvoeren zonder het eerst op onszelf te hebben uitgeprobeerd.