Hvad kan SocGen's dom lære os?

De fleste virksomheder har politikker, regler, kontroller og procedurer for at holde styr på alle sine processer. Samtidig ønsker de fleste også at give mulighed for en vis fleksibilitet, således at medarbejderne kan udøve skøn for at afgøre, hvilke fremgangsmåder der fungerer bedst i en given situation. Société Générale indføre nu IT værktøjer, systemer og handlingsplaner, som styrker deres interne kontroller og risikostyringsprogrammer.

En hurtig beregning baseret på en god gennemsnitlig løn betyder, at det vil tage Société Générale's tidligere ansatte, den bedrageriske Jerome Kerviel ca. 50,000 år at hvis han skal tilbagebetale det fulde beløb på 4,9 milliard EUR, som en fransk domstol har netop afsagt.
Beløbet er identisk med det tab han påførte banken.

Kerviel's påstand om, at Société Générale, som er en af Europas mest kendte banker, vidste besked til hans risikovillighed. Yderligere påstod han at hans chefer både opmuntrede, tolererede, og vidste hvad der foregik og at så længe unoderne førte til et stort overskud, var det ikke et problem.

Non-compliance
I dag ved vi at internationale banker og andre finansielle institutioners (Bank of America, AIG, GMAC, Lehman Brothers og mange andre) lempelige omgang med god selskabsledelse, risikostyring og compliance (GRC), førte til den vedvarende kredit-og finanskrisen. De havde avlet en kultur for risikotegning, der gik langt ud over non-compliance. Både bestyrelser og den øverste ledelse var ofte uvidende om den risikoeksponering de udsatte virksomhederne for.

Dommen er appelleret, så i mellemtiden lad os fokusere på, hvad kan vi lære af den useriøse adfærd, manglen på manuelle og IT kontroller af både risiko og interne systemer i virksomheder, så vi undgår fremtidige katastrofer.

Hvem gjorde det
Belært af krisen, indfører flere af de store virksomheder IT systemer som afslører forhold når de rigtige dårlige beslutninger eller handler kom for en dag. Den gængse påstand har været at det skete uden vores viden og samtykke. Dette argument vil lovgiverne, tilsyn eller bestyrelser ikke acceptere fremover. Derfor har en lang række virksomheder indført nye interne kontrollerer og vurderer IT værktøjer som hjælper virksomhederne til at kontrollere om reglerne overholdes. Nogle af disse er;

• Transaktioner, som overskrider de fastsatte risiko grænser må ikke længere accepteres uden eksplicit validering af chefer højere oppe i hierarkiet. Oftest i form af fastsatte beløbsstørrelse eller procentvise udsving.

• Favorisering af enkelte medarbejderes kompetencer, tilladelser og grænser ved at neutralisere de eksisterende kontrolforanstaltninger accepteres ikke.

• Når der f. eks foretages en stærkt gearet short selling skal kontrollen afsløre, om sådanne hændelser faktisk ligger inden for den accepterede risikovillighed og tolerance niveau.

• Virksomhederne skal undgå situationer, hvor internt stridende parter har mulighed for at give hinanden skylden for driftstab eller for at bryde interne regler. Løsningen er at kontrollerne gennemføres på ’entreprise’ niveau på tværs af organisationen, end i siloer.

• Bestyrelserne udarbejder klare regler for at undgå en virksomheds kultur og arbejdsmiljø, der tilskynder- og motivere medarbejderne med økonomisk kompensation, for at skabe store omsætning.

• ledelsen udvikler rapportering og oplysningskrav, der slår ned en på en ’går den så går den’ ledelsesstil hos mellemledere.

• Der indføres IT værktøjer, systemer og handlingsplaner, som styrker og tilpasser interne kontroller og risikostyringsprogrammer.

Tone på midten
Samtidig skal virksomhederne være i stand til at operere i det daglige. Det kræver en form for fleksibilitet, hvis den erfarne chef eller leder er i stand til at kalibrere nogle acceptable tolerancetærskler i en given situation. Der skal være både ansvar og ejerskab, til når gældende interne regler og procedure skal bøjes, navnlig hos mellemleder.

Fleksibilitet kan også være at enkelte medarbejdere får deres egen individuelle risikoramme som overstiger grænserne, fordi de producerer resultater. Dog er der en fare i at den enkelte kan tage unormale høj risici ved at cheferne selektivt vender det blinde øje til. I sidste ende kan en sådan proces nemt føre til økonomiske skade og måske true selve virksomhedens eksistens.

Hvordan kan virksomheder sikre, at svig og manglende overholdelse af de fastsatte normer og procedure aldrig sker igen? Det det ikke en mulighed på grund af kapitalismens natur og kultur? Hvis Société Générale havde handlet og fulgt op på de mange forskellige indberetninger, alarmer på overtrædelse af intern risikostyring, kunne banken have opdaget de fiktive handler langt tidligere og i hvert fald længe før hele egenkapitalen næsten var tabt.

Sort svane risici*
Krisen har vist at indførelse af risikostyring og opfølgning på interne kontroller er særdeles vigtigt for alle virksomheder. Den gode nyhed er, at virksomhederne er fuldstændig klar over konsekvenserne af mindre og ”sorte svane” (http://en.wikipedia.org/wiki/Black_swan_theory ) risici kan påføre virksomheden.

Derfor er virksomhederne i gang med at vælge nye IT leverandør til at udvikle der kan automatisere mange af de manuelle kontroller og processer. En compliance og risikovurderings IT løsningen gør det muligt for virksomhederne at strømline og forenkle compliance, ved at gøre opmærksom på når processer ikke forløber er helt som det plejer og risikovurderingerne skal selvfølgelig integreres på tværs af lande, funktioner og processer ved hjælp af en enkelt IT platform.

Det er en glæde at se at mange virksomheder er ved at udvikle og implementere modeller som kan fungere som benchmark for hvordan komplekse GRC udfordringer kan håndteres effektivt uanset størrelsen.

* En sort svane hændelse er en hændelse, der kommer som en stor overraskelse for aktøren; som har en stor betydning f.eks. for en virksomheds fortsatte eksistens; og som aktøren sagtens kan forklare i bagklogskabens ulideligt klare lys.