19 februari 2008 09:33

Jérome Kerviel of de menselijke factor

Het incident bij de Société Générale dwingt ons om het idee van controle met een meer realistische blik te bekijken. Het herinnert ons namelijk aan het belang van de menselijke factor.

Om bepaalde transacties te kunnen uitvoeren, maakte Jérome Kerviel gebruik van meerdere toegangscodes en wachtwoorden van collega’s. Hij wist ook op welke datum de audits zouden plaatsvinden, en op welke manier dat zou gebeuren. Zo kon hij ervoor zorgen dat de risicoposities die hij had ingenomen, verborgen bleven. Hij kon fictieve transacties creëren die de echte, riskante transacties compenseerden. Al in november 2007 sloeg Eurex, de grootste derivatives markt in Europa, alarm, verbaasd over de erg grote posities die Société Générale had ingenomen.

Toch blijf ik erbij dat de bankwereld vrij goed gereguleerd en gecontroleerd is. In België, bijvoorbeeld, stuurt de Commissie voor het Bank- Financie- en Assurantiewezen (CBFA) vrij strenge directieven en reglementen uit. Zij vereist externe audits en beveelt aan dat erkende controle- en beheermechanismen worden gehanteerd op het vlak van IT, financiën en dagelijks beheer.

De regelmatige interne controles op de trading rooms, uitgevoerd door de back office, volgen het principe van de vier ogen. Deze controle is de nazorg van de financiële transacties. Dit domein heeft dan wel minder prestige dan het werk in de trading room, maar er worden veel meer mensen en technologie op ingezet en het takenpakket is oneindig groter.

Het middle office houdt zich bezig met wat men risicobeheer noemt. Het evalueert de kredietrisico’s, de marktrisico’s en de operationele risico’s. Onder die laatste categorie vallen de fouten die gemaakt worden door mensen en door programma’s.

Een derde laag van controle is de interne audit. Die voert controles uit op domeinen die risico’s inhouden, waar processen worden gehanteerd die voor verbeteringen vatbaar zijn of waar werkmethodes worden gehanteerd die weinig respect tonen voor de gevestigde procedures en methodes. De externe audit controleert de rekeningen, verifieert of de interne procedures voldoen en geeft een verzekering op het vlak van de reële risico’s die de onderneming loopt. Kortom: er zijn heel wat lagen van controle boven elkaar, en die verminderen de mogelijkheden tot fraude of niet toegelaten handelingen.

Maar die controles houden waarschijnlijk geen rekening met de menselijke factor. De nabijheid van collega’s die hun toegangscodes en hun controlekalender delen. Het verlangen naar succes, waardoor men bereid is alle limieten te overschrijden om indruk te maken op het management. De neiging van organisaties om controles te zien als een rem op de creativiteit, niet als een veiligheidsnet dat juist toelaat die creativiteit volop te ontplooien. En managers die niet beseffen dat het mogelijk is om fictieve transacties te creëren.

Volgens mij is de controle zijn eigen vijand. Controlelagen liggen boven elkaar maar vullen elkaar niet aan, en zo worden ze log. Het is belangrijk om de eigen processen te kunnen evalueren, er verbeteringen in te kunnen aanbrengen en de risico’s ervan in te schatten. De beste verbeteringen zijn niet noodzakelijk deze die in de auditrapporten verschijnen. Maar wel de verbeteringen die voortkomen uit analyses van wat er kan mislopen, uitgevoerd door managers die de tijd nemen om grondig in de spiegel te kijken.

Georges Ataya is hoogleraar aan de Solvay Business School, internationaal vicepresident van het IT Governance Institute en afgevaardigd bestuurder van ICT Control SA-NV.