Commonwealth Bank of Australia – om å balansere stemmene

Av Martin Stevens, Gjensidige

Commonwealth Bank of Australia (CBA) er Australias største forretningsbank og vellykket på mange måter. Dog kom banken tidligere i år i søkelyset til det australske Finanstilsynet på grunn av manglende styring av operasjonelle risikoer.

I mai 2018 uttalte Elizabeth Johnstone, styreleder i Corporate Governance Council ved den australske børsen, ASX,  med henvisning til CBA at internrevisjonsfunksjonen har mistet myndighet i store selskaper og må derfor jobbe hardt for å unngå at de samme kulturelle mangler som tilsynet oppdaget i CBA skal gjenta seg. Hun mente at internrevisorer må bli modigere og tørre å vifte med røde flagg i styrerommet. Videre hevdet hun at internrevisorer må ta ansvar og lære fra andre profesjoner som medisin og luftfart og gjennomføre rotårsaksanalyser. De må også sørge for at tiltak iverksettes og ikke avslutte sitt arbeid når rapporten er overlevert styret.

Standardspørsmålet som kommer når skandaler av denne sort slås opp måtte komme: Hvor var internrevisoren? Lederen av IIA Australia kom raskt på banen med følgende uttalelse: «Internrevisorer opplever at rapporter blir «vannet ut og undertrykt» eller attpåtil at deres karriere får en brå slutt på grunn av at de vifter med røde flagg.»

Min nysgjerrighet var ytterligere pirret. Hva hadde vært rollen til internrevisoren i dette tilfellet?

Jeg tenkte at jeg må komme til kilden her. Da var det bare å få tak over internett i rapporten fra granskingskommisjonen nedsatt av finanstilsynet og begynne å lese. Faktisk i rapporten er det mye kritikk av opplegg for selskapets virksomhetsstyring herunder risiko og compliance, men fant faktisk ingen pekende finger løftet mot internrevisjonen. Utgangspunktet for at saken begynte å rulle var heller det at det fantes røde rapporter fra internrevisjon. De hadde sagt ifra, selv om tiltak fra bankens øvrige sjikt manglet.

CBA driver en meget vellykket bank virksomhet, men med en blindsone på området kundehåndtering og compliance, noe som kom til uttrykk gjennom en serie avsløringer om uetisk adferd mot kunder ved salg av produkter samt brudd på hvitvaskingsregelverket. Tilsynet krevde tiltak og rapporten kunne gi svar på hvordan situasjonen var oppstått og hva må gjøres for å redusere risikoen for gjentagelse i fremtiden. Svakhetene som ble identifisert var:

  1. Styrets manglende tilsyn og utfordrende rolle.
  2. Uklare ansvarslinjer og uklart risikoeierskap hos toppledelsen.
  3. Manglende prosedyre for å eskalere og rette på identifiserte svakheter.
  4. Komplekse og byråkratiske beslutningsprosesser.
  5. Et rammeverk som fungerte bedre på papir enn i praksis.
  6. Et belønningssystem som støttet dårlig ønsket adferd.

Jeg er av den holdningen at vi skal lære av feil og den beste og billigste måten er å lære av andres feil. Her er noen av de viktigste punkter som jeg festet meg ved i rapporten, men jeg er den første til å erkjenne at dette er en meget personlig tre på topp.

Virksomhetsstyring
I tråd med internasjonale krav hadde banken en god formell ansvarsdeling mellom styret og administrerende direktør. Styret hadde separate utvalg for revisjon, risiko og lønn.

Det ble imidlertid påpekt at nytteverdien av de rapportene styret mottok om operasjonell risiko var lav på grunn av at de var for aggregert og tilbakeskuende. Videre ble det notert mangel på god informasjonsflyt mellom revisjons- og risikoutvalg. For eksempel ble svakheter identifisert av internrevisjon rapportert til revisjonskomitéen, men denne informasjon ble ikke videreformidlet til risikoutvalget som skulle vurdere hele selskapets risikobilde.

Ledelsesteamet ble kritisert for manglende helhetlig ansvar, blant annet til risikoer som spenner over flere ansvarsområder og ved å utfordre kollegers beslutninger. Det ble også uttrykt et ønske om at kontrollfunksjoner skulle få sterkere oppmerksomhet fra ledere.

Styringssystem for operasjonell risiko
Det ble påpekt at anvendelsen av styringssystemet skjedde uensartet gjennom organisasjonen og at første linjen (forretningsledelse) følte for lite eierskap til prosessene. Det ble oppmuntret til å iverksette fellesstandarder og -definisjoner og støtte dette med mer opplæring og veiledning og bedre rapportering. Som ápropos kan nevnes at konsekvensen for banken er at de må ansette 800 nye medarbeidere for å imøtegå rapportens krav.

Bedriftskultur
Bankens kultur får sterk kritikk spesielt innenfor følgende fire områder:
1) For stor selvtilfredshet slik at man ble blind for ikke-finansielle risikoer.
2) Risikohåndtering som var reaktiv og ikke proaktiv.
3) Manglende læring fra egne feil.
4) En samarbeidsvillighet og kollegialitet som blant annet førte til mangel på kritikk og tunge implementeringsprosesser.

Til slutt som det ble poengtert i rapporten er det viktig å identifisere hvem er det som røper høyest? I følge rapporten var den finansielle stemmen blitt så høylytt at den druknet stemmene til både risikostyring og kundene. Oppdraget til banken fremover blir å få til et samstemt kor hvor alle blir hørt. Deriblant internrevisjonen…