Compliance Risico Management

Compliance Risico Management Praktische handreiking voor het in kaart brengen van compliancerisico’s en de rol van de compliance officer Drs. H.P. Zevenhuizen RA en L. Claassen RBA AA95

1 Inleiding In het Jaarboek Compliance 2008 hebben wij een hoofdstuk gewijd aan een methode om risico’s ten aanzien van compliance te kunnen managen. Anno 2009 blijkt het managen van compliancerisico’s nog steeds geen sinecure en is de aandacht voor dit onderwerp nog altijd onverminderd. Opvallende zaken zowel binnen als buiten de financiële sector in de afgelopen jaren betroffen onder meer de misstanden in de vastgoedsector waarbij ook de pensioensector betrokken was, maar ook de hoge boetes voor het niet naleven van (voornamelijk internationale) sanctieregelgeving door zowel banken als het overige bedrijfsleven. Vele organisaties kunnen niet op een adequate wijze inzage geven in de verhoogde compliancerisico’s, met name als gevolg van opstapelende ontwikkelingen in de regelgeving en de organisatorische complexiteit waarbinnen deze risico’s in kaart gebracht dienen te worden. Onze ervaringen van de afgelopen jaren zijn dat organisaties moeite hebben met een gedegen opzet en verankering van Compliance Risico Management (hierna CRM). Veel discussies worden gevoerd over de governance van compliance. Te denken valt onder meer aan de afbakening van taken en verantwoordelijkheden tussen de business en de compliancefunctie, maar tegenwoordig ook met andere risk functies, zoals operational risk. Een veelgehoorde vraag van compliance officers betreft ‘wat is nou eigenlijk compliance monitoring?’ en ‘wie is daar verantwoordelijk voor?’. Een ander discussiepunt betreft bijvoorbeeld de steeds zwaarder lijkende te worden rapportage-inspanningen en rapportagedruk op ‘Local Compliance’ en op ‘Group Compliance’ niveau. De methode en het proces zoals wij twee jaar geleden hebben beschreven (voor het gemak hierna genoemd de ‘methode 2008’) heeft zich ontwikkeld met voortschrijden95 L. Claassen RBA AA is partner bij Deloitte Enterprise Risk Services. Drs. H.P. Zevenhuizen is senior manager bij Deloitte Enterprise Risk Services.

Jaarboek Compliance 2010 71

Ontwikkelingen compliancepraktijk

de inzichten tijdens het toepassen en door veranderingen in organisaties, markten en regelgeving. Zo hebben wij ervaren dat discussies inzake een transparante, effectieve en efficiënte governance structuur er toe hebben geleid dat de compliancefunctie en (operational) risk functie meer naar elkaar zijn toegegroeid en bijvoorbeeld gebruik maken van een uniforme methodologie en ondersteunende tooling. Enterprise Risk Management (hierna ERM) denken en handelen heeft in onze waarnemingen meer aandacht gekregen. Ten opzichte van de ‘methode 2008’ is, naast het hierboven vermelde ERM denken, het aantal stappen in het proces toegenomen. Tevens wordt de huidige methode breder getrokken door, gaande het proces, meer (expliciet) rekening te houden met attentiepunten in de organisatie. Hierbij gaat het niet alleen om het behalen van voordeel om zaken doelmatiger aan te pakken, zoals integratie met projecten als ‘In Control Statement’ of ‘SAS70’96, maar vooral ook om de zaken doeltreffender te stellen: ‘doen we de juiste dingen en doen we de dingen juist’. Waar wij in de ‘methode 2008’ nog stil stonden bij de definitie van compliance ervaren wij dat dit uitgangspunt door instellingen inmiddels geen onderwerp van discussie meer is. Zowel financiële als niet financiële instellingen zoeken hiertoe aansluiting bij nationale en internationale definities en voeren hier geringe organisatie specifieke modificaties op. In dit artikel beschrijven wij een methode voor CRM die past in het licht van de bovenstaande ontwikkelingen. Wij starten hierbij met een aantal relevante governance aspecten ten aanzien van risico management en CRM en het onderkennen van verschillende levels van volwassenheid van een CRM organisatie, en beschrijven hoe dit kan worden meegenomen in de CRM methode. Vervolgens gaan wij in op de oriëntatie en organisatie van compliance en leggen daarmee de brug naar het proces van CRM en de verschillende elementen daarbinnen. Op onderdelen zijn de ontwikkelingen ten opzichte van de ‘methode 2008’ gemotiveerd. Ter illustratie hebben wij enkele observaties uit de praktijk toegelicht. Het dient vermelding dat de hierna beschreven methode vrij generiek is ingestoken en toepasbaar is bij verschillende typen organisaties. Voor organisaties met een volwassen CRM organisatie biedt de beschreven methode de mogelijkheid de eigen methode te valideren. Voor organisaties die op dit vlak nog in de steigers staan biedt de methode mogelijk handvaten voor verdere ontwikkeling.

96 SAS70 staat voor Statement on Auditing Standards No. 70 van de Amerikaanse accountantsorganisatie AICPA. Na omnummering van de Amerikaanse standaarden staat SAS70 momenteel bekend als AU Section 324: Service Organizations.

72 Jaarboek Compliance 2010

Compliance Risico Management

2 Governance Het managen van risico’s begint altijd met de vragen als ‘waarom?’ en ‘wat levert het op?’. Externe en interne drivers brengen verschillende invalshoeken met zich mee voor het opzetten en verankeren van CRM en geven in feite antwoord op het ‘waarom’. Een veelgehoord geluid is dat aan (compliance-) risicomanagement wordt gedaan omdat het nu eenmaal in de wet staat en de toezichthouder op naleving toeziet.97 Dit dient overigens niet te worden misstaan; de wetgever streeft namelijk een betrouwbare en integere bedrijfsvoering en functioneren van de gehele sector na. Er zijn echter ook andere argumenten om CRM op te zetten, ingestoken meer vanuit een ‘business’ perspectief. Denk bijvoorbeeld aan het effectief managen van risico’s in het licht van het behalen van strategische en operationele doelen. Het gaat hierbij om waardecreatie en waardebescherming. Zo hebben beursgenoteerde ondernemingen rekening te houden met de Code Tabaksblat en de aanbevelingen van de Commissie Frijns. De Commissie Frijns verlangt onder meer dat risicomanagement integraal onderdeel uit maakt van de strategie. In de onderstaande figuur hebben wij een aantal externe en interne drivers zichtbaar gemaakt die door financiële ondernemingen worden onderkend bij het opzetten, verankeren en/of verbeteren van de CRM organisatie.

Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management

97 Zo staat bijvoorbeeld in het Besluit Prudentiële regels Wft onder meer vermeld dat de financiële onderneming beleid voert met betrekking tot het beheersen van risico’s, beschikt over een onafhankelijke risicobeheerfunctie die risico’s identificeert, meet en evalueert. Zie art. 10-16 en 23-26 Bpr.



Onze visie is dat een organisatie op intelligente wijze risico’s dient te managen (in casu: nemen, beheersen, overdragen en/of beëindigen) waarbij de focus ligt op het in staat stellen van de organisatie om beter te kunnen presteren, de zogenoemde ‘Risk Intelligent’ organisatie genoemd. Dit verlangt een aanpak die periodiek en op evenwichtige en consistente wijze resulteert in informatie die het eindverantwoordelijk management beter in staat stelt besluiten te nemen, rekening houdend met de maximale ‘risk exposure’ voor de organisatie. Risico management ondersteunt derhalve het managen van risico’s en het besturen van de organisatie gericht op het creëren van waarde voor de organisatie en het beschermen daarvan. Het bovenstaande betekent dat de organisatie wordt ingericht op basis van strategische keuzes en rekening houdend met onderkende risico’s, in tegenstelling tot de meer traditionele benadering die uit gaat van regelgeving. Een compliant organisatie kan hierdoor worden beschouwd als de resultante van het inrichten van de organisatie die uit gaat van een effectieve en efficiënte uitvoering op basis van gemaakte strategische keuzes en het betrachten van transparantie daarover, in plaats van dat het als vertrekpunt voor de inrichting van de organisatie fungeert.

Figuur 2: CRM waardemodel Voor het bepalen van de wijze waarop (zoals ‘omvang’ en ‘diepgang’) en de periode waarin CRM wordt opgezet en wordt verankerd in de organisatie, is het relevant aansluiting te zoeken bij de huidige volwassenheid van risico management binnen de organisatie alsook de mate van waardecreatie en bescherming daarvan. Voor het bepalen van de mate van volwassenheid kunnen verschillende levels worden onderkend, die in figuur 3 zijn weergegeven. Het onderscheid tussen deze levels is indicatief en bedoeld voor een zelfreflectie ten behoeve van het ontwikkelen van de visie op risico management en de keuzes die daaruit voortvloeien.



Figuur 3: CRM maturitymodel In de praktijk verschilt de volwassenheid van risico management binnen organisaties en bevinden organisaties zich veelal tussen twee levels van volwassenheid in. Zo zien wij dat de risico management organisatie van grote (volwassen) organisaties zich bijvoorbeeld kan kenmerken door enerzijds ‘geïntegreerde besluitvorming’ terwijl er tevens sprake is van ‘verkokering van verschillende risicofuncties’. Deze organisaties blijken in staat bij de besluitvorming actief de uitkomsten van risico management te betrekken, ondanks dat de effectiviteit (ruis in methode, techniek en risicotaal) en de efficiency (overlap in taken) van de verkokerde risicofuncties kan worden verbeterd. Ook doet de situatie zich voor waarbij organisaties het proces van het beoordelen van compliancerisico’s goed hebben geregeld (opzet), maar dat de implementatie en verankering nog niet zover is (bestaan en werking). Ook bij middelgrote- en kleinere organisaties wordt bij de besluitvorming rekening gehouden met compliancerisico’s. Hierbij is echter niet altijd duidelijk of de onderkende risico’s ook daadwerkelijk (zichtbaar) zijn onderbouwd door de business, in de context van dit artikel, en getoetst door de compliance officer. Het komt bij deze organisaties voor dat het eindverantwoordelijk management risico management nog te veel zelf toepast zonder adequate documentatie en uniforme methodiek. Oriëntatie van CRM Voor het managen van compliancerisico’s bestaan verschillende invalshoeken. Zo kan CRM gebaseerd zijn op:



x Wet- en regelgeving, bijvoorbeeld vanuit de bepalingen inzake voorkomen van belangenverstrengeling; x Proces- activiteit, bijvoorbeeld vanuit het proces polisbeheer of human resources; x Beheersmaatregelen, bijvoorbeeld vanuit bepaalde autorisatiebevoegdheden; x Risico gebaseerd, bijvoorbeeld vanuit de kans en impact op het zich openbaren van een risico; x Uitkomsten business conduct, bijvoorbeeld vanuit aantallen/omvang producten, provisie, klachten en incidenten. Hierover heen kan een schil worden gelegd die uit gaat van een thematische invalshoek. Een dergelijke invalshoek wordt in de praktijk veelal bepaald op basis van de activiteiten die de organisatie verricht of de actualiteit, bijvoorbeeld een specifieke aanpassing van de wet, of sectorspecifieke aangelegenheden. Denk bij dit laatste bijvoorbeeld aan de thema’s als de beheerste bedrijfsvoering, Solvency II en governance, uitbesteding en pensioenuitvoeringsorganisaties.98 Een thema uit hoofde van actualiteit wordt in sommige gevallen ook wel aangeduid als een ‘issue driven’ invalshoek. In een bepaalde sector is iets misgegaan, zodat het verscherpt toezicht en/ of regelgeving krijgt. Een voorbeeld hiervan is het onderzoek door De Nederlandsche Bank NV (DNB) naar beleggingen in vastgoed bij pensioenfondsen. Het is bekend dat toezichthouder DNB haar toezicht primair insteekt vanuit een versterkte risico-oriëntatie, gericht op het vergroten van de effectiviteit van het toezicht.99 Zoals hierboven aangegeven hanteert DNB daarnaast ook een ‘issue driven’ invalshoek. Bij de uitvoering van het toezicht maakt DNB gebruik van ‘FIRM’ (Financiële Instellingen Risicoanalyse Methode). In de praktijk is waarneembaar dat veel financiële instellingen bij de eigen risicomanagement organisatie gebruik maken van ‘FIRM’. Onze ervaring is dat er niet één juiste invalshoek bestaat en dat een CRM aanpak met name krachtig kan zijn door het toepassen van een meerdimensionale invalshoek. Afhankelijk van de uitkomsten van de uiteindelijke risico inschattingen zullen invalshoeken kunnen veranderen dan wel met een zekere periodiciteit terugkomen (zie ook hoofdstuk 3). Organisatie en integratie van CRM Naar de opvatting van het COSO ERM model heeft iedereen binnen een onderneming een bepaalde verantwoordelijkheid als het gaat om risico management en daarmee het voldoen aan weten regelgeving. Het COSO ERM model zegt hierover het volgende: ‘De algemeen directeur is eindverantwoordelijk en moet eigenaarschap op zich

98 Brochure ‘Thema’s toezicht DNB 2009’, publicatiedatum 2 maart 2009. Bron: www.dnb.nl/nieuws-enpublicaties/brochures. 99 Visie DNB toezicht 2006-2010, pagina ‘i’.



nemen. Andere managers moeten de filosofie van het ondernemingsrisicomanagement steunen, de naleving en risico acceptatiegraad promoten en risico’s beheersen binnen de eigen verantwoordelijkheidsgebieden, hierbij rekening houdend met de risicotolerantie. Een risicoverantwoordelijke, financieel verantwoordelijke, interne accountant en anderen zijn veelal verantwoordelijk voor ondersteuning. Ander bedrijfspersoneel is verantwoordelijk voor de uitvoering van ondernemingsrisicomanagement in overeenstemming met gevestigde instructies en protocollen. Het bestuur houdt toezicht op risicomanagement en is zich daarbij bewust en geeft invulling aan de risico acceptatiegraad’.100 Hieruit kan worden afgeleid dat de primaire verantwoordelijkheid voor CRM ligt bij de ‘first line of defense’ (hierna de 1e lijn), de business zelf, te weten het bestuur, directie, lijnmanagement en in feite iedere medewerker binnen de lijnorganisatie. Het bestuur draagt evenwel de eindverantwoordelijkheid. De compliancefunctie, als onderdeel van de ‘second line of defense’ (hierna de 2e lijn) fungeert, in aanvulling op de eigen verantwoordelijkheid van de business, ter ondersteuning van directie en bestuur dat zoals eerder aangegeven de eindverantwoordelijkheid draagt. In de praktijk is de grens tussen de 1e en 2e lijn een veelgehoord onderwerp van discussie. De doorvertaling van dit onderscheid is afhankelijk van een aantal factoren waaronder cultuur, omvang en organisatorische kenmerken. Geregeld zien wij dat de compliancefunctie lijnverantwoordelijkheid krijgt toegeschoven, onder meer bij activiteiten als cliëntacceptatie en transactie ‘screening’. Dit is niet ondenkbaar aangezien deze activiteiten dicht tegen de compliancefunctie aan liggen. De facto tast dit echter wel de eigenlijke taak en de onafhankelijkheid van de compliancefunctie aan, te weten monitoring van de compliancewerkzaamheden en besluitvorming door de 1e lijn en advisering (managementondersteuning). Minder problematisch zijn taken in het kader van de communicatie van meldingen uit hoofde van ongebruikelijke transacties die bij de compliancefunctie zijn ondergebracht. Het betreft hier met name uitvoerende en coördinerende taken zonder directe betrokkenheid bij besluitvorming. Met betrekking tot de organisatie van de compliancefunctie binnen is waarneembaar dat deze meer tendeert naar samenwerking met andere risk functies, specifiek met de (operational) risk management functie. Het betreft hier samenwerking op het gebied van het bepalen van een gemeenschappelijke visie, methodiek, uitvoering en tooling. De compliancefunctie zou ten aanzien van CRM niet zomaar zijn eigen gang meer moeten kunnen gaan en voor een geheel eigen visie, methodiek en tooling kiezen. Het risico bestaat hierbij immers dat uiteenlopende methodieken leiden tot onvrede in de business over bijvoorbeeld implementatiesupport en toetsmomenten. Daarnaast bestaat het risico dat ook het management onvrede heeft over de verschillende rapportagestructuren. 100 Bron: http://www.coso.org/documents/COSO_ERM_ExecSummary_Dutch-rev-juni06.pdf, p.13.



3 CRM als iteratief proces Dat het managen van compliancerisico’s geen eenmalige activiteit meer is behoeft geen nadere uitleg. Tegenwoordig wordt CRM frequent toegepast en staat CRM als iteratief proces op de planning van compliance officers. In de context van een brede risicobenadering is het relevant de timing, werkwijze, diepgang, rapportage en verwachtingen af te stemmen met de afdeling Juridische Zaken (hierna ‘JZ’), andere risk functies en ook Internal Audit (de 3e lijn). In de jaarplanning van deze functies dient met elkaars werkzaamheden en timing rekening te worden gehouden. In de business wordt het namelijk onprettig ervaren als afzonderlijke compliance- en risk functies, maar ook Internal Audit of zelfs External Audit, op verschillende momenten in het jaar vergelijkbare vragen stellen en onderzoek verrichten naar dezelfde of vergelijkbare aspecten. Niet alleen ziet de business zich hierdoor geconfronteerd met het feit dat veel van hun tijd in beslag wordt genomen door de 2e en 3e lijn functies. Bezien vanuit een efficiënte en effectieve inzet van 2e en 3e lijns mensen en middelen is hier bovendien veel winst te boeken. Bij het proces van CRM hebben wij reeds benadrukt dat de compliance officer dit niet meer op eigen gelegenheid zou moeten opzetten, maar bewust de samenwerking met andere functies in de 2e lijn en 3e lijn opzoekt. Aanknopings- en attentiepunten Naast het aspect van samenwerking geniet het de voorkeur dat de compliance officer een relatie legt met de relevante ‘aanknopingspunten’ en ‘attentiepunten’ in de organisatie. Onder aanknopingspunten verstaan wij die aspecten waarbij aansluiting gezocht moet worden en waarbij de betreffende aspecten elkaar ondersteunen en versterken. Indien de aanknopingspunten niet gebruikt worden zal sprake kunnen zijn van suboptimalisatie in het CRM proces, maar het verbeteren van de interne beheersing en risico management kan gewoon doorgaan. In feite mist de compliance officer hier een kans. Het gaat hier bijvoorbeeld om de relatie tussen CRM met interne projecten- en programma’s. Denk aan een In Control Statement project, kwaliteitsmanagement en/of procesmanagement initiatieven. Maar ook aan de aansluiting op de reguliere planning & control cyclus (waaronder risicomanagement) en rapportage- en afstemmomenten met toezichthouders. Onder attentiepunten verstaan wij die aspecten die worden geraakt en beïnvloed door het CRM proces (dat bij eerste uitvoering kan worden gezien als een verandertraject). Indien deze niet adequaat worden geadresseerd en opgepakt, zal dit een nadelige invloed op het traject hebben. In feite vormt dit een afbreukrisico voor het



slagen van de verbetering. Voorbeelden hiervan betreffen een beperkte awareness ten aanzien van integriteit, grote veranderingen in de organisatiestructuur of onduidelijkheden in rollen en verantwoordelijkheden met betrekking tot interne beheersing. De compliance officer die met beide aspecten rekening houdt in het CRM proces geeft blijk van een brede en effectieve aanpak passend binnen het CRM waarde model. CRM, het proces Het proces en de methode van CRM bestaat uit verschillende onderdelen. In het navolgende deel zijn deze onderdelen kort toegelicht en wordt waar nodig de vergelijking gemaakt met de ontwikkelingen ten opzichte van de methode 2008.

Figuur 4: Huidige CRM methode vs. CRM methode 2008 De huidige CRM methode is ten opzichte van de methode 2008 in de basis niet gewijzigd. Het beoogt hetzelfde doel maar wel met de gedachtegang de integratie met andere risk functies te bevorderen. Bestond de methode 2008 nog uit een vijftal stappen: de tegenwoordig toegepaste CRM methode bestaat uit in totaal 6 afzonderlijk zichtbare onderdelen en een 7e onderdeel ‘documenting en reporting’ dat zich tijdens het gehele proces voor doet. De toevoeging van onderdeel 3 richt zich op de koppeling van risicogebieden c.q. risico’s aan business processen/activiteiten (figuur 4, stap 3). Een activiteit die binnen CRM overigens al wel werd toegepast, maar door deze koppeling expliciet te maken wordt inzicht verkregen in welke processen/ activiteiten bloot staan aan de eerder onderkende compliancerisico’s. Daarnaast is



het onderscheid tussen het toetsen van de effectiviteit van de interne beheersing en compliance monitoring verder uitgewerkt.

4 CRM methode, onderdeel 1: ‘Strategy and compliance landscape’ Een logisch onderdeel van CRM is het in kaart brengen van de relevante weten regelgeving en de interne regels die hiervan zijn afgeleid (voor het gemak hierna aangeduid als ‘regelgeving’). Welke regelgeving toepasselijk is hangt af van de doelstellingen en strategie, de te voeren producten, de te leveren diensten en het type klanten. Inzicht in strategische keuzes, de doorvertaling naar bedrijfsvoering en het toepasselijk regelgevend kader is voor de compliance officer essentieel. Omdat regelgeving veelal niet is vastgelegd op een wijze die eenvoudig aansluit bij de organisatie, is het gebruik van aandachtsgebieden, ook wel thema’s, inmiddels gemeengoed. Met behulp van thema’s is het mogelijk regelgeving en risicogebieden te categoriseren naar bijvoorbeeld de voor de organisatie relevante processen (zie ook hierna onder onderdeel 3 ‘mapping’). Op deze wijze wordt namelijk zichtbaar binnen welk onderdeel van de organisatie regelgeving van toepassing is en onder wiens verantwoordelijkheid dit valt. Dit maakt de naleving van regelgeving beter beheersbaar en bestuurbaar. Ter illustratie is het vertrekpunt voor financiële instellingen doorgaans de regelgeving die behoort bij de vergunning verstrekt door toezichthouders zoals AFM en DNB. Voor niet financiële instellingen kunnen dit andere toezichthouders zijn. Denk hierbij aan de Energiekamer (onderdeel van de Nma), die is belast met de uitvoering van de Elektriciteitswet 1998 en de Gaswet inclusief het toezicht op de naleving van deze wetten. Een ander voorbeeld is de OPTA, die in de telecommunicatiesector ter bevordering van de concurrentie en consumentenbescherming, toezicht houdt op de naleving van onder meer de Telecommunicatiewet. Al deze toezichthouders hebben op hoofdlijnen gemeen dat zij het belang van zowel de klant (zorgplicht, consumentenbescherming), de medewerkers binnen de organisatie als het functioneren van de organisatie in de sector trachten te beschermen. Hierbij staat het begrip integriteit centraal dat als invalshoek kan worden gebruikt om te kijken naar compliant gedrag.101

101 In de toelichting bij de Wet actualisering en harmonisatie financiële toezichtswetten worden vier typen integriteit onderkend, namelijk: 1. Persoonlijke integriteit, 2. Organisatorische integriteit, 3. Relationele integriteit en 4. Marktintegriteit. Stb. 2003, 55.



Figuur 5: Overzicht relevante thema’s gekoppeld aan een invalshoek van integriteit Binnen het CRM proces wordt deze stap doorgaans niet als de meeste complexe ervaren. Dit betekent niet dat de uitvoering van deze stap altijd vlekkeloos verloopt. Voorbeelden van aandachtspunten zijn: x Wie doet wat? x Hoe stel je de volledigheid vast, mede in het licht van de strategische doelen? Deze vragen zijn sterk afhankelijk van de omvang van de organisatie, de organisatie van de risk en compliancefuncties en de mate waarin juridische expertise aanwezig is. Om direct een brug te slaan naar de praktijk zien wij bij financiële conglomeraten dat de 1e lijn zelf de eerste hand legt aan het opstellen van een register van relevante regelgeving, om die vervolgens in samenspraak met de ‘lokale’ compliance officer (d.w.z. de compliance officer binnen een onderdeel of ‘business unit’ van de organisatie) en/of jurist te valideren op volledigheid en juiste afbakening. Van belang is dat het lijnmanagement hieraan goedkeuring verleent voordat het op compliance groepsniveau wordt beoordeeld en ingepast in het totale compliance ‘landscape’. Deze ‘bottom-up’ benadering kan worden afgezet tegen cq. samengevoegd met een top-down analyse (op hoofdlijnen) vanuit Compliance en JZ op groepsniveau. Bij middelgrote instellingen zijn verschillende situaties waarneembaar waarbij bijvoorbeeld JZ zorg draagt voor een (zo volledig mogelijk) register van relevante regelgeving, dat vervolgens door de business (1e lijn), compliance en operational risk (2e lijn) wordt gevalideerd en door hen wordt gekoppeld aan de onderkende processen/ activiteiten. In organisaties zonder interne juridische functies, bijvoorbeeld kleine pensioenfondsen, verschuift deze activiteit meer naar de compliance officer of de business zelf al dan niet in samenwerking met de externe uitvoeringsorganisaties. In dit verband is het ook van belang inzichtelijk te maken wat niet thuis hoort bij compliance.



De kracht van een zo volledig mogelijk register van relevante regelgeving in dit kader is dat zowel de 1e lijn als de 2e lijn hierbij betrokken zijn. Een belangrijk aspect hierbij is vervolgens dat het bestuur en/of de directie en lijnmanagement het register goedkeurt, zodat het draagvlak vanuit de top zichtbaar is. Bij een ‘on going’ situatie zal het register periodiek worden aangepast en de wijzigingen worden gevalideerd. Indien de organisatie er naar streeft dat deze stap zoveel mogelijk in de business zelf plaatsvindt, zal dit er op termijn toe leiden dat de compliancefunctie meer een advies en monitoringfunctie vervult. Actie compliance officer

Resultaat

x Betrokkenheid bij strategische risico analyse. x Identificatie relevante regelgeving en hoofdindeling thema’s in samenspraak

x Overzicht van strategische keuzes en doelen alsmede producten, diensten, type klanten en afzetkanalen. x Overzicht van relevante regelgeving. x Overzicht met hoofd thema’s op basis waarvan regelgeving kan worden gecategoriseerd.

met JZ en de business (1e Iijn). x Duidelijke afbakening wat binnen en buiten het toepassingsgebied van de compliance functie valt.

5 CRM methode, onderdeel 2: ‘Identify risk areas, key requirements and risk appetite’ Met de resultaten uit de voorgaande stap worden risicogebieden en risico’s in kaart gebracht. Relevante aspecten in dit onderdeel zijn: x een uniforme ‘risicotaal’; x de risico attitude van het eindverantwoordelijk management; en x een risicoregister. De ‘risicotaal’ omvat de relevante uitgangspunten waarmee risico’s kunnen worden gekwalificeerd en/of gekwantificeerd. Denk hierbij aan het bepalen van de ‘impact’ en ‘likehood’ per risico en de verschillende gradaties daarbij in kwantitatieve zin (bijvoorbeeld uitgedrukt in €), of in kwalitatieve zin (bijvoorbeeld uitgedrukt in laag, midden,hoog).102 Daarnaast wordt hier tevens de wijze onder verstaan waarop risico’s worden gecategoriseerd naar thema’s en gedocumenteerd. Zoals eerder vermeld is het essentieel de risicotaal tezamen met andere risk functies af te stemmen.

102 Zie voor een voorbeeld ook het artikel ‘Compliance Risico Management’ uit het Jaarboek Compliance 2008.



De identificatie van risico’s wordt doorgaans op twee verschillende niveaus in kaart gebracht, te weten op het niveau van het bestuur en het niveau van de business. Dit onderscheid is relevant omdat de attitude van het verantwoordelijk lijnmanagement ten aanzien van het risicomanagement niet altijd gelijk hoeft te zijn aan de attitude en het risicomanagement voor de organisatie in haar geheel. Discrepanties hiertussen zouden kunnen betekenen dat het bestuur bijvoorbeeld andere prioriteiten stelt ten aanzien van het managen van compliancerisico’s dan dat daarop in de business wordt geanticipeerd. Van belang is dat de business anticipeert op de strategie van het bestuur dan wel haar doelstellingen in lijn brengt met de strategische doelen van de organisatie. Deze benadering dwingt het bestuur om vooraf de niet-/acceptabele risicotoleranties concreet kenbaar te maken, hierbij niet gehinderd door – en dus onafhankelijk van – de inschattingen die de business zelf maakt. De inschatting door het eindverantwoordelijk bestuur kent veelal een hoger aggregatieniveau dan de wijze waarop risico’s in de business in kaart worden gebracht en gevalideerd. In de praktijk kan het effectief zijn dat de compliance officer, bij voorkeur gezamenlijk met iemand van de afdeling operational risk, één of enkele interviews houdt met het eindverantwoordelijk bestuur en/of met lijnmanagement om beter inzicht te krijgen in de risicogebieden en concrete risico’s in de business, alvorens deze bij het faciliteren van de risk assessment (CRM methode, onderdeel 4) met een breder publiek (bijvoorbeeld meerdere medewerkers uit de 1e lijn) te valideren en waar nodig aan te passen. Bij kleine(re) organisaties kan het efficiënter zijn dat de compliance officer zelf op basis van kennis en ervaring een overzicht van risicogebieden en risicoregister voorbereid alvorens deze met de business te valideren. Actie compliance officer

Resultaat

x Bepalen risicotaal en risicogebieden in samenwerking met risk functie. x Vertalen van onderkende regelgeving naar risicogebieden in samenwerking met risk functie en JZ. x Afstemmen met de business ter validatie en herkenbaarheid. x In kaart brengen risk appetite met bestuur.

x Uniforme risicotaal. x Overzicht met de risk appetite van het eindverantwoordelijk management. x Gedetailleerd risicoregister.



6 CRM methode, onderdeel 3: ‘Map risk areas to business processes’ In paragraaf 4 staat vermeld dat het voor het sturen op- en beheersen van compliancerisico’s relevant is deze te koppelen aan de bedrijfsprocessen binnen de organisatie. De compliance officer legt deze koppeling en maakt hierbij gebruik van zijn kennis en ervaring, de resultaten uit eventuele interviews. Hij werkt bij voorkeur samen met andere risk functies en de business. Het is van groot belang dat lijnmanagers goedkeuring geven aan het uit deze stap verkregen overzicht. Voor de business vormt dit namelijk een belangrijk uitgangspunt voor het inschatten van de onderkende risico’s, de bijbehorende beheersmaatregelen en is dit daarmee bepalend voor de uitvoering van interne controles in de business. In de praktijk wordt deze stap veelal nagenoeg gelijktijdig toegepast met de voorgaande stap (2). Het resultaat is dat inzichtelijk wordt welke risico’s zich waar binnen de organisatie en processen voordoen. De in paragraaf 4 genoemde indeling maakt het vervolgens mogelijk in te zoomen op thema’s en/of compliancerisico’s vanuit een bepaalde invalshoek te analyseren, wederom gekoppeld aan de processen. Deze indeling is met name effectief wanneer inzicht is verkregen in het niveau van de risico’s vóór en nà interne beheersing en levert daarmee meerdimensionale managementinformatie op. Actie compliance officer

Resultaat

x Koppelen risico’s aan bedrijfsprocessen en/of activiteiten in samenwerking met de business en andere risk functies. x De compliance officer laat het verkregen

x Gedetailleerd risicoregister gekoppeld aan bedrijfsprocessen en/of activiteiten van de organisatie.

overzicht expliciet goedkeuren door het management uit de 1e lijn.

7 CRM methode, onderdeel 4: ‘Assess risks & risk response’ Het inschatten van compliancerisico’s en het in kaart brengen van de risico response kan op verschillende wijze plaatsvinden. Een veel toegepaste methode is een risico assessment waarin verschillende vertegenwoordigers binnen een bepaald aandachtsgebied (proces, afdeling of business line) met elkaar in discussie gaan over de kans en impact van compliancerisico’s alsmede de maatregelen om deze risico’s te beheersen. Risico assessments binnen de 1e lijn worden, zoals eerder gesteld, op verschillende niveaus uitgevoerd: namelijk met het bestuur, het lijnmanagement en met de medewerkers. Doordat de compliance officer veelal betrokkenheid heeft bij het proces



(organisatie en uitvoering) van CRM en geen primaire inhoudelijke verantwoordelijkheid heeft ten aanzien van de daadwerkelijke beheersing van compliancerisico’s, vervult de compliance officer geen actieve rol in het maken van inschattingen. Dit neemt natuurlijk niet weg dat de compliance officer tijdens een risico assessment zijn kennis en ervaring dient in te brengen om de uitkomsten te challengen en de discussie op gang te houden. De 3e lijn (Internal Audit) valt hier in beginsel buiten vanwege de onafhankelijke toetsende rol die zij achteraf vervult. Een relevant uitgangspunt bij risico assessments is het zo goed mogelijk waarborgen van de objectiviteit van de risicoweging. Deze wordt onder meer beïnvloed door de perceptie van managers en overige medewerkers ten aanzien van risico’s op basis van verkregen kennis en ervaring resulterende in wat wel ‘professional judgement’ genoemd wordt. Natuurlijk spelen ook objectieve indicatoren een rol, denk aan de uitkomsten van testwerkzaamheden of de output op basis van bijvoorbeeld incidenten. Ook de dynamiek tijdens een risico assessment kan in onze ervaring van invloed zijn op de uitkomsten. Hoewel enigszins gechargeerd is een goed voorbeeld dat van een gedreven extroverte sales manager die het risico ten aanzien van een ten onrechte toekennen van een te hoog risicoprofiel van een cliëntenportefeuille laag inschat, versus een introverte back-office medewerker die hetzelfde risico als hoog inschat. In de praktijk kan een dergelijke dynamiek nog wel eens doorslaan ten faveure van de sales manager zonder dat een gedegen afweging tot stand wordt gebracht. Van belang hierbij is dat discussies goed worden gefaciliteerd, bijvoorbeeld doordat de compliance officer verschillende participanten aan het woord laat. Het faciliteren van een risico assessment betekent voor de compliance officer dus ook dat de subjectiviteit in de aanwezige sfeer en omstandigheden tijdens het proces zoveel mogelijk wordt geneutraliseerd. In dit kader kan de compliance officer ook kiezen voor het gebruik van (anonieme) stemmingen, gevolgd door inhoudelijke discussie. Ook hier geldt dat het gaat om de wijze die past bij de aard, omvang en cultuur van de organisatie. Het gebruik van stemkasjes waarbij op anonieme basis risico’s worden gevalideerd kan bijdragen aan de objectiviteit van de uitkomsten. Tijdens de risk assessment wordt gesproken over bruto en netto risico’s. Hoewel het onderscheid bekend wordt verondersteld geeft het bruto risico inzicht in de mate waarin de organisatie bloot staat aan een compliance-risico (ook wel inherent risico genoemd), in tegenstelling tot het netto risico, waarbij wel rekening wordt gehouden met de beheersing van risico’s. Om het netto risico te kunnen inschatten is het dus noodzakelijk om de relevante interne beheersingsmaatregelen te identificeren. Hierbij gaat het om de beheersmaatregelen die daadwerkelijk bijdragen aan het reduceren van het bruto risico.



De uitkomsten van een risk assessment geven inzicht in de risico exposure enerzijds en de mate waarin deze in opzet wordt beheerst door interne maatregelen anderzijds. Bovendien is uit het voorgaande gebleken dat kan worden ingezoomd op een thema of bepaalde invalshoek, bijvoorbeeld de netto risico exposure bij het thema ‘Know-Your-Customer’ of vanuit de invalshoek ‘integriteit medewerkers’. De netto risico exposure geeft overigens niet de netto exposure weer voor een bepaalde periode. De uitkomsten van deze stap betreffen de inschatting uit een momentopname; de effectiviteit van de beheersmaatregelen over een bepaalde periode dient daarentegen nog te worden aangetoond (zie hierna CRM methode, onderdeel 5). Wederom is de uitvoering van risico assessments afhankelijk van de omvang van de organisatie en de interne organisatiestructuur. Bij grote organisaties komt het voor dat de business zelf, met ondersteuning van de lokale compliance- en/of risk officer, aan Group Compliance rapporteert over de uitkomsten van risico assessments. In dit geval analyseert Group Compliance de uitkomsten en vergelijkt deze met risico assessments van andere onderdelen uit de organisatie en staaft deze de uitkomsten aan de hand van externe informatie. Denk hierbij aan tendenties vanuit toezichthouders of gebeurtenissen in de sector. Welke medewerkers uit de business deelnemen aan de risico assessment hangt onder andere af van de omvang van een afdeling of business unit, maar ook van de complexiteit van processen, producten en/of activiteiten. Het lijnmanagement bepaalt welke vertegenwoordiging deelneemt aan de risico assessments en managet de verwachtingen ten aanzien van een tijdige voorbereiding alsmede de benodigde input. In organisaties waar de business in toenemende mate zelf zorg draagt voor risico assessments neemt de ondersteunende rol van de compliance officer af en de rol van adviseur en kwaliteitsbewaker toe. Actie compliance officer

Resultaat

x In samenwerking met risk functie faciliteren van risk assessments. x Bewaken dat de juiste vertegenwoordiging deelneemten dat verwachtingen worden gemanaged. x Challenging ral tijdens de risico assessment. x Vaststellen dat de business ownership neemt van de uitkomsten door de uitkomsten te laten autoriseren door het Iijnmanagement. x Benchmarken van de uitkomsten met interne en externe brannen voor het verkrijgen van een overall beeld en followup.

x Agenda en mede opstellen verwachtingen voor deelnemers aan de risico assessments. x Gewogen risicoregister waarin bruto risico’s, beheersmaatregelen en netto-risico’s zijn vastgelegd.



De compliance officer houdt zich in dit kader meer bezig met in- en externe ontwikkelingen en het bepalen van de impact op CRM als geheel. Indien bijvoorbeeld de toezichthouder de focus legt op de risico’s verbonden aan belangenverstrengeling kan dit voor de compliance officer aanleiding zijn om hier op korte termijn een tussentijdse risico assessment op te laten uitvoeren. In dit geval communiceert de compliance officer dit aan het lijnmanagement.

8 CRM methode, onderdeel 5: ‘Assess operational effectiveness risk response’ Om een uitspraak te kunnen doen over de wijze waarop de onderkende beheersmaatregelen daadwerkelijk bijdragen aan het mitigeren van compliancerisico’s, is inzicht in de effectiviteit van deze beheersmaatregelen vereist. Oordeelsvorming over de effectiviteit vereist een gedegen kennis van organisatie en beheersing maar ook van methoden en technieken om tot een deugdelijk oordeel te komen. Daarbij komt ook de adviesfunctie van de compliance officer om de hoek kijken, met name waar het gaat om het verankeren van regelgeving in de organisatie of het adequaat opheffen van geconstateerde deficiënties. Inzicht over de effectieve werking van beheersmaatregelen stelt de compliance officer in staat een uitspraak te doen over de kwaliteit en de weerbaarheid van de interne organisatie. Is er sprake van een betrouwbare en integere bedrijfsvoering, waar zijn verbeteringen nodig en hoe worden de verbeteringen gerealiseerd? De compliance officer beschikt doorgaans niet over de vaardigheden die Internal Audit heeft. Voorts maakt de compliance officer geregeld onderdeel uit van (de afwikkeling van-) compliance-gerelateerde activiteiten in de 1e lijn. Vandaar dat de compliance officer Internal Audit (of soms een externe partij) kan inzetten om een onafhankelijk oordeel te krijgen over bijvoorbeeld de opzet, het bestaan en de werking van de compliancefunctie als geheel en de mate waarin bepaalde regelgeving wordt nageleefd of compliancerisico’s worden beheerst. Om er voor te zorgen dat de compliance officer waar nodig over voldoende onderzoeksvaardigheden beschikt is het aan te bevelen gebruik te maken van kennis en ervaring van Internal Audit. Relevante aspecten hierbij zijn het opstellen van een onderzoeksplan, het selecteren van een geschikte methode voor het daadwerkelijk testen en interpreteren van de uitkomsten. Compliancerisico’s worden binnen de dagelijkse bedrijfsvoering op verschillende niveaus beheerst. Voorbeelden hiervan zijn:



x Management control, bijvoorbeeld op basis van periodieke managementrapportages en besluitvorming; x Lijnmanagement en medewerkers binnen de lijn, bijvoorbeeld in de vorm van 4-ogen principe (autorisatie), beoordeling financiële resultaten, uitzonderings lijsten et cetera; x IT-organisatie, bijvoorbeeld ten aanzien van autorisatie en bevoegdheden en geprogrammeerde (in-/ door-/ en uitvoer-) controles met betrekking tot trans actieverwerking en rapportage; x 2e lijn betrokkenheid (Legal, Risk Management en Compliance), het betreft hier met name ondersteuning ten aanzien van implementatie van regelgeving en advisering over risico’s, incidenten. De toetsingswerkzaamheden die de compliance officer zelf verricht zijn natuurlijk niet gericht op het controleren van de eigen werkzaamheden. Voorbeelden hiervan zijn de controle op de wijze waarop compliance betrokken is bij het beoordelen van ongebruikelijke transacties, meldingen uit hoofde van transactiescreening of bij het goedkeuringsproces voor producten (ook wel ‘product approval proces’ genoemd). Het risico op zelftoetsing wordt eveneens vermeden door het inschakelen van Internal Audit, of in het geval van een grotere compliancefunctie door middel van het aanbrengen van secundaire functiescheiding binnen de compliancefunctie. Bij het uitvoering ven testwerkzaamheden staat de compliance officer een breed scala van middelen tot zijn beschikking. Voorbeelden hiervan zijn: x Deelwaarnemingen op relevante compliance-aspecten in de interne beheersomgeving; worden bijvoorbeeld het beleid en de procedures ten aanzien Know Your Customer nageleefd en is de vastlegging daarvan toereikend. x Het beoordelen van uitkomsten van financiële en niet financiële informatie, zoals klachten, eventuele boetes, bevindingen van Internal Audit of andere risk functies en het onderzoeken van ‘root causes’ x Waarneming ter plaatse, bijvoorbeeld in het kader van de naleving van de Wet op het financieel toezicht. x Het houden van interviews en het gebruik van vragenlijsten. x Benchmarken van de uitkomsten van risicoanalyses, uitkomsten van interne controles en bevindingen. Met benchmarken kan de compliance officer een krachtige tool in handen hebben in het proces van compliance risico management. Benchmarken kent onder meer de volgende mogelijkheden: x Een vergelijking van bruto- en nettorisico’s geeft inzicht in de risico awareness en risicoattitude binnen de verschillende onderdelen van de organisatie;



x Een vergelijking van risicomitigerende maatregelen, de werking daarvan en de netto risico exposure kan inzicht geven in bepaalde trends in beheersing en/of tekortkomingen. In principe kan benchmarken binnen iedere organisatie worden toegepast. Het ligt voor de hand dat de ene organisatie zich hier beter voor leent dan de andere. Een voorbeeld hiervan is een financiële instelling die producten en diensten afzet via eigen filialen. Een filiaalvergelijking geeft op een effectieve manier inzicht in de wijze waarop risico’s worden ingeschat en worden beheerst en legt op lokaal niveau zonodig deficiënties of ‘over control’ bloot. Hoewel de interne beheersomgeving in de vorm van systemen en procedures op lokaal niveau veelal centraal wordt aangestuurd, kunnen zich in de praktijk op lokaal niveau wel degelijk verschillen voordoen in de uitvoering, bijvoorbeeld in de advisering van klanten of het maken van afwe gingen bij de cliëntacceptatie en de hierbij te volgen procedures. Voor het bepalen van de keuze uit verschillende middelen en de timing waarop de compliance officer zijn werkzaamheden uitvoert, houdt hij onder meer rekening met de uitkomsten van de compliance-risicoanalyse op basis waarvan prioriteiten zijn bepaald. Maatregelen ter beheersing van een compliancerisico met een hoge kans van voorkomen (‘likelihood’) en een hoge impact zullen vaker worden getest lagere risicogebieden. Daarnaast geeft het uitvoeren van eigen deelwaarneming de compliance officer mogelijk meer houvast dan het beoordelen van uitzonderingsrapportages. In de praktijk worden de volgende vormen van testwerkzaamheden onderscheiden: x Testwerkzaamheden gericht op interne beheersmaatregelen; x Testwerkzaamheden gericht op ‘key’ risico’s. Voorbeelden zijn bepaalde thema’s, risicovolle (groepen van-) transacties, processen, maar ook aan sleutelfunctionarissen; x Testwerkzaamheden op ad hoc basis, bijvoorbeeld naar aanleiding van bepaalde issues, opmerkingen of verzoeken van in-/externe stakeholders. Het is van belang dat de compliance officer eerst goed nadenkt over de aanpak en vooraf de afweging maakt welke werkzaamheden en timing toereikend zouden zijn voor het geven van een oordeel over de kwaliteit en weerbaarheid van de organisatie. In dit kader is het ook relevant vooraf na te denken over toleranties en fout marges in het licht van het evalueren en geven van een oordeel. Uiteraard vindt deze beoordeling eveneens achteraf plaats op basis van de resultaten. Het bovenstaande dient te worden uitgewerkt in een planning en aanpak. Dit document biedt de compliance officer houvast om voor het afleggen van verantwoording aan de (functionele- en/of hiërarchische) lijn en het verkrijgen van goedkeuring bij voorgestelde toleranties en daaruit voortvloeiende inzet van mensen en middelen. Dit kan tevens resulteren in een financiële begroting, zodat de kosten van de compli-



ancefunctie op dit aspect zichtbaar worden en achteraf kunnen worden gemeten. In de praktijk wordt hier naar onzer mening nog te weinig bij stilgestaan zodat onvoldoende zicht is op de kosten van compliance en het beoogde nut.103 Actie compliance officer

Resultaat

x De compliance officer verkijgt inzicht in de effectiviteit van risicomitigerende maatregelen onder meer door zelfstandig onderzoek en eigen

x Eenjaarplanning waarin de aard, reikwijdte en timing de testwerkzaamheden in zijn opgenomen. x De com pliance officer legt eventuele kwetsbaarheden bloot en geeft aanbevelingen ter verbetering. x De com pliance officer vormt een oordeel over de kwaliteit en weerbaarheid van de interne organisatie ten aanzien van compliance risico’s.

waarneming(en). x De compliance officer voert overleg met Internal Audit aangaande specifieke onderwerpen die qua bestaan en werking onderzocht dienen te worden of die mogelijk in bestaande internal audits zijn/worden betrokken.

9 CRM methode, onderdeel 6: ‘Continuously monitor and improve’ Met behulp van monitoring maakt de compliance officer inzichtelijk op welke wijze de business aanbevelingen ter verbetering opvolgt alsook de wijze waarop met veranderingen wordt omgegaan, waaronder wijzigingen in regelgeving. Door afstemming met het lijnmanagement en eventuele aanvullende testwerkzaamheden (zie CRM methode, onderdeel 5) stelt de compliance officer vast in welke mate deficiënties toereikend zijn opgevolgd. De compliance officer rapporteert aan de hiërarchische en/of functionele lijn de bevindingen en bepaalt tevens welke verdere ondersteuning noodzakelijk is, bijvoorbeeld in de vorm van advies over beleid, implementatie in de bedrijfsprocessen en daadwerkelijke verankering, maar ook het bevorderen van awareness door training. Actie compliance officer

Resultaat

x De compliance officer bewaakt de tijdige afwikkeling van verbeteracties door de business.

x Een overzicht met verbeterpunten, status en opvolging.

103 Hoewel hier naar ons idee door organisaties zeker nog een stap te maken is ligt dit onderwerp buiten de strekking van dit artikel en wordt dit niet verder behandeld.



Actie compliance officer

Resultaat

x In overleg met de business brengt de compliance officer de status en progressie in kaart. x Eventueel verricht de compliance officer testwerkzaamheden om vast te stellen of deficienties toereikend zijn opgelost (zie verder hoofdstuk 8). x De compliance officer werkt periodiek de managementinformatie bij met betrekking tot de status en progressie alsmede de effectiviteitvan opgeloste om issies.

x Plan voor eventueel aanvullende testwerkzaam heden.

10 CRM methode: ‘Documenting and reporting’ In zijn algemeenheid zijn compliance-rapportagelijnen te onderscheiden in: x Interne rapportages: – Rapportages naar het hoger management, audit committee, Raad van Bestuur, Raad van Commissarissen; – Rapportages vanuit de business, richting lokale compliance officers/afdelingen en compliance op groepsniveau. x Externe rapportages: – Rapportages aan externe stakeholders, veelal toezichthouders; – Verantwoording in het jaarrapport of andere externe rapportages. Uit de praktijk blijkt dat binnen compliancefuncties, met name bij grote instellingen, veel tijd gemoeid gaat met rapportageverplichtingen. Een geregeld gehoord geluid hierbij is dat het opstellen van compliancerapportages door de business als een last worden ervaren. Het vergt te veel tijd en energie van de lokale compliance officers/ afdelingen, hetgeen ten koste gaat van bijvoorbeeld support aan de business, monitoring of het testen van de effectiviteit van de interne beheersing. Overigens is er niet één gouden standaard voor het opstellen van een goede compliancerapportage. Binnen grote organisaties zijn veelal op groepsniveau rapportagestructuren en instructies uitgevaardigd aan de business en lokale compliance officers, in tegenstelling tot kleine(re) organisaties waarbij dit lang niet altijd het geval is. Ongeacht de omvang van de organisatie; de compliance officers op corporate niveau en op lokaal niveau dienen voldoende ondersteuning te bieden aan het managen van verwachtingen met betrekking tot rapportages die respectievelijk door de lokale compliance officers en de business worden opgesteld.



Wij menen dat het de kwaliteit van een compliancerapportage ten goede komt indien de volgende uitgangspunten worden gehanteerd: x Specifiek en geschikt: de compliancerapportage richt zich op de bevindingen en analyse van uitkomsten van een bepaald aandachtsgebied en is waar nodig geschikt voor geconsolideerde managementinformatie, bijvoorbeeld ten behoeve van toezicht op hoger niveau; x Meetbaar: de compliancerapportage bevat meetbare resultaten op basis van concreet en helder omschreven testwerkzaamheden, implementatie en follow-up; x Acceptatie: de compliancerapportage is afgestemd met- en goedgekeurd door het verantwoordelijk organisatiedeel waar de rapportage betrekking op heeft en bevat waar mogelijk overeengekomen aanbevelingen ter verbetering; x Rechtlijnig, to-the-point en op basis van betrouwbare informatie ten behoeve van sturing en besluitvorming: – Voldoende en geschikte informatie ter onderbouwing van het oordeel; – Een uniforme en gevalideerde aanpak ter bevordering van een consistente en accurate uitvoering van de werkzaamheden en validatie van de bevindingen; – Gevalideerd met primair verantwoordelijken. x Tijdigheid: in de compliancerapportage worden concrete en haalbare voorstellen tot verbetering gedaan dan wel vervolgstappen geformuleerd. Toekomstige uitdagingen op het gebied van compliance reporting liggen op het gebied van het ontwikkelen van meer ‘uniformiteit’ en market practice, maar mogelijk ook op het gebied van (externe) ‘zekerheid’ ten aanzien van bijvoorbeeld ‘harde’ complianceprocessen. Hier zou gebruik kunnen worden gemaakt van SAS70 standards.104 In de financiële sector waar veel zaken worden uitbesteed is het gemeengoed dat externe zekerheid wordt gevraagd bij de juistheid en volledigheid van uitbestede activiteiten waaronder IT of vermogensbeheer. Dit zou ook kunnen gaan gelden voor ‘compliance- en integriteit’ processen/activiteiten. Het ligt in de lijn der verwachting dat toezicht op gedragsbepalingen en gedragsregels, mede als gevolg van de economische crisis, verscherpt. Ook hier tendeert men naar het aantoonbaar ‘in control’ zijn. Een goed voorbeeld hiervan is een pensioenfonds waarbij zowel het vermogensbeheer als het pensioenbeheer aan verschillende partijen zijn uitbesteed. De compliance officer van het pensioenfonds zal aandacht moeten besteden aan de relevante compliance- en integriteitaspecten bij het pensioenfonds, maar ook bij de uitvoeringsorganisaties. Op het bureau van de van de compliance officer vindt in feite een soort consolidatie van compliance officers plaats, die bovendien alleen maar verder toeneemt op het moment dat er meerdere externe vermogensbeheerders betrokken zijn.

104 Zie noot 1.



Actie compliance officer

Resultaat

x Afstemmen verwachtingen ten aanzien van compliance rapportages, zowel op corporate, als op lokaal niveau. x Opstellen compliance rapportages op basis van gekozen uitgangspunten [SMART] en valideren uitgangspunten met verantwoordelijke functionaris.

x Uitgangspunten voor het opstellen van een compliance rapportage. x Raamwerk voor uniforme beoordeling van compliance rapportages.

11 Samenvatting In het Jaarboek Compliance 2008 hebben wij een hoofdstuk gewijd aan een methode om risico’s ten aanzien van compliance te kunnen managen. Anno 2009 blijkt het managen van compliancerisico’s nog steeds geen sinecure. Diverse organisaties kunnen niet op een adequate wijze inzage geven in de verhoogde compliancerisico’s, met name als gevolg van opstapelende ontwikkelingen in de regelgeving als ook de organisatorische complexiteit waarbinnen deze risico’s in kaart gebracht dienen te worden. Ten opzichte van de methode 2008 is de huidige methode aangepast op basis van een aantal inzichten en ontwikkelingen. Het betreft hier onder meer het plaatsen van CRM in een meer geïntegreerde benadering zoals Enterprise Risk Management. De compliance officer zou CRM niet meer moeten ondernemen zonder samenwerking met de andere relevante risk functies (zoals Operational Risk), maar ook JZ. Een (zo veel mogelijk) geïntegreerde benadering van risicomanagement bevordert de consistentie en effectiviteit er van, en is beter gericht op het managen van alle relevante risico’s die de strategie van de organisatie nadelig kunnen beïnvloeden. Bovendien wordt hiermee beoogd de business te ontlasten door het ontdubbelen van overlappende werkzaamheden. Zoals aangegeven werkt de compliance officer in het huidige model samen met andere risk functies. In het proces van CRM begint het al met de betrokkenheid van de compliance officer bij de strategische risicoanalyse en de afbakening van het domein van compliance. Hoofdthema’s en toepasselijke regelgeving worden onder meer in samenwerking met de business en JZ in kaart gebracht. De business blijft hier doorgaans evenwel voor verantwoordelijk. In het tweede onderdeel brengt de compliance officer de risk appetite van het eindverantwoordelijk management in kaart en bepaalt tezamen met (doorgaans) Operational Risk de te hanteren risicotaal. En tezamen met de business wordt een risicoregister opgesteld. In het derde onderdeel wordt het risicoregister gekoppeld aan de processen en activiteiten. Het is van belang dit overzicht te laten goedkeuren door



het lijnmanagement zodat duidelijk is dat de primaire verantwoordelijken verantwoordelijkheid nemen. Onderdeel vier betreft de daadwerkelijke risico assessment. Compliance en de betrokken risk functies vervullen hier met name een faciliterende rol maar dienen ook vooraf de verwachtingen van alle betrokken te managen en te bewaken. Het resultaat van het assessment is een gewogen risicoregister waarin de mitigerende beheersmaatregelen zijn opgenomen. Om een uitspraak te kunnen doen over de wijze waarop de onderkende maatregelen daadwerkelijk bijdragen aan het beheersen van compliancerisico’s, is inzicht in de effectiviteit van deze beheersmaatregelen vereist. In onderdeel vijf verkrijgt de compliance officer dit inzicht door het (laten) uitvoeren van testwerkzaamheden. Hiertoe wordt gebruik gemaakt van een plan van aanpak, waarin de aard, reikwijdte en timing van de werkzaamheden zijn beschreven. Op basis van de verrichte werkzaamheden legt de compliance officer de kwetsbaarheden bloot en verschaft aanbevelingen ter verbetering. Het zesde onderdeel betreft het onderwerp compliance monitoring. Dit onderdeel bestaat voornamelijk uit het bewaken van de opvolging van geconstateerde leemtes, wijzigingen in de business als gevolg van nieuwe regelgeving. Indien noodzakelijk verricht de compliance officer aanvullende testwerkzaamheden om vast te stellen in welke mate de opvolging adequaat is geweest en effectief werkt. In het zevende en tevens laatste onderdeel van het CRM proces rapporteert de compliance officer over de uitkomsten en aanbevelingen. Indien de compliance officer ontvanger is van rapportages is het van belang dat de verwachtingen met betrekking tot de rapportage goed worden gemanaged met de opsteller. Duidelijke instructies met uitgangspunten kunnen hierbij behulpzaam zijn. Veel organisatie hebben tegenwoordig te maken met compliancerapportages uit verschillende bedrijfsonderdelen. Ter bevordering van het sturen op compliancerisico’s op geconsolideerd niveau is het raadzaam dat de compliance officer een raamwerk opstelt dat de uniformiteit en consistentie en daarmee de kwaliteit van zowel het opstellen als het beoordelen van compliancerapportages ten goede komt. Het iteratieve karakter van het CRM proces heeft tot gevolg dat de compliance officer het proces periodiek op de agenda heeft staan en zich constant bewust dient te zijn dat de uitkomsten van CRM aansluiten op het vigerende normenkader en de operationele bedrijfsvoering. CRM is uiteindelijk gericht op het creëren van waarden enerzijds (bijdrage aan het behalen van strategische doelen) en het beschermen van waarden anderzijds (voldoen we aan de norm).


Compliance Risico Management

Recommend Documents