Compliance & Risk Management; a match made in heaven!? Drs F van Proosdij RA Inleiding
Risk management schrijft geschiedenis. De crisis waar we nu middenin zitten heeft volgens de analyses in de media verschillende oorzaken. Het zou gaan om ontoereikende risk management systemen. Het zou gaan om perverse bonussen. Het zou gaan om een gebrek aan integriteit. Het zou gaan om onvoldoende toezicht door de toezichthouders. Kortom, het zou gaan om een hoop zaken die niet goed waren geregeld en die elk afzonderlijk of gezamenlijk leiden tot een krimp van de economie met alle gevolgen van dien. Vanuit risico management perspectief kunnen we zeggen, dat de risico‟s zaten in de hoek waar ze niet werden verwacht, dan wel dat de risico‟s werden onderschat en derhalve niet goed beheerst. De populariteit van de Black Swan theorie is een uiting van dat laatste; ook al is de kans op een gebeurtenis gering, hij kan zich wel voordoen. De mens laat zich verblinden door de mainstream kansen en onderschat de „werkelijke‟ kans op gebeurtenissen die hem als ondenkbaar voorkomen.
In brede kring is er een gevoel dat de vrije markt een moreel failliet heeft geleden. De discussie over de integriteit van mensen wordt gevoerd langs de lijn van bonussen die een uiting zijn van zelfverrijking. Opvallend genoeg wordt dat nooit gekoppeld compliance, terwijl compliance gaat over de beheersing van integriteitrisico‟s. In de discussies over risk management wordt compliance niet expliciet begrepen onder het begrip risk management systeem.
Oplossingen voor de crisis haken aan bij het bestaande denkkader van risk management. De aandacht voor risk management is dan ook aan het toenemen. Hernieuwde belangstelling in de media laat onverlet dat ondernemingen al langer, soms decennia, bezig zijn met risk management. Vanouds ligt de bakermat van het Risk Management in de verzekeringsbranche. Vanaf de Tweede Wereldoorlog werden risico‟s door de ondernemer veelal onderkend en beheerst, voorzover er verzekeringen tegen konden worden afgesloten. Risk management, zoals het vandaag wordt toegepast kennen we vanaf de jaren 60, toen de groei van productiecapaciteit en technologie in een stroomversnelling kwamen. De toenemende complexiteit van en aandacht voor risicobeheersing heeft geleid tot de
ontwikkeling van risicomanagement modellen, die gericht zijn op het herkennen, beoordelen en beheersen van risico‟s. Naar aanleiding van de beruchte boekhoudschandalen en fraudegevallen zijn op internationaal niveau kaders ontwikkeld voor risicobeheersing en interne controle. De meest bekende en gebruikte referentiemodel is COSO II, een Enterprise Risk Management Framework. Dit model vormt in vele bedrijven de basis voor compliance met Sarbanes-Oxley wet (SOx).
Een vergelijkbaar verhaal is er voor compliance. Ook compliance is niet iets nieuws. De laatste 10, 15 of wellicht zelfs 20 jaar kunnen we binnen (financiële) ondernemingen medewerkers ontdekken die zich bezig houden met compliance. Eerst als directiesecretaris of binnen een juridische afdeling; nu als een zelfstandige afdeling naast juridische zaken, interne accountantsdienst en ook naast de risk management afdeling. Compliance onderscheidt zich van deze laatste door het vertrekpunt. Over het verschil in vertrekpunt kom ik later in dit artikel terug. Dit vertrekpunt voor compliance is per financiële onderneming verschillend, in die zin dat er in de markt nog geen echte consensus bestaat over het wezenskenmerk van compliance. Enerzijds is er de opvatting dat het gaat om compliance in enge zin; voldoet de onderneming aan de wet- en regelgeving. Anderzijds is er de opvatting van compliance in brede zin; het gaat om de bescherming van de reputatie van de onderneming en dan vooral door te focussen op de integere bedrijfsvoering, waarvan wet- en regelgeving een onderdeel is. Dit artikel behandelt drie thema‟s. Ten eerste de ontwikkelingen rond risk en compliance. Het gaat dan om de ontwikkelingen die waarneembaar zijn in compliance, zowel stand-alone als in de samenwerking met ORM. Ten tweede de opkomende risicogebieden voor de traditionele compliance functie. Kan compliance een oplossing bieden voor de crisis, maar veel meer nog: voldoet het huidige niveau van compliance in zichzelf al wel? Ten derde de vraag naar een aanrakingspunt voor de toekomst, dat zowel raakt aan risk management als compliance. Samengevat behandelt dit artikel: a. Toezicht, risk en compliance b. De opkomende risicogebieden voor compliance c. Een oplossing uit het doolhof van de crisis? a. Toezicht, risk en compliance
Hoewel risk management en compliance twee afzonderlijke functies zijn, kiest een aantal financiële ondernemingen ervoor om deze te combineren. Risk en compliance zijn interne krachten die de „front office‟ tegenwicht bieden in het vak. In dit artikel wordt ingegaan op een aantal voordelen en een nadeel van deze combinatie. Het gaat dan overwegend om het operational risk management deel van de risk management functie.
De beschrijving van hoe en waarom compliance en risk management samengaan kan vanuit beide invalshoeken worden gegeven. Dat samengaan, dat huwelijk of de match, wordt in dit artikel beschreven vanuit de ontwikkeling van compliance. Vanuit die ontwikkeling wordt gekeken waarom het logisch en gepast zou zijn om risk management aan compliance toe te voegen. Een auteur met een pure risk achtergrond had het wellicht andersom beschreven.
De Wet op het financieel toezicht (Wft) spreekt over twee soorten bedrijfsvoering als het voorschrijft dat een financiële onderneming dient te beschikken over een integere en beheerste bedrijfsvoering. Allereerst de historie van de integere bedrijfsvoering zoals dat in de praktijk werd en wordt gebruikt1. Hoe integriteit een thema werd Eind jaren 80 begin jaren 90 ontstaan er in de samenleving en in ieder geval in de politiek vermoedens van infiltratie van de bovenwereld door de onderwereld. Dat is vandaag de dag een open deur geworden, maar toentertijd was deze notie nieuw. Accountants werd gevraagd om fraude te gaan melden. Ook de vaststelling dat criminelen banken gebruiken voor witwassen heeft directe invloed op de financiële wereld.
Begin jaren 90 worden na een EU richtlijn de Wet melding Ongebruikelijke Transacties en de Wet identificatie Financiële dienstverlening ingesteld; de Wif en later omgezet in de Wid. Toezichthouders wilden en moesten ook mee in deze ontwikkeling. De Nederlandsche Bank (DNB) zag de noodzaak om integriteit op te nemen in het toezicht. De eerste toezichthouder bij DNB die zich bezig moest gaan houden met integriteit had een politie achtergrond, wat natuurlijk paste in het tijdbeeld en de gedachte van infiltratie. 1 Voor een meer wetstechnische historie zie Integriteit en interne beheersing bij banken, drs. H.M. Annink RA, drs F. van Proosdij RA en Prof. dr. A. Schilder, Maanblad voor Accountancy en Bedrijfseconomie (MAB), 2006 nr 10
Een van de eerste opgaven was het definiëren van het gebied van integriteit waar DNB dan toezicht op wilde houden. Het antwoord was niet zo voor de hand liggend. Integriteit zat nog in de hoek van criminele bezigheden maar het gevoel was er wel dat dat niet het hele antwoord kon zijn. Wat is integriteit dan precies? Heeft het zin om je te beraden op vragen als; kan een bank een cijfer krijgen voor integriteit? Is de integriteit van de bank A een 8? Dat voelt niet als een erg zinnige benadering. Er is toen uiteindelijk gekozen voor het risico model. Er werden vier risico‟s gedefinieerd die samen een optelsom vormen van integriteit
Witwassen
Fiscale fraude
Voorkennis
Benadeling van derden
Kort na 1 september 2001 kwam daar een vijfde risico bij;
het risico op betrokkenheid bij terrorismefinanciering.
En eigenlijk was de benadering toen; als een instelling deze 4 of 5 risico‟s adequaat beheerst, dan is die instelling goed bezig met integriteit. Dan levert die instelling een bijdrage aan wat met het Wetsvoorstel Actualisatie en Harmonisering (van de Wet toezicht kredietwezen 1992, Wet toezicht verzekeringsbedrijf 1993 en de Wet toezicht effectenverkeer 1995) is gaan heten; een integere bedrijfsvoering. Ik kom daar zo op terug.
We zijn nog niet aangekomen bij integriteit, maar deze opzet is een belangrijke vingerwijzing naar het systeem van risico en beheersing. De toezichthouder ging en gaat immers met deze risico‟s in gedachte naar instellingen. Hij toetst de beheersing van deze risico‟s door tegen elkaar af te zetten, enerzijds het risico dat samenhangt met het type klant en type product, en anderzijds de beheersmaatregelen die passen bij dat risico. Een private bankier die Indonesische bosbouwers bedient moet meer doen aan ken-uw-cliënt dan de Postbank/ING, die weer meer transactiemonitoring nodig zal hebben. Integriteit werd dus een zaak van risico‟s en adequate beheersing.
Opvallend is dat in die begindagen van het integriteittoezicht door DNB niemand zich bekommerde om de wettelijke basis van dat toezicht. De Wtk 1992 kwam in artikel 22 niet verder dan het voorkomen van belangenverstrengeling. Artikel 22 was het artikel dat DNB gebruikte ter onderbouwing van de bevindingen aangaande
integriteitonderzoeken bij banken. En als tweede was daar de beleidsregel betrouwbaarheid van de beleidsbepalers2. Daarin worden eisen gesteld aan de betrouwbaarheid van bestuurders om te kunnen worden geaccepteerd als een beleidsbepalende bestuurder van een financiële onderneming.
Met het zojuist aangehaalde wetsvoorstel A&H uit 2003 werd de lacune van artikel 22a inzake een integere bedrijfsvoering weer rechtgetrokken. En sindsdien en nu met de Wft spreken we van twee soorten bedrijfsvoering. De integere bedrijfsvoering en de beheerste bedrijfsvoering. Artikel 3:17 Wft luidt "....... richt de bedrijfsvoering zodanig in dat deze een beheerste en integere uitvoering van zijn bedrijf waarborgt". Integriteit werd zoals gezegd een zaak van risico‟s en adequate beheersing. Laten we eens kijken wat de verschillen en overeenkomsten zijn tussen de integere bedrijfsvoering en de beheerste bedrijfsvoering. Integere bedrijfsvoering Voor mij gaat compliance over een integere bedrijfsvoering. Dat is wat anders dan wanneer compliance gaat over de letterlijke vertaling van het woord; de naleving van wet- en regelgeving. Integere bedrijfsvoering noopt tot het treffen van zekere beheersmaatregelen die, als je ze naast wet- en regelgeving legt, een grote mate van overlap vertonen. Een voorbeeld. Als je wil weten met wie je zaken doet zal je willen identificeren, wat ook word geregeld in de Wwft.
Een beheerste bedrijfsvoering is de vraag of de processen wel adequaat zijn; zijn ze wel robuust genoeg? Als een financiële onderneming marktrisico neemt zal die onderneming een risicomonitoringsysteem moeten hebben. Er moet een IT-beleid zijn als je een goede ICT omgeving wil neerzetten, etc. Een beheerste bedrijfsvoering is eigenlijk waar de oude Regeling Organisatie en Beheersing (ROB) over sprak en wat nu op een nog hoger niveau in de Wft is terechtgekomen 3. In een heel simpele zin samengevat; doe wat nodig is om in control te blijven.
Wanneer is iets een onderdeel van de integere bedrijfsvoering en wanneer iets van een beheerste bedrijfsvoering? Welnu, dat antwoord is niet altijd eenvoudig te geven. 2 Voluit: Beleidsregel inzake de betrouwbaarheidstoetsing van (kandidaat)(mede) beleidsbepalers van en houders van gekwalificeerde deelnemingen in onder toezichtstaande instellingen, afkomstig van de financiële toezichthouders en de minister van Financiën. 3 Artikel 3:17 Wft.
Zie mijn voorbeeld van identificatie. Identificatie is uit civielrechtelijk oogpunt nodig, maar ook is strijd tegen witwassen nodig. Als je een onderscheid zou willen maken, dan zou als vuistregel kunnen gelden dat de beheerste bedrijfsvoering is te herleiden tot een vraag van dingen die in geld kunnen worden uitgedrukt en die van de integere bedrijfsvoering naar dingen die niet in geld kunnen worden uitgedrukt. Een foute order invoeren kan geld kosten (beheerste bedrijfsvoering). Een order juist aannemen van een witwasser kan je reputatie kosten (integere bedrijfsvoering).
Als ik de beheerste bedrijfsvoering nu eens vertaal als: operationele risk management. En als ik integere bedrijfsvoering nu eens vertaal als: compliance. Dan gaat ORM over zaken die in termen van geld worden uitgedrukt, terwijl compliance gaat over zaken die niet in geld zijn uit te drukken. Denk aan vertrouwen; integriteit, normen en waarden4. Overeenkomsten tussen compliance en risk management Laten we eens drie belangrijke overeenkomsten inventariseren om vast te stellen of er sprake is van een match made in heaven. Want wat de praktijk laat zien is dat een aantal ondernemingen er voor kiest om de compliancefunctie en de risk management functie (operationeel) te combineren.
De eerste overeenkomst heb ik al genoemd; beide zijn risico georiënteerd, hoewel het wel gaat om andere soort risico‟s. Net zo goed als kredietrisico niet hetzelfde is als marktrisico. Het gaat om risico‟s. Een tweede heel belangrijke overeenkomst is het toezichthouden op de onderscheidene risico‟s. Het is de taak van het management en de, wat de NVB en AFM noemen eerste lijn (the first line of defense), om met het business model en de strategie geld te verdienen, en wel binnen de spelregels die er voor gelden en met in achtneming van de risico‟s.
Compliance en Risk Management spelen daarbij een eigen rol, door voortdurend op zoek te gaan naar de risico‟s die de eerste lijn niet adequaat beheerst, of het nu gaat om compliance risico‟s of issues of operationele zwakheden. In beide gevallen wordt
4 Ik kan mij voorstellen dat een Neoklassieke econoom zal beargumenteren dat alles in het leven op geld waardeer baar is, maar dat is mij te cynisch.
het management erop geattendeerd dat er iets moet gebeuren in die bedrijfsvoering. Compliance en risk management adviseren gevraagd en ongevraagd over benodigde verbeteringen.
Een interessante vraag is de vraag hoever deze advisering reikt. Is het adviseren van het management als je het standpunt van het management kan challengen door een escalatielijn? Ik denk in het bijzonder aan de speciale regeling dat de Compliance officer kan escaleren in de groep of naar de RvC. Dat is een heel fundamentele vraag over hiërarchische verantwoordelijkheden, waar ook een compliance officer prudent mee moet omgaan. En datzelfde geldt als een manager altijd bereid is om alle risico‟s die een risk manager aandraagt te accepteren als een geaccepteerd risico.
Ik gebruikte het woord advisering, maar dat is natuurlijk maar een van de rollen van de compliance officer. Advisering is een goede aanpak als de organisatie openstaat voor de boodschap van compliance. Maar er is toezicht nodig als de boodschap niet wordt opgepikt. Net als een politiefunctionaris: altijd bereid het verkeer in goede banen te leiden en van advies te voorzien, maar als je desondanks tegen het verkeer inrijdt krijg je wel een boete. Inbedding in bedrijfsprocessen Als derde belangrijk overeenkomst, althans wat betreft de uitvoering, is de inbedding in de bedrijfsprocessen. En dit is een belangrijk punt.
Er zijn in de compliance wereld uiteenlopende visies over wat compliance nu is. Het is enerzijds gezond om het debat aan te gaan en vast te stellen wat compliance is. Maar anderzijds ontstaat daardoor wel een situatie dat compliance bij de ene financiële onderneming een ander startpunt heeft dan bij de andere. Ik noemde het startpunt dat ik voorsta; de integriteitrisico‟s. Er zijn ook compliance officers die stellen dat integriteit uiteindelijk wordt bepaald door het gedrag van de mensen die werken in de financiële onderneming en dat compliance dus start met het sturen van het gedrag, bijvoorbeeld door het opstellen van policies.
Integriteit van een onderneming gaat in wezen over het integere handelen van de mensen in die onderneming. Dat wordt bereikt door een juiste cultuur, de tone-at-the top etc. Ik kom daar later op terug. Tegelijkertijd is het effectiever om de compliance maatregelen; de maatregelen die de onderneming wenst te nemen uit oogpunt van
compliance, te verankeren in de processen van de onderneming. Dat betekent dus bijvoorbeeld dat als een onderneming geen zaken wil doen met criminelen, die onderneming dat opneemt in het cliënt acceptatiebeleid. Ik zou er niet voor kiezen om dat uitgangspunt alleen op te nemen in een policy waarin dan staat dat medewerkers zich dienen te onthouden van medewerking aan criminelen.
Compliance gaat weliswaar ook over abstracte zaken als normen en waarden, maar laat zich wel vertalen naar harde maatregelen. Zie hier de overeenkomst tussen compliance en ORM; beide richten zich op de beheersmaatregelen zoals die zijn opgenomen in de procesbeschrijvingen, of in meer brede zin; in de beheersomgeving van de onderneming.
Dat was allemaal nog conceptueel. Ook in de praktijk zie ik dat het efficiënt kan zijn om compliance en risk te combineren. In de praktijk - Risicoanalyse Compliance is niet iets dat ontstaat uit de waan van de dag. Aan goede compliance ligt een plan ten grondslag, en zoals ik dat zou aanbevelen komt dat plan tot stand door het uitvoeren van een analyse van de onderneming waar de compliance functie toe behoort. Een analyse van de risico‟s, de inherente risico‟s die kleven aan de gekozen activiteiten, ontwikkelingen binnen een afdeling, bijvoorbeeld een nieuw product, een nieuwe business unit (BU), outsourcing, met daaraan gekoppeld de al aanwezige beheersmaatregelen. Kort en goed, een ouderwetse risicoanalyse met kansen en impact. En de top zoveel is dan datgene wat een interne toezichthouder in een jaar zou moeten gaan adresseren. Met Compliance monitoring zal compliance vaststellen of de gesignaleerde risico‟s adequaat zijn afgedekt; of de organisatie goed omgaat met de wet- en regelgeving. Compliance monitoring is een lastig te vangen begrip. Het NVB schrijven over compliance monitoring geeft ook niet concreet aan wat compliance monitoring zou moeten zijn. Eigenlijk omvat compliance monitoring in de praktijk alles binnen compliance wat niet gaat om „beleid‟het vertalen van wet- en regelgeving naar business controls. Monitoring omvat dan het doen van een onderzoek op basis van een jaarplan; het onderzoek naar een compliance incident; het accorderen van nieuwe producten en reclame-uitingen; het bewaken van investment restrictions etc. Abstraherend van de concreet genoemde werkzaamheden zou compliance monitoring kunnen worden aangemerkt als datgene wat leidt tot rapporteren aan
danwel het doen van een voorstel tot wijziging aan het verantwoordelijke management. Uiteindelijk is het aan het verantwoordelijke management om te bepalen of de voorgetelde maatregelen worden getroffen. Ook de ORM afdeling kijkt naar de risico‟s door te kijken naar de materiele processen. In de Basel II systematiek wordt van ORM verwacht dat er een mechanisme is dat de operationele risico‟s onderzoekt; analyseert waar de operationele zwakheden zijn en deze adresseren. Dit gebeurt door het houden van risk & control self assessments. In een RCSA worden de proceseigenaar en de medewerkers die met het bewuste, materiële proces werken in een workshop omgeving gevraagd naar de risico‟s die zich in hun proces voordoen en naar de maatregelen die daartegen nodig zijn. De kansen en de impact van elk risico worden door de deelnemers afzonderlijk gescoord. Van de risico‟s die vervolgens en een grote kans hebben en een grote impact wordt een (aanvullende) maatregelen van interne controle bedacht. Uiteindelijk accepteert het verantwoordelijk management deze voorgestelde maatregel. Dit hangt samen met de vraag naar de kosten van de maatregel; de overige prioriteiten van het proces ed. In risk assessments die een afdeling riks management organiseert, wordt gecombineerd gekeken naar de operationele risico‟s en de compliance risico‟s. En dat met als doel te bezien of er aanvullende maatregelen nodig zijn om de onderkende risico‟s adequaat af te dekken.
Dit proces heeft twee voordelen. Ten eerste zijn het de mensen die werken met de risico‟s, die een oordeel geven over het risico en de effectiviteit van de staande maatregelen; de bestaande controls. Ten tweede doet dit systeem recht aan de verantwoordelijkheid van management. Het management bepaalt in deze uiteindelijk op grond van de eigen risk appetite of een risico nader moet worden afgedekt of niet.
De kansen en impact afgezet langs twee assen kan er dan een gehele verschillende risk appetite tevoorschijn komen. Risico‟s met een grote potentiële schade bevinden zich in het rood gearceerde gebied. De eerste figuur geeft aan dat voor kleine risico‟s, dus gebeurtenissen met een lage kans5, met een grote impact maatregelen worden getroffen, evenals voor grote risico‟s met en kleine impact (zie figuur 1). De tweede figuur is een weerspiegeling van een andere risk appetite, waarbij het
5
Om heel precies te zijn; met een als laag ingeschatte kans.
management de twee genoemde risico‟s niet zal afdekken en dus meer risico‟s accepteert (zie figuur 2). Elk nummer in de figuren staat voor een gesignaleerd risico. Figuur1 Risicomatrix 5
Probability
4 7 9 3
6
5
36
2
1 16 15 26 29 33 20 30 17 23 4 27 31 21 24 18 34 11 8 37 28 10 3 14 22 32
2
12
13
19
1 1
2
3
4
5
4
5
Impact
Figuur 2 Risicomatrix 5
Probability
4 7 9 3
5
6 36
2
1 16 15 26 29 33 20 30 17 23 21 4 27 31 24 18 34 11 8 37 28 10 3 14 22 32
2
12
13
19
1 1
2
3 Impact
Een issue hierbij, en dat is gelijk voor een compliance officer als voor een risk management officer, is als het management alle risico‟s wenst te accepteren en geen nadere maatregelen wenst te treffen. Daar moet een interne toezichthouder adequaat mee kunnen omgaan; niet te los en niet te star, met gevoel voor timing en het haalbare etc. Samenvattend; zowel risk management als compliance voeren een risicoanalyse uit om richting te geven aan hun werkzaamheden. Incidentenregistratie Een tweede punt van overeenkomst is de incidentenregistratie en afwikkeling van incidenten. Het maakt voor financiële onderneming niet uit of een incident nu een compliance incident is of een operationeel incident. Dat heeft er mee te maken dat de twee in de praktijk niet altijd eenvoudig gescheiden kunnen worden en dat er vanuit de eerste lijn toch ook vaak een beroep wordt gedaan op beide functies. De kern van de afwikkeling van elk incident is hetzelfde. Het incident wordt beschreven en geanalyseerd; een adequate maatregel wordt benoemd door de proceseigenaar, en er wordt al dan niet een vervolg aangegeven voor de betrokken medewerker. En ook op dit punt geldt dat het niet uitmaakt in welk sfeer het incident zit. Want als niet gaat om de kwade trouw van een medewerker (betrouwbaarheid en compliance vraag), dan gaat het wel over de deskundigheid van de medewerker (operationeel risico)6. Dus als iemand niet met opzet iets heeft gedaan of nagelaten (betrouwbaarheid) dan is het wel een gebrek aan deskundigheid.
Operationele incidenten worden veroorzaakt door inadequate processen of het falen van processen, systemen of mensen, of door externe gebeurtenissen, bijvoorbeeld fraude. In lijn met de Basel II definitie omvat dit het juridische risico, maar is dit exclusief het strategische risico en het reputatierisico.
Incidenten zijn een falen van de organisatie; een falen van de controls. En noncompliance is ook een falen van de organisatie. De toezichthouders en wetgever hebben in de regulering van de financiële markten een beweging gemaakt in hun regelgeving. De ontwikkeling is van rule based, via risk based naar principle based gegaan of nog aan het gaan. Dat betekent dat de regulering van de markten geschiedt door het instellen van regulerende principes. De meest beknopte
6 Overigens net als bij de betrouwbaarheidstoets voor bestuurders bij wie sprake is van een antecedent; als het niet te relateren is aan de betrouwbaarheid, dan regardeert het de deskundigheid.
samenvatting van al deze principes is wel: doen wat nodig is. Dat maakt het voor een compliance officer en risk manager lastig. Ik leg dit uit voor de compliance officer.
Ten eerste zal een compliance officer nieuwe regelgeving moeten beoordelen op de impact op de onderneming, aangezien het veelal zijn taak is om (ook) nieuwe wet- en regelgeving te vertalen naar business controls. Hij zal daarbij tot de ontdekking komen dat niet alles staat voorgeschreven en dat er een deel eigen invulling, controls ter eigen discretie, nodig zijn om de doelen die de regelgeving stelt te behalen. Dit omdat de regelgeving de principes geeft of de risico‟‟s aanwijst die moeten worden geïmplementeerd danwel beheerst. Wanneer de compliance officer een voorstel heeft gedaan, zal hij dit aan het management presenteren. Bij een rule based regelgeving is dit eerder een kennisgeving aan het management. Bij principle based zal de compliance officer moeten toelichten waarom hij deze controls voorstelt en geen andere. Hij moet dan in ieder geval positie kiezen, en het management kan iets heel anders kiezen, bijvoorbeeld vanwege kostenoogpunt. Dat kunnen strakkere controls zijn of juist minder strakke. In een toezichtonderzoek wordt de discussie weer opnieuw gevoerd en weer zal de compliance officer uitleggen waarom deze set van controls de juiste is, waarbij voor een tweede maal er een kans is op afwijkende standpunten. Dat maakt het werk van de compliance officer uitdagender maar niet makkelijker.
De aldus geformuleerde controls zijn dus een functie van de interpretatie van wet- en regelgeving en de risk appetite van het management. Dat betekent mijns inziens dat een key succes factor van een compliance officer ook is het kunnen overtuigen van management en toezichthouders. Daarbij spelen cultuur en tone-at-the top belangrijke randvoorwaarden.
Over het algemeen is het niet zo dat een operationeel of compliance incident niet als zodanig wordt herkend of erkend op het moment dat de bewuste control niet in de AO/IC van de onderneming is opgeschreven. Mensen zijn altijd goed in staat op een incident te herkennen. De kunst is veel meer een cultuur te hebben en te houden waarin incidenten worden gerapporteerd aan de compliance of ORM afdeling. De omgeving en de toekomst
De financiële wereld is een van de meest gereguleerde markten. We zien Basel II, Solvency II, regels van de BIS, DNB en AFM, vanuit de EU de MiFID. In Nederland
kennen we nog kunnen maken de code Tabaksblatt; vanuit de VS Sarbanes Oxley, de Patriot Act, de Federal Sentencing Guidelines, OFAC en in de EU de EUfreezelist verwant aan de Sanctiewet 1977. En deze opsomming is zeker niet volledig. Actueel in Nederland en de EU zijn de rapporten van de commissie Maas en het rapport van Larosière. Als ik dit alles aanmerk als de externe omgeving die regulerend werkt, dan is dat de ook de externe omgeving voor risk management en compliancevraagstukken gecombineerd. Wat ik wil aangeven is dit: er zullen in de wereld om ons heen altijd bewegingen zijn die de vraagstukken van control zullen beïnvloeden. En de vraag aan een compliance afdeling of risk afdeling is dan: voorspel mij de toekomst. Zeg mij wat in 2009 of 2010 op ons afkomt. En dat is een heel mooie vraag aan een compliance afdeling.
Het antwoord is natuurlijk dat de toekomst niet voorspeld kan worden. Wat de bijdrage van compliance kan zijn is het managen van een onzekere toekomst. De toekomst managen is iets anders dan de toekomst voorspellen. Compliance schrijft memo‟s over de regelgeving en eisen die er in het volgende jaar aankomen, maar het is schrijven van definitieve memo‟s over conceptwetteksten. Als de scope van wetgeving helder is dan kan voor die scope nauwgezet worden gevolgd wat de eisen worden of zullen worden, en kunnen deze door de onderneming tijdig worden vertaald naar business controls. Waar het dus om gaat is dat de onzekere toekomst wordt gemanaged.
Een van de belangrijkste noties die een bankier zou moeten hebben is deze: op een gereguleerde markt houdt een verstandig bestuurder zijn oog op de toezichthouder. IMD professor Ralph Boscheck heeft veel onderzoek gedaan naar regelgevers, gereguleerde markten en dan met name de farmacie bedrijfstak. De kern van zijn betoog is; als je strategie wil vormgeven en voorbereid wil zijn op toekomst, dan moet je kijken naar de ontwikkelingen die de toezichthouder maakt en wil maken. Waar wil die toezichthouder naar toe? Als je dat weet kun je je strategie opstellen. Als je weet hoe de markt eruit gaat zien, dan weet je wat je te doen staat.
Compliance heeft impact op het business model en zolang de first line blijft vragen hoe de wereld om ons heen uitziet, heb je als compliance officer een aardige invloed op de strategie van de onderneming.
Ik wil daar overigens aan toevoegen dat ik van mening ben dat als iemands professie is het verkopen aan klanten, of het voeren van een backoffice, dat de deskundigheid
van die persoon mede inhoudt dat hij de vereisten zijn op zijn vakgebied bijhoudt. Stel de vraag over de wijzigingen op het gebied van dividendbelasting niet aan de compliance officer, maar aan de fiscaal jurist, en van een chef back office zou ik verwachten dat hij die vraag tijdig stelt en niet pas als het FD er over gaat schrijven. KPI’s7 - compliance meetbaar
Compliance officers kunnen een aantal van hun idealen ontlenen aan de risk managers en hun rapportages. Deze ORM rapportages zijn (soms) een overzicht van stoplichten met groen en rood. Het management weet dit te waarderen; het is helder, beknopt en geeft de kern van de zaak weer. Compliance officers zouden dit meewarig kunnen aanschouwen. Immers, the devil is in the details en een stoplicht doet geen recht aan de nuances die de wetgever en de toezichthouder eisen.
Los van sentimenten, als compliance dit wil nastreven is de echte vraag of compliance meetbaar is geworden. Compliance heeft in deze vraag twee betekenissen; ten eerste de status van compliance risico‟s in de onderneming en ten tweede de activiteiten van de compliance functie, ook aangeduid als „compliance‟. Is compliance meetbaar? Zijn compliance officers meetbaar?
Ten aanzien van het eerste. We bespraken al even kort het dilemma van DNB en de weinig zegende uitspraak: “uw integriteit is een 7 of een 8”. In de lijn van mijn verhaal zou de juiste vraag zijn; zijn de integriteitrisico‟s adequaat beheerst of niet. Maar een simpel ja of nee zegt ook niet erg veel in een compliancerapportage; daarbij ontbreekt een onderbouwing of invulling. Een alternatief is dat compliance heel inhoudelijk het management informeert over wat er gebeurt is in de business ten aanzien van compliance. Waar ziet compliance ownership ontstaan, welke zaken pakt de business op; welke issues blijven te lang liggen etc. Zo'n materiële verslaggeving kan compliance ook voor de eigen compliance functie toepassen. Wat heeft de compliance functie in de afgelopen periode voor het management gedaan?
En dat is denk ik op zich een goede manier. Waar ik denk dat de compliance functie aan zou moeten werken, en wat de uitdaging is, is het meetbaar maken van compliance; zowel de activiteiten van de eerste lijn als van de tweede lijn.
7 Key Performance Indicators
Om met de compliancefunctie te beginnen, de compliance afdeling kan werken met KPI‟s voor alle mensen. Afgeleid uit het jaarplan komen de onderwerpen of issues waar compliance mee bezig wil zijn, die compliance wil adresseren. Die worden vervolgens vertaald naar de KPI voor de afdeling en naar een KPI voor een of meer medewerkers. Als de compliance afdeling dat gaat doen dan zal het een aantal lastige problemen tegenkomen. Voorbeeld; het jaarplan geeft aan dat zorgplicht een hoog risico gebied is. Hoe maakt compliance de inspanning daarvoor meetbaar? Is dat het aantal aanwijzingen aan de business, het aantal geschreven memo‟s; het aantal aanbevelingen; kortom hoe wordt dat SMART8 gemaakt?
Die vraag is eigenlijk niet anders voor de business, de eerst line of defense. Hoe kan de business aangeven dat het risico wordt beheerst. Tweeledig; ten eerste door te laten zien dat de benoemde controls hebben gewerkt. Want compliance laat zich vertalen naar maatregelen die worden getroffen. Voorbeeld; van alle 100 nieuwe cliënten zijn er 100 conform de Wwft geïdentificeerd. Check. En als u deze gedachteoefening maar vaak en lang genoeg doet, dan komt u tot een aantal key controls die compliance kan gaan meten en scoren in percentages. En dan kan compliance dashboards bouwen met rode en groene zones en grote pijlen die in het groen staan. En dat zou de idee kunnen wekken dat compliance en integriteit meetbaar zijn geworden.
En hoewel dat waar is, heb ik toch enige huivering voor deze ontwikkeling. En dat geldt ook voor een samengaan van compliance en operational risk management waaraan hetzelfde risico kleeft. Want compliance gaat ook over die zaken die niet in geld kunnen worden uitgedrukt; die zich niet laten vangen in een regel of procedure. We hebben een mooi cliënt acceptatieproces, maar de vraag of Mark Rich of een PEP uit een Afrikaans land een welkome klant is, is net zo relevant. De vragen van netjes en fatsoen zijn niet altijd in een proces te vangen. Door compliance onder ORM te scharen als een eis waar processen aan moeten voldoen heeft het grote risico in zich van een zekere verwording van compliance. Maw compliance zou zijn waarde kunnen verliezen als de focus ligt op het proces en niet op de inhoud van het proces of de vraag wat een proces oplevert. b. Opkomende risicogebieden
8 SMART is een acroniem voor:Specifiek, Meetbaar, Acceptabel, Realistisch, Tijdgebonden.
Compliance is in ontwikkeling. Zowel in de samenwerking met andere afdelingen zoals operational risk management, maar ook in de diepte van het speelveld. In de praktijk is het niet langer voldoende om een oordeel te geven, om alleen specialist te zijn. Het gaat meer en meer over wat dat oordeel betekent in praktische zin, en de compliance officer wordt daar meer en meer medeverantwoordelijk voor. Ik signaleer een drietal opkomende risicogebieden voor de compliance officer. Als eerste opkomende risico gebied zou ik willen noemen outsourcing. Outsourcing van key processen en de controls daarin. Hoe organiseer je compliance? Een zoektocht naar auteurs die hier iets over melden in relatie tot compliance levert niet meer op dan dat de auteurs aangeven dat je weliswaar de activiteiten kunt overdragen, maar niet de risico‟s en niet de verantwoordelijkheid daarvoor. Over het outsourcen van activiteiten en compliance zou een heel artikel geschreven kunnen worden. Maar dit is toch wel een belangrijk punt; namelijk dat als een onderneming processen gaat outsourcen die binnen de compliance scope vallen, dan is in de contractonderhandelingen het zaak de rapportagelijnen dicht te zetten en volstrekt duidelijk af te spreken wat u van uw sourcingpartner verwacht. Daarbij is het cruciaal om na bestudering van de rapportages vragen te kunnen stellen danwel een eigen onderzoek te kunnen doen9. De tweede uitdaging noem ik compliance management. Alle compliance officers zijn bezig met compliance, maar dat is nog niet noodzakelijk compliance management. En met management bedoel ik het ervoor zorgen dat zaken worden geregeld; dat dingen voor elkaar komen; dat issues worden opgelost; dat risico‟s worden geadresseerd. En wat mij betreft is dat dus iets anders dan vanuit de tweede line of defense iets zegen over wat de eerste line moet doen. En het gaat ook verder dan het escaleren naar boven volgens de lijnen uit het charter, met de impliciete vraag om het te gaan regelen. Kort en goed; de compliance officer moet doorgroeien. Ik kom daar straks nog even op terug over een versie 2 van het Bazels document. Het derde risicogebied is ICT. Accountants hanteren voor financiële ondernemingen de typologie gegevensverwerkende organisatie. Een financiële onderneming is precies dat; een groot computersysteem dat transacties verwerkt. Dat betekent dat 9 Veelal wordt dit in de contractonderhandelingen afgewikkeld door te anticiperen op een SAS type II verklaring met goedkeurende accountantsverklaring. Naar mijn oordeel is dat onvoldoende en moet een compliance officer zich het recht voorbehouden zelf ter plekke monitoring activiteiten (eenmalig danwel periodiek) te kunnen uitvoeren wil hij zijn mandaat kunnen waarmaken.
als een compliance officer wil dat de onderneming zich gaat aanpassen aan de eisen van de omgeving, bijvoorbeeld de toezichthouder, dat de compliance officer vroegtijdig moet instappen. ICT projecten hebben een eigen dynamiek; ik noem programboards, budgetten, Business Information Plan, Initiatieven, Prince II methodiek, mandaten, RFPs10 en RFCs11 en zo kan ik wel even doorgaan. De kunst van compliance management is op de juiste punten en de juiste momenten in te haken, zodat de compliance officer zijn invloed kan doen gelden. En die invloed wendt hij dan aan om de organisatie de juiste kant op te manoeuvreren; het in control laten komen ten aanzien van de compliance risico‟s en issues en de implementatie van controls. Samenvattend; een open oog en diepgaande kennis van ICT wereld faciliteert de compliance officer in het behalen van zijn eigen doelstellingen. Dat is een uitdaging voor iedere compliance officer die niet in de ICT zit of daar heeft gewerkt. BIS en de Enhanced Compliance Function Het document „Compliance and the Compliance Function in banks‟ heeft een grote invloed gehad op de harmonisatie van de visie op compliance in landen en tussen landen en ondernemingen. De vraag is of toezichthouders ambities hebben om een vernieuwd paper op te stellen; een versie 2 van dit document waarin bepaalde zaken explicieter worden gemaakt en de lat hoger wordt gelegd.
In augustus 2008 verscheen een survey verschenen van de hand van de Accounting Task Force van de Basel Committee. Deze door toezichthouders uitgevoerde evaluatie onderstreept dat het document „Compliance and the compliance function in banks‟, dat is gepubliceerd door de Basel Committee on Banking Supervision in april 2005, in grote lijnen is geïmplementeerd. Daarmee heeft het Bazels document voor het vak compliance een market level playing field bewerkstelligd. De evaluatie van 2008 biedt nauwelijks concrete aanknopingspunten voor aanpassing en verbetering voor de positionering van de Compliance functie.
De 'high level principles' uit het Bazels document zijn gezaghebbend, maar op de keper beschouwd geven ze niet al te veel concrete aanwijzingen over een aantal belangrijk vragen; wat is de scope van compliance; wat is de verantwoordelijkheid van de compliance functie en in het bijzonder hoe verhoudt de compliance functie 10 RFP: reguest for proposal. In een aanbestedingstraject het document waarin de daadwerkelijke offerte wordt gevraagd. 11 RFC: request for change. Aanvraag aan ICT, bijvoorbeeld program board, om systemen te gaan aanpassen aan de eisen van de business. Ondermeer nodig om prioriteiten van ICT te kunnen bepalen.
zich tot andere functies zoals internal audit en operational risk management. De evaluatie uit 2008 geeft deze antwoorden evenmin.
In de praktijk levert dit niet in alle gevallen een probleem op. Maar resultaat is wel dat de effectiviteit van de compliance functie daarmee afhankelijk wordt van de cultuur en omstandigheden in de organisatie. Bijvoorbeeld doordat de ambities van het management laag zijn en het budget te laag is, of vice versa. Voor het compliance beroep, de groep compliance professionals, betekent dit dat er geen ijkpunt is waar iedereen zich op richt, waarmee het beroep compliance niet eenduidig wordt beleefd en ingevuld en daarmee nog nauwelijks blijvend is verankerd. Dat vormt een probleem voor een vak dat zich wil laten kenmerken als professioneel. Een wildgroei van interpretaties over wat compliance is leidt door de hierdoor gecreëerde verwachtingskloof tot een ondermijning van het gezag dat een compliance functie nodig heeft.
Afhankelijk van de situatie per financiële onderneming krijgt de Compliance officer steeds vaker verantwoordelijkheid voor tal van operationele processen. Deze operationele taken liggen dicht tegen de kern van compliance aan: review van marketinguitingen en brochures; transactiefiltering en onderzoek ten behoeve van anti-moneylaundering; toetsing van cliënten-acceptatiebeleid op cliëntniveau. In essentie tast dit de eigen verantwoordelijkheid van de business aan.
Deze activiteiten zijn nuttig en vervullen een rol in het proces van check en balances, maar kan het risico in zich dragen dat Compliance niet meer wordt ervaren als de oversightfunctie ten behoeve van een integere bedrijfsvoering en integere bedrijfscultuur. De reden dat compliance is ontstaan is de noodzaak van een „countervailing power‟ in organisaties; voldoet de organisatie aan de geldende regels. Daarvoor is nodig dat de onafhankelijkheid stevig verankerd is.
Wetgever en toezichthouder zouden daar een belangrijke bijdrage aan kunnen leveren door in een paper “Enhanced Compliance function” de kerntaak van compliance te formuleren; ervoor zorgdragen dat de organisatie voldoet aan geldende standaarden voor maatschappelijk geaccepteerd gedrag. En verder door belangrijke zaken als scope en verantwoordelijkheid te benoemen en aanwijzingen te geven voor best practices. Mogelijke punten van overweging zijn: een getoetst bestuurder moet niet alleen deskundig en betrouwbaar zijn, maar ook in-depth kennis hebben van compliance, bij voorkeur door een compliance verantwoordelijkheid in
het verleden; escalatielijnen voor compliance officers worden versterkt of vervangen door hiërarchische aansturingmogelijkheden: in geval van ernstige non-compliance waardoor de compliance officer kan het bestuur aanwijzingen geven; of meer verantwoordelijkheden en ook middelen om repressief op te treden.
Met een dergelijk document ontstaat een extern ijkpunt waar financiële ondernemingen en hun bestuurders zich op kunnen richten. Het resultaat van de hiervoor genoemde, recent gepubliceerde, survey over de naleving van de eerder door de Basel Committee gelanceerde Compliance Paper is in dat opzicht nog onvoldoende richtinggevend. Er is een aanscherping nodig van deze Compliance Paper door een “Enhanced Compliance Function” document, dat niet alleen moet gelden voor banken, maar ook voor andere organisaties die acteren op de financiële markten (zowel financiële instellingen als beursgenoteerde instellingen en hun adviseurs).
Dat laat onverlet dat er voor het beroep van compliance officers en financiële onderneming ruimte en noodzaak is om zelfregulerend bezig te zijn, zeker ten tijde van de huidige kredietcrisis. De compliance functie kan bijdragen aan het zelfregulerend vermogen van de organisatie. Deze „coutervailing power‟ moet worden versterkt door de escalatiemogelijkheid naar de toezichthouder en/of de raad van commissarissen te expliciteren en verstevigen, zodat de risk appetite van het management wordt getoetst op een hoger niveau. c. De uitdagingen van compliance
In het publieke beeld is de financiële wereld als volgt ingericht: de financiële ondernemingen zijn commercieel en toezichthouders houden de banken in toom door het houden van toezicht. Dit eenvoudige beeld is de hoofdlijn van ons stelsel. Het is dan ook niet verwonderlijk dat regelgevers en bankiers zich afvragen hoe zij in de toekomst een crisis als de huidige kunnen voorkomen. Een terechte vraag die duidt op een verantwoordelijkheidsgevoel.
In opdracht van de voorzitter van de Europese Unie heeft de High-level Group on Financial Supervision in the EU een rapport geschreven onder voorzitterschap van de oud-topman van het Internationaal Monetair Fonds, Jacques de Larosière. Het rapport geeft een framework dat moet leiden naar een nieuwe agenda voor toezichthouders en een sterkere coördinatie tussen de nationale toezichthouders.
Ook wil het een framework bieden voor effectieve procedures voor crisis management. Voor een onafhankelijk, supranationaal bankentoezicht bestaat geen politiek draagvlak, zo concludeerde de adviescommissie. De commissie pleit wel voor de uitbreiding van de bevoegdheden van de bestaande samenwerkingsverbanden van de nationale toezichthouders op Europees niveau. Daarnaast bepleit De Larosière een nieuw orgaan dat de risico‟s op de Europese financiële markten nauwgezet moet volgen en waarschuwingen moet kunnen geven. Dit om de financiële stabiliteit in Europa te bewaken zodat Europa niet voor verrassingen kan komen te staan. Het rapport zegt uiteraard wel wat meer dan dat maar de richting is evenwel duidelijk.
Bestaande structuren en werkwijzen hebben tot het huidige resultaat geleid; dat resultaat willen we niet meer en dus wordt gekeken naar aanvullende structuren en werkwijzen. Dat is ook de rol die je van overheden mag verwachten; zonder dat ik met deze verwachting afbreuk zou willen doen aan de waarde van het rapport. Maar regels, procedures en structuren alleen zijn niet altijd effectief, of niet altijd het enige wat nodig is om menselijk gedrag te sturen.
De Commissie Maas heeft namens de Nederlandse bankensector hetzelfde onderwerp opgepakt; hoe kon dit gebeuren en hoe nu verder? De commissie haakt aan bij de deskundigheid van bestuurders en beter risk management. Bestuurder moeten risico‟s beter begrijpen en risico‟s moeten beter worden beheerst. Aan compliance wordt geheel geen aandacht geschonken.Dat valt op omdat het gevoel bestaat dat een gebrek aan integriteit (mede) de oorzaak is van de huidige crisis. Een oplossing uit het doolhof?
Aan het begin van dit artikel noemde ik een van de genoemde oorzaken van de huidige crisis; een gebrek aan integriteit. Hoewel vaak genoemd in de opiniërende stukken, is er tot nu toe weinig aandacht voor deze (mogelijk) oorzaak. Integendeel zelfs. De huidige aandacht gaat naar verbeterde risk management technieken, waarbij compliance zoals gezegd onderbelicht blijft. In het hele rapport Larosière komt het woord “integrity” slecht drie maal voor en dan gaat het over de integrity van anderen, de credit rating agencies of de markt, maar niet over die van bestuurders.
Zowel compliance als risk management gaat uiteindelijk over een beheersing van het gedrag van een (financiële) onderneming en daarmee dus ook over het gedrag van
mensen. In de huidige governance van markten en worden oplossingen voor crises in de samenleving beheersbaar gemaakt door risk management systemen te implementeren. Dat geldt vanuit de governance voor onderneming ook voor incidenten in een organisatie. Vanuit huidige systemen wordt een nieuw systeem ontworpen waarvan het rapport Larosière een voorbeeld is. Systemen die gaan over controls, checks en balances.
Maar als integriteit de oorzaak van de crisis is, dan is niet alleen van belang dat er controls, checks en balances zijn, maar ook wat er binnen de processen zich afspeelt. Is daar voldoende weerwoord, oftewel countervailing power? Dat vraagt om professionalisme en deskundigheid, maar veel meer om voldoende moed en onafhankelijkheid. De bankbestuurders moeten het goede voorbeeld geven ten aanzien van het naleven van wet- en regelgeving gestoeld op deskundigheid en professionaliteit. De Raad van Commissarissen moeten het gesprek (durven) aangaan dat bestuurders dit daadwerkelijk doen. Risk managers moeten spreken wanneer de processen of portfolio‟s niet in control zijn. Compliance officers moeten spreken als er overtredingen zijn die het integriteitrisico onbeheersbaar maken. Veel zal afhangen van de gevoelde verantwoordelijkheid door bestuur, risk manager, commissaris, compliance officer en anderen, en hun gebrek aan schroom om zaken te adresseren. Daadwerkelijke verbeteringen zullen moeten komen vanuit de individuele mensen in de financiële ondernemingen.
Afrondend. De overall vraag was of de combinatie van de compliance en risk management een match made in heaven is. Ik heb geschreven over compliance en de historie, de ontmoeting van compliance met operational risk management en we zijn weer teruggekeerd bij de opkomende gebieden voor specifiek de compliance functie. Ik heb betoogd dat Compliance en ORM veel overeenkomsten hebben die pleiten voor een innige samenwerking en tegelijkertijd dat er een groot bezwaar kleeft aan dat samengaan. Een dilemma eigenlijk. Maar ik geloof dat u niet een eenvoudig antwoord was beloofd. Compliance is dan ook geen eenvoudig vak.