efficiënter en effectiever

10

januari / februari 2013

externe omgeving

De laatste jaren zijn Nederlandse banken overspoeld met ingrijpende wet- en regelgeving. Ook voor de komende jaren houdt deze ontwikkeling aan. Naast de omvang en timing van deze regelgeving, creëert de onderlinge overlap tussen deze regels complexe relaties tussen complianceprojecten van banken. En ondertussen voeren DNB en de AFM de druk rondom veel regelgeving bij banken op. Deze druk heeft een grote weerslag op de wijze waarop banken momenteel opereren en zich intern organiseren. De complexiteit en snelheid van invoering van regelge-

ving, tezamen met de complexe bestaande interne organisatiestructuren van banken, resulteren in uitdagingen op het gebied van planning, beschikbare resources en kosten. Dit gegeven verhoogt voor elke bank risico’s rondom bestaande en toekomstige complianceprojecten. Wanneer complianceprojecten integraal worden aangestuurd op basis van Compliance Portfolio Management (CPM), biedt dat aanzienlijke voordelen. Hierbij zal de werking van CPM worden geïllustreerd aan de hand van het programma Klantbelang Centraal.

Compliance Portfolio Management

efficiënter en effectiever

naleven van regelgeving Werken op basis van CPM helpt banken in het managen van de voortdurende onzekerheid en de frequente veranderingen in regelgeving, en het omlaag brengen van compliance­ risico’s en -kosten.

De set van complianceprojecten op consistente en samen­ hangende wijze managen, helpt om de strategische en tactische doelstellingen van de organisatie te bereiken.

Non-compliance brengt reputatieschade en hoge kosten mee.

11

januari / februari 2013

door Hugo Grimbel du Bois en Niels Vink

De traditionele stand-alone aanpak voor het opleveren, uitvoeren en managen van complianceprojecten is niet langer voldoende

De auteurs zijn bij PwC Advisory werkzaam als risicomanagement- en compliance­ adviseurs. Dit artikel is op persoonlijke titel geschreven.

E

lke bank worstelt op haar eigen manier met het op tempo brengen en houden van complianceprojecten. Daarnaast worstelen ze ermee om inzicht te verkrijgen en overzicht te behouden rondom de overlap en onderlinge relaties tussen de verschillende projecten. Als het totaaloverzicht over de complianceprojecten op een systematische en gestructureerde manier wordt gemanaged, is de kans op het missen van door toezichthouders opgelegde deadlines fors kleiner. Daarnaast verhoogt dat de effectiviteit van de complianceprojecten: snellere implementatie, beter sturen op de beoogde verandering en aansluiting van de projecten met de strategische agenda van de bank. Het biedt aanzienlijke voordelen om complianceprojecten integraal aan te sturen door gebruik te maken van CPM.

Dodd Frank Act Short Selling

FSB Resolution Planning

EMIR

FICOD I

FATCA

CRD/IV CRR

Provisieverbod

Investor Com. Scheme directive

MAD II/ MAR

Transparency Directive

Packaged Retail Investment Products

MiDID II/MiFIR

Counter Party Credit Risk

FICOD

2019

2015 2016

2013 2014

2012

Continue instabiliteit: De implementatie van nieuwe wetgeving zal in de komende 5 tot 7 jaar continu plaatsvinden

G-SIFIs

Volledige implementatie Basel III Mogelijke implementatie Ring Fencing

Figuur 1. Een niet-limitatief overzicht van toekomstige wet- en regelgeving. De geïllustreerde tijdsbalk is indicatief. Bron: PwC Advisory

Veranderingen door regelgeving Het jaar 2013 wordt een beslissend jaar door belangrijke mijlpalen voor het implementePwC ren van regelgeving en de fundamentele heroriëntatie die door banken in gang is gezet. Op de lauweren rusten is er voor banken niet bij. Figuur 1 laat een niet-limitatieve opsomming van recente en toekomstige regelgeving zien. Conclusie is dat de komende vijf tot zeven jaar meer nieuwe regelgeving door de banken dient te worden geïmplementeerd.

Dit brengt voor banken verschillende complicaties mee. De eerste complicatie is onzekerheid, doordat ter consultatie voorgelegde stukken niet altijd tot in detail zijn uitgewerkt. Een voorbeeld is de FATCA-wetgeving die onlangs definitief is geworden, maar waar men ruim een jaar op heeft moeten wachten. Tussentijds uitgebrachte Proposed Regulations waren in veel gevallen nog niet volledig duidelijk, zodat men van tevoren inschattingen moest maken van de uitkom-

12

januari / februari 2013

externe omgeving

Controle over portfolio

Figuur 2. Kernonderdelen Compliance Portfolio Management

Focus op scope, budget, planning en projectrisico’s

Bron: PwC Advisory

Ontwikkelingen wet- en regelgeving Focus op wet- en regelgeving en toezichthouders

• de impact van wet- en regelgeving op de

Vaststellen

Identificeren

Strategisch ontwerp

Op één lijn brengen

Focus op scope, vereisten, operating model, afhankelijkheden en synergie

PwC

De kans dat de deadlines van de toezichthouders worden gemist, wordt bij CMP geminimaliseerd 2

sten van de regelgeving. Banken zijn vaak al gestart met de implementatie van onderdelen van regelgeving. De hoeveelheid werk om de nieuwe wetgeving te implementeren en de onzekerheid over de uiteindelijke detailuitwerking en consistentie tussen verschillende toezichthouders, maken het voor banken lastig om vooraf de exacte impact op de organisatie in beeld te krijgen. Door de onzekerheid van veranderende regelgeving zouden banken in normale omstandigheden wachten op de definitieve scope en de helderheid van de implicaties van regelgeving, voordat gestart wordt met het implementeren van de vereisten. Dit zijn normaliter de minimum benodigde randvoorwaarden. Het is voor banken geen optie om de uitrol van regelgeving tot het laatste moment uit te stellen. Dit komt door de grote hoeveelheid complianceprojecten, de complexiteit, interne afhankelijkheid van de verschillende projecten en de hoge externe verwachtingen in termen van kwaliteit – en dat in combinatie met uitdagende deadlines. Non-compliance brengt reputatieschade en hoge kosten mee. De tweede complicatie is de tegenstelling tussen regelgeving onderling. Een goed voorbeeld is de internationale regelgeving over het kennen van klanten of tegenpartijen in transacties. Naast het feit dat FATCA1,

1 De IRS heeft met FATCA als doelstelling dat banken de Amerikaanse toezichthouder inzicht geven in de US-belastingplichtigen die financiële middelen buiten de US houden. Zie ‘Summary of Key FATCA Provisions’ (alinea 2), http://www.irs.gov/Businesses/Corporations/ Summary-of-Key-FATCA-Provisions.

Gestructureerd toepassen van CPM stelt een bank in staat om:

Dodd Frank Act2 en Markets in Financial Instruments Directive (MiFID) II3 overlap vertonen, zijn er ook tegenstrijdigheden in aanwezig. De verschillende definities voor US Persons in de wetgeving tussen FATCA en de Dodd Frank Act is hiervan een voorbeeld. De derde complicatie is het feit dat de hoeveelheid complianceprojecten een flinke druk bij een kleine groep interne medewer2 De Amerikaanse overheid vereist met de Dodd Frank Act dat vermogensbeheerders - te voldoen aan de definitie zoals gesteld in section 402, conform section 404 - een rapportage van (mogelijke) klanten en relevante tegenpartijen bijhouden. Beschikbaar via http://www.sec. gov/about/laws/wallstreetreform-cpa.pdf. 3 De Markets in Financial Instruments Directive (MiFID) II stelt dat banken bij transacties informatie moeten opslaan, waaronder met name computeralgoritmen en de identificatie van de cliënt en van de personen die verantwoordelijk zijn voor de uitvoering van de transactie, bijvoorbeeld de handelaren. Zie ‘Melden van Transacties in de Verordening van het Europees Parlement en de raad betreffende markten in financiële instrumenten en tot wijziging van Verordening [EMIR] betreffende otc-derivaten, centrale tegenpartijen en transactieregisters’ (alinea 2, paragraaf 3.4.7), datum 20-10-2011. Beschikbaar via http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=C OM:2011:0652:FIN:NL:PDF.

organisatie op een effectievere wijze in te schatten, te geleiden en te implementeren; de • gevolgen voor het operationele model van een bank vroegtijdig in kaart te brengen en, waar nodig, strategisch bij te sturen; complianceprojecten binnen een pro• gramma uit te voeren en te monitoren, waarbij op basis van standaardrapportagelijnen, beschikbare data en analyse op een effectieve manier overeenkomsten en synergie kunnen worden geïdentificeerd en gerealiseerd. Daarnaast stelt het uitvoeren van generieke analyses de bank in staat om kwaliteitsborging te garanderen van het project en de eindproducten.

kers legt: veel kennis over regelgeving en processen is geconcentreerd rondom een relatief kleine groep medewerkers. Het is dan ook nodig om de beschikbare tijd te prioriteren van medewerkers van Risicomanagement, Compliance, Juridische zaken, Finance, Capital Modelling, IT en andere relevante afdelingen. Door het gebruik van een CPM-methodiek wordt de kalender van komende regelgeving in kaart gebracht. Vervolgens wordt op integrale wijze een portfolioplanning opgesteld, waarin de overlap en tegenstellingen tussen de regelgeving in een projectomgeving op de juiste wijze wordt geadresseerd. Geïntegreerd managen Met de hoeveelheid en complexiteit van het werk dat op banken afkomt, is een traditionele stand-alone aanpak voor het opleveren, uitvoeren en managen van complianceprojecten niet langer voldoende. De huidige aanpak leidt onherroepelijk tot verhoging van compliancerisico’s en het niet-benutten van potentiële synergie. Dit alles resulteert uiteindelijk in hogere kosten. Dit wordt veroorzaakt door de stand-alone aanpak die banken nog vaak kiezen voor het implementeren van de vereisten vanuit

13

januari / februari 2013

regelgeving. Dit gebeurt vaak in zelfstandigheid, een silo benadering. Een voorbeeld is de verregaande aandacht van banken als het gaat om het vastleggen van het klantbeeld, inclusief klantrisico’s. Tegelijkertijd wordt privacy van klantinformatie een steeds belangrijker thema voor toezichthouders. Een tegengesteld belang ontstaat wanneer beide projecten separaat worden uitgevoerd. Dit leidt tot kostbare herstelwerkzaamheden en inefficiëntie. De stand-alone aanpak leidt daarnaast tot een beperkte informatieopbouw over onderlinge overlap en afhankelijkheden tussen de complianceprojecten. Sommige problemen op project-, afdelings-, proces- of systeemniveau kunnen niet worden opgelost zonder dat er centraal inzicht bestaat in de impact ervan op de organisatie als geheel. Het werken op basis van CPM helpt banken in het managen van de voortdurende onzekerheid en frequente veranderingen in regelgeving, en het omlaag brengen van compliancerisico’s en -kosten. Centraal hierin is het op consistente en samenhangende wijze managen van de set van complianceprojecten. Dit helpt om de strategische en tactische doelstellingen van de organisatie te bereiken.

Banken versterken hun concurrentie­ voordeel, doordat ze de wijzigingen in regelgeving sneller en gemakkelijker implementeren CPM bestaat uit drie kernonderdelen (zie figuur 2): 1. Ontwikkelingen wet- en regelgeving Om een beter inzicht te krijgen in geldende eisen en de manier waarop het regelgevend landschap zich ontwikkelt, is het op een slimme manier signaleren, beoordelen en beïnvloeden van bestaande regelgeving en toekomstige ontwikkelingen nodig. Het vertalen van de regulatory impact op de organisatie helpt de bank te sturen op een optimale implementatie. Daarnaast leggen frequente communicatie en afstemming met toezichthouders een goede basis voor een effectievere interpretatie en toepassing van wetgeving. Het is aan te bevelen om de regelgeving die de basis vormt voor verschillende gerelateerde projecten, zoals identificatie

Figuur 3. Voorbeeld van impactbepaling, onderdeel van Compliance Portfolio Management

van klanten of het handelen in het belang van klanten, in één overzicht visueel inzichtelijk te maken, inclusief onderlinge overlap en tegenstrijdigheden. Dit helpt om inzicht te krijgen in de totale situatie (eventueel per thema), en het visualiseert de complexiteit waarmee een bank te maken heeft. 2. Strategisch ontwerp Om verandering op een efficiënte manier te bewerkstelligen, is het belangrijk om de afhankelijkheden en synergie ‘over de complianceprojecten heen’ te identificeren en om compliance- en (andere) strategische doelstellingen met elkaar te verenigen. Het analyseren van deze mogelijkheden en vervolgens prioriteren van uit te voeren acties stellen de onderneming in staat om voordelen te realiseren. Het proactief uitvoeren van bedrijfs­ impact­­analyses omtrent ontwikkelingen in regelgeving helpt banken om de gevolgen voor de strategie en organisatie te identificeren. Deze analyses maken de scope, vereisten en impact op het operationele model duidelijk voor de start van individuele complianceprojecten. Een bankbrede veranderkalender kan het resultaat hiervan zijn.

14

januari / februari 2013

externe omgeving Primaire processen

Ondersteunende processen

Externe Factoren

Operatie

Delivery Kanalen

Marketing & Sales

Revenue Stromen

Strategische Beslissingen

HRM

IT

Inkoop

Integrale verandering

M

M

M

M

M

H

M

M

M

Consumptief Krediet

M

M

H

H

Hypotheek advisering

M

M

H

H

M

Compliance project X Definiëren Identified Staff

L

L

L

L

M

H

L

L

Uitvoeren risicoanalyse

L

L

L

L

H

M

L

L

Definiëren KPI’s

M

M

M

M

M

H

H

M

Figuur 4. Voorbeeld van een Compliance Portfolio Management heatmap Het verdient aanbeveling om de gemaakte impactanalyses periodiek op senior management niveau te bespreken en tot PwC eventuele bijsturingmaatregelen te komen. Naast impactanalyses is het aan te raden om de zogenoemde CMP heatmap (figuur 4) op te stellen en tevens te delen met het senior management. Dit helpt om een effectiever overallbeeld te verkrijgen van de impact van verschillende compliance­ projecten op de organisatie. 3. Controle over portfolio Een complianceproject dient op geïntegreerde en gecontroleerde manier uitgevoerd te worden. Het goed laten verlopen van meerdere complianceprojecten tegelijkertijd, vraagt om het inrichten van een gestructureerde portfolio-governance, gestandaardiseerde projectcontroles, tools en templates. Hiermee kunnen de projectvoortgang, planning, budgetverloop en projectrisico’s worden gemonitord. Ook stelt het standaardiseren van communicatieprocessen en rapportagestromen de organisatie in staat om analyses uit te voeren en inzichten en informatie te delen, om zo de besluitvorming te optimaliseren. Het is raadzaam om een centrale CPM stuurgroep in te richten waarin de scope, projectaanpak, budgetvoortgang, planning, projectrisico’s en resultaten van elk complianceproject worden besproken. Hiermee kan worden vastgesteld of er controle is over de totale portfolio en kan men tot een effectievere inrichting van de individuele projecten komen. Door ook de onderliggende afhankelijkheden te benoemen, wordt duidelijk wat de impact en afhankelijkheden van de verschillende projecten op elkaar zijn.

Toepassing in de praktijk – ‘Klantbelang centraal’ De change-agenda van banken zal in de nabije toekomst, meer nog dan in het verleden, worden gedomineerd door complianceprojecten. De vraag is echter hoe deze uitdagingen in de praktijk in goede banen kunnen worden geleid. CPM is de methodiek die banken helpt om deze uitdagingen het hoofd te bieden. Waar eerder is uitgelegd wat dit principe theoretisch inhoudt, zal hierna de werking nader worden toegelicht aan de hand van een praktijkvoorbeeld. Hiervoor wordt ‘Klantbelang centraal’4 (KBC) gebruikt. KBC heeft zowel veranderkundige als compliance-elementen in zich. Veel banken hebben een programma opgestart om KBC (beter) in de organisatie te borgen. Ook een nadrukkelijke verankering in een complianceprogramma is nodig om alle regelgeving op dit onderwerp in te regelen. Onderdeel van het complianceprogramma kunnen verschillende projecten5 zijn, die de onderwerpen binnen KBC omvatten. Hierbij kan worden gedacht aan productontwikkeling, ketenbeheersing en een aantal gerela4 Zowel DNB als AFM ziet toe op de naleving van dit thema bij banken, waarbij overigens geen eenduidige definitie bestaat voor ‘Klantbelang centraal’. In een ‘white paper’ hierover, opgesteld door prof. dr. Peter C. Verhoef (2012) in opdracht van de Nederlandse Vereniging van Banken (NVB), wordt gesteld dat ‘Klantbelang centraal’ betekent: “… dat de gehele bank als centraal doel heeft superieure waarde richting klanten te realiseren en dat dit op een gecoördineerde manier binnen de organisatie gebeurt”. 5 Denk aan internationale en nationale wetgeving die directe relatie of raakvlakken heeft met KBC. Parallel aan de Nederlandse initiatieven dienen Nederlandse banken actief in het buitenland ook internationale regelgeving te volgen, zoals Treating Customers Fairly (UK).

teerde productcategorieën binnen KBC, zoals consumptief krediet en hypotheekverstrekking.6 Daarnaast zijn er aanpalende wetten en regels die directe invloed hebben op KBC, zoals MiFID en die op het gebied van de privacy van persoonsgegevens. Impactbepaling van de regelgeving op de verschillende onderdelen van een bank (bijvoorbeeld de waardeketen) is een belangrijk onderdeel van CPM, dat de bank inzicht geeft in de overlap en raakvlakken tussen voorgenoemde regelgeving op de bankprocessen in algemene zin. Daarnaast kan het opstellen van een heatmap (figuur 4) een verdere informatiebron zijn om overlap en raakvlakken te definiëren. Door verschillende analyses uit te voeren, kunnen de overlap, verschillen en afhankelijkheden van de projecten en de impact op de business nauwkeurig worden bepaald. Dit kan leiden tot het geïntegreerd uitvoeren van procesveranderingen, het delen van geleerde lessen en het gebruikmaken van best practices in de uitvoering. Uiteindelijk resulteert CPM in een proactieve en systematische aanpak, waarmee kosten worden gereduceerd. In tijden waarin wij zien dat budgetten worden opgerekt en het resultaat onder druk staat, brengen deze besparingen vanuit zichzelf een concurrentievoordeel mee. Wij zien een drietal voordelen in het gebruik van CPM. Als CPM allereerst effectief wordt geïmplementeerd, zal het concurrentievoordeel van de bank verder worden versterkt doordat wijzigingen in regelgeving sneller en makkelijker worden geïmplementeerd. Daarnaast boeken de banken door CPM voortgang in de efficiënte adoptie van het veranderde compliancelandschap. Dit zorgt ervoor dat noodzakelijke wijzigingen in het business model van de bank duidelijk worden. Ten slotte zal door de implementatie van CPM het concurrentievoordeel nog verder worden verstevigd, omdat in een tijd waar de werkdruk bij het senior management hoog is en veel aandacht uitgaat naar de interne organisatie, de controle over het complianceportfolio ervoor zorgt dat het management zich meer op het externe veranderende commerciële landschap kan richten.  6 Zie voor het volledige overzicht van onderwerpen, het Klantbelang Dashboard in het AFMrapport Klantbelang Centraal: Uitkomsten 2011 & vooruitzicht 2012 (p.8).