compliance Raymond
I Wietse
Louwes
&
Wortel
Praktisch inzicht in de beheersing van compliancerisico's De financiële crisis heeft aangetoond dat compliance een belangrijk thema is. Het vertrouwen in integere bedrijfsvoering in de financiële sector heeft een forse deuk opgelopen. De klant moet weer centraal komen te staan en de dienstverlening
moet weer terug naar de basis. Tegelijkertijd zal de regeldruk
niet afnemen. Financiële instellingen compliancerisico's
staan steeds vaker bloot aan grote
door aanvullende wet- en regelgeving, sterk toegenomen
toezicht en controle van toezichthouders
en steeds hogere sancties op non-
compliance (niet naleving).
NOV09
56
Als onderdeel van Compliance Risk Management is Compliance Risk Monitoring Cmonitoring")
een essentiële tooi in de
tooibox van de compliance officer. Daar waar de business van banken verantwoordelijk is voor het voldoen aan de wet- en regelgeving, adviseert de compliance officer bij de beheersing van de compliance risico's.
Compliance Risk Monitoring
geeft de
compliance officer inzicht in de mate waarin de business compliant is en stelt hem in staat de business pro-actief te adviseren. Omdat de business primair verantwoordelijk
.•Drs. H.W. (Wietse)
Louwes:
Management Consultant
.• R. (Raymond)
Wortel RE RA : Hoofd
Compliance Quality Assurance Regio NL
is voor compliant gedrag,
heeft het business management behoefte
dige wijze presenteren van het benodigde
Compliance
aan inzicht in de mate van "in control"
inzicht. Dit artikel gaat nader in op een
en businessprocessen
zijn. Beide vormen van inzicht blijken
praktische invulling van Compliance
nauw op elkaar aan te sluiten.
Risk Monitoring en hoe de uitkomsten
Volgens het Basel Committee on Ban-
hiervan op een voor compliance officers
king Supervision[lJ is compliance risk een
en business bruikbare wijze gepresenteerd kunnen worden in een dashboard.
belangrijk element wanneer gesproken
Het blijkt dat financiële instellingen moeite hebben met het op een eenvou-
1
Risk Management
wordt over "Compliance en de Compliance
Bank for International Settlements Compliance and the compliance function in banks, rapport van het Basel Committee on Banking Supervision, april 2005.
>
compliance
I
sen prospect en de financiële instelling tot stand. Er wordt een klantonderzoek
Regels en principes
Oversight
uitgevoerd (customer due diligence) en er wordt een risicoprofiel van de klant opgesteld. Vervolgens kan de dienstverlening aan de klant gestart worden.
Fase 3: klant zijn (onderhouden klantrelatie) Risk monitoring
Risk assessments
In deze fase is er sprake van proactieve financiële dienstverlening aan de klant. De klant kan daarbij o.a. om advies vragen en transacties (laten) uitvoeren. Naast zorg-
t::!-... ~
plicht vormen onder meer het administreRr,k
ren van gegevens en de informatieverstrek-
rapportage
king aan de klant aandachtspunten. Op •. Figuur 1:De Compliance Risk Management
cyclus
talrijke gebieden zijn nadere uitwerkingen van de Wft van toepassing, bijvoorbeeld
functie bij banken". In de uitvoering van de
of op een website), via advisering,
voor specifieke producten zoals regels voor
Compliance functie spelen de advisering
aanbieding, contractafsluiting.
beleggen, hypotheken, sparen, etc.
en ondersteuning van de business omtrent
transactie-uitvoering
de wijze waarop omgegaan wordt met
tot uiteindelijke archivering.
compliance risk een prominente rol. Het ligt voor de hand dat daar waar gesproken wordt over compliance risk, het zinvol is
en administratie
2. Secundaire processen, de ondersteu-
In deze vierde en laatste hoofdfase
nende processen op het gebied van
komt er een einde aan de klantrelatie en
HR, IT, Finance, etc.
worden de verschillende
contracten
met
de klant beëindigd. In deze fase ligt de
Compliance Risk Management te bedrijven. Compliance Risk Management richt
Fase 4: einde klantrelatie
De klant centraal
nadruk van de wet- en regelgeving op het bewaren van de klant- en transactie-
zich op het beheersen van risico's die samenhangen met het niet voldoen aan
Niet alleen vanuit de politiek klinkt de roep
gegevens en de beperkende voorschriften die hiervoor gelden.
relevante wet- en regelgeving en die uit-
om de klant centraal te plaatsen, ook vanuit
eindelijk kunnen resulteren in substantiële
een compliance perspectief is dit een goed
financiële schade, sancties en reputatie-
uitgangspunt. Het concept van de levenscy-
Compliancerisico's
schade. Onderstaande figuur geeft de
clus van klantrelaties kan hierbij dienen als
verschillende stappen in de Compliance
'kapstok' waaraan compliance onderwerpen
In deze lifecycle van de klantrelatie, en
kunnen worden 'opgehangen'.
daarbinnen van de in het kader van de
In de levenscyclus van een klantrelatie
dienstverlening
worden vier hoofdfasen onderscheiden:
diensten en producten treden complian-
Risk Management cyclus weer.
Binnen de Compliance Risk Management
aan de klant passende
cerisico's op vanuit verschillende invals-
cyclus wordt bepaald welke complian-
Fase 7: (nog) geen klant (prospect fase)
hoeken.
identificatie van compliancerisico's wordt
In deze fase is nog geen sprake van een
Deze invalshoeken
bij voorkeur uitgevoerd aan de hand van
klantrelatie,
• Cliënt integriteit;
de businessprocessen van de onderne-
ken van een prospect (een potentiële
• Service / product integriteit;
ming. Hierbij kunnen 2 soorten processen
klant). In deze fase spelen o.a. regels
• Markt integriteit;
onderscheiden worden:
met betrekking
• Medewerker integriteit, en
1. Primaire processen, veelal proces-
informatieverstrekking
cerisico's de onderneming loopt, welke hiervan zij accepteert of wil beperken. De
ketens voor specifieke diensten of product(groep)en. Hierbij kan gedacht worden aan de verschillende stadia van
57
maar wordt vaak gespro-
tot de benadering van en aan deze pros-
zijn:
• Organisatie integriteit.
pects een rol.
Cliënt integriteit
de ontvangst van eerste informatie
Fase 2: klant worden (begin klantrelatie)
omtrent een product (in een brochure
In deze fase komt de klantrelatie tus-
Cliënt integriteit
betreft
het voldoen
aan zowel extern als intern gestelde normen door de cliënten van de
>
compliance onderneming
I
gedurende de gehele
levenscyclus van de klantrelatie. integriteit
voor (internationaal)
Cliënt
bevat daarmee alle Ken Je
betalingsverkeer.
Belangrijke onderwerpen integriteit
belang als organisatiestructuur,
bij markt
functie- en
taakbeschrijvingen, duidelijk beschreven en gecommuniceerd beleid, processen,
vormen daarnaast ook de
Klant (Know Your Client = KYC) gere-
items belangenverstrengeling
lateerde activiteiten
of interests) en marktmisbruik
(market
trole en beheersing, etc. Ook de Informatie
abuse). Onder markt integriteit
wordt
Technologie (IT) gerelateerde aspecten als
risicobeoordeling, periodieke
zoals identificatie, cliënt monitoring
en
herbeoordeling.
Service / product integriteit Service / product integriteit
procedures en werkinstructies, interne con-
(conflict
mede begrepen de vorm en inhoud van
vertrouwelijkheid,
de samenwerking
beschikbaarheid vallen onder organisatie-
met intermediairs,
remisiers, e.d.
gegevensintegriteit
en
integriteit, alsmede aan de Wbp ontleende
heeft betrek-
vereisten aangaande de vastlegging en
king op het voldoen aan zowel externe als
Medewerker integriteit
bewaring van gegevens. Voorts worden,
interne normen terzake van de dienstver-
Medewerkerintegriteit
indien daarvan sprake is, outsourcingsa-
lening en daarmee vaak gepaard gaande
op het voldoen aan sociale en ethische
productleverantie.
normen door bij de onderneming betrok-
Het gaat hierbij zowel
heeft betrekking
specten onder dit hoofd begrepen.
om passieve aspecten zoals de correcte
ken personen. Dit betreft alle hiërarchi-
Figuur 2 toont de levenscyclus van een
inhoud van brochures, prospectussen
sche lagen van hoogste leiding tot de
klantrelatie met direct daaronder de
en internetsites,
werkvloer en inclusief ingehuurd tijdelijk
belangrijkste business handelingen die
personeel. Belangrijke onderwerpen
in de verschillende fasen een rol spelen.
biedingen (suitability en appropriateness)
hierbij zijn HR-beleid, pre-employment
Vervolgens zijn de compliance aspecten
en de informatie-uitwisseling
screening, (vermijding van) misbruik
benoemd, aan de hand waarvan de van
een rol speelt.
van voorwetenschap, deskundigheid en
toepassing zijnde compliance aspecten
Markt integriteit
vaardigheid van bestuurders en medewer-
per business handeling kunnen worden
kers, etc.
geselecteerd.
maar tevens de actieve
onderwerpen zoals passendheid van aan-
Markt integriteit
betreft
die daarbij
het voldoen
aan de regels die van toepassing zijn
NOV09
58
op de markten waarop de onderneming
Organisatie-integriteit
Het voordeel van deze indeling is dat
actief is. Het begrip markt wordt in
Organisatie-integriteit
de risico's herkenbaar worden voor de
deze context
breed geïnterpreteerd.
doen aan geldende vereisten voor opzet,
business waarin ze plaats hebben. Voor
Voorbeelden
van de bedoelde regels zijn
bestaan en werking van een beheerste
de risico's die de financiële instelling wil
regels van Euronext en regels die gelden
onderneming. Hierbij zijn aspecten van
beperken worden beheersmaatregelen
betreft het vol-
Klant worden
Klant zijn onderhouden
-Contracten -Marketinguitingen
-Aanbieding -Advies -Transacties
-Afspraken -Profilering dient
Einde klantrelatie
klantrelatie
-Administratie -Informatie aan dient
"Bewaring
integrity
Klachten
Product
integrity
Market integrity
Employee
Organization
.• Figuur 2: De productketen
1
integrity
integrity
waaraan compliance aspecten worden gekoppeld
Louwes, HW. en R. Wortel, Compliance Risk Monitoring,
De toegevoegde waarde van "oversight"
ance risico's, artikel in Banking & Finance #6, december 2008.
bij het beheersen van compli-
>
een
compliance
I
opgesteld. Monitoring vindt vervolgens
is er de dialoog met de toezichthouders,
Compliance monitoring is gericht op
plaats op de kwaliteit en werking van deze
waaraan informatie
het verkrijgen van oversight, daar waar
beheersmaatregelen.
omtrent op handen zijnde nieuwe wet-
de auditfunctie
en regelgeving en ontwikkelingen
Compliance focust daarbij op het vaststel-
De scope van compliance monitoring
kan worden ontleend
in de
branche die mogelijk ook van toepassing
is gericht op assurance.
len van het bestaan van een maatregel en op het proactief adviseren van de
zijn op de financiële instelling.
business en het bieden van ondersteuCompliance Risk Management richt zich
Daarnaast heeft de compliance officer
ning bij implementatie,
op het (proactief)
allerlei 'sensoren' aan de hand waarvan
policies, procedures, etc. De aandacht
beheersen van compliancerisico's. Monito-
hij de mate van compliance op belangrijke
voor de werking van beheersmaatregelen
ring focust daarbinnen op:
onderdelen kan analyseren. Zo analyseert
strekt zich niet uit tot de toetsing van de
inventariseren en
1. het toetsen van de voortgang bij de
inclusief training,
hij klachten van klanten en de oorzaken
continue werking, er wordt volstaan met
invoering van voorgenomen beheers-
daarvan, beoordeelt hij het verloop en
deelwaarnemingen.
maatregelen,
de inhoud van MOT meldingen, reviewt
de werking van de beheersmaatregelen
hij auditbevindingen
als geheel gedurende een periode en doet
2. het verkrijgen van inzicht in de mate
en bevindingen van
De auditfunctie
toetst
waarin risico mitigerende maatregelen
toezichthouders,
daadwerkelijk effectief en afdoende
ken en impact van compliance incidenten.
hiervan zijn een bron voor de compliance
zijn, 3. het toetsen in hoeverre actuele gebeurtenissen in de financiële instelling
en analyseert hij oorza-
Voorts voert hij reviews uit van nieuwe (of
officers voor het verkrijgen van hun over-
aangepaste) producten, processen en van
sight. Individuele audits hebben dan ook
projecten.
veelal een beperkte scope en resulteren in
passende opvolging krijgen[2] 4. het volgen van ontwikkelingen
daar een uitspraak over. De uitkomsten
een assurance mededeling. De interne aubinnen
Monitoring en audits
ditafdeling
de financiële instelling en daarbuiten
bewaakt de voortgang van de
implementatie van beheersmaatregelen,
die verband houden met de geldende
Binnen veel financiële instellings waar
de compliance officers kan bij de imple-
regels en principes.
wordt begonnen met het vormgeven van
mentatie een actieve bijdrage leveren,
Voor de uitvoering van monitoring zijn vele soorten werkzaamheden en technieken denkbaar. Belangrijk is de frequente dialoog van de compliance officer met
compliance risk management en de daarbij
bijvoorbeeld bij het opstellen en uitdragen
behorende monitoringfunctie,
van beleid. Compliance expertise is een
NOV09
vraag wat het verschil is tussen monito-
bron voor de auditafdeling
59
ring door een compliance officer en de
tijd is de compliancefunctie
werkzaamheden van de interne auditor en
object van audit.
leeft de
en tegelijkerzelf ook een
het business management en de me-
of Compliance niet een substituut begint
dewerkers. Uit deze dialoog krijgt de
te worden van de auditafdeling.
Monitoring dashboard
hetgeen er binnen de business speelt.
Er zijn echter grote verschillen tussen
Voor een effectieve beheersing van compli-
Tegelijkertijd
beide activiteiten.
ancerisico's speelt de compliance officer een
complianc~ officer de informatie
omtrent
kan hij de business advise-
ren over de compliancerisico's.
Anderzijds
De belangrijkste zijn in
Tabel 1 opgesomd .. Audit Compliance expertise is een bron voor Compliance Ondersteuning Voortgangsbewaking Monitoring bijvan implementatie van de implemenZorgen voor assuronce Expliciete "Natuurlijke" adviesfunctie adviesfunctie Audit uitkomsten zijn bron voor oversight Verkrijgen van oversight Over Over heersmaatregelen het de continue bestaan werking als een geheel maatregel van de been de
audit auditfunctie . tatie Compliancefunctie
is een object van
.• Tabell: De verschillen tussen de compliance- en auditfunctie
cruciale rol met behulp van monitoring op
>
compliance
I
de beheersmaatregelen. Om deze spilfunctie
Omdat compliance risico's rechtstreeks
service/product,
te kunnen vervullen zoekt de compliance
organisatie geörienteerdheid.
officer naar een manier om eenvoudig het
verbonden zijn met de bedrijfsuitoefening worden de risico's en de uitkomsten om-
overzicht te hebben van de belangrijkste
trent de mate van compliance op een voor
voor deze categorieën enkele belangrijke
risicogebieden binnen zijn vakgebied en de
business management herkenbare manier
compliance aspecten genoemd, die voor
status van de bijbehorende beheersmaat-
gepresenteerd.
het betreffende business management
regelen. Een handig hulpmiddel hiervoor is een 'monitoring dashboard'.
markt, medewerker- en In het
navolgende voorbeeld in dit artikel zijn
de meest belangrijke vertegenwoordigen. Qua vorm is de rapportage niet een
Per aspect is met een kleurindicatie (red,
extensieve verhandeling van voorschriften,
amber, green) aangegeven wat per eind
issues en status zijn, maar veeleer een
september de status van de mate van
vergeleken met het scherm van een
dashboard dat met kleuren of grafieken
compliance is op grond van de uitgevoerde
modern navigatiesysteem.
aangeeft in hoeverre de financiële instel-
monitoring activiteiten. Voorts is een
Een 'monitoring
dashboard' kan worden
bevat alle informatie
Het scherm
die een automobilist
ling compliant is en hoe zich de mate van
geaggregeerde red/amber/green
nodig heeft om van de ene plaats naar de
compliant zijn ontwikkelt in de tijd. Aanvul-
weergegeven voor de afzonderlijke vijf
andere te kunnen rijden, terwijl over-
lend kan de rapportage beknopt informatie bevatten omtrent de uitkomsten van audits
risicoclusters. Ter vergelijking is in de rechterkolom ernaast de status van drie
en onderzoeken van toezichthouders en
maanden eerder opgenomen. "Doorklik-
eenvoudig worden weergegeven. Dit is
op pro actieve basis omtrent de gevolgen
ken" op de verschillende cellen toont de
ook het uitgangspunt
van te verwachten veranderingen in de
gebruiker van het dashboard de onderlig-
organisatie en/of regels en principes.
gende uitgebreidere monitoring rapportage
Het invullen van het monitoring dashboard
audit findings en compliance incidenten.
bodige informatie belangrijkste
is weggelaten en de
elementen overzichtelijk
en
voor een monito-
ring dashboard: het moet eenvoudig van opzet zijn en in gebruik en moet alleen de relevante informatie weergeven.
Het
moet meteen kunnen laten zien wat de
indicatie
met bijvoorbeeld een uitwerking van de
compliance officer belangrijk vindt, wat
De hier getoonde illustratie is een
de status hiervan is en kunnen aangeven
Eerder in dit artikel noemden we al een
mogelijke invulling van een dashboard
of de compliance officer moet ingrijpen.
vorm van clustering van risico's naar cliënt,
voor compliance risicobeheersing. Andere
Nov 09
vormen, bijvoorbeeld met gebruikmaking
Status
60
Compliance
Dashboard
September
Status June
van grafieken, smilies of andere illustraties plaats van de hier gebruikte boxen zijn zeker ook denkbaar.
Client Integrity Conclusies
Compliance risico's vormen een belangrijk
Product Integrity
element van de bedrijfsuitoefening financiële instellingen.
deel uit van de bedrijfsprocessen. uitvoering
van
Compliance maakt In de
van de Compliance functie
Market Integrity
spelen de advisering en ondersteuning
Conflict of Interests Market Abuse Intermediarv Relations
van de business een prominente rol om de compliance risico's op een effectieve en efficiënte
manier te kunnen beperken.
Compliance monitoring
stelt de compli-
ance officer in staat de business pro-actief te adviseren en geeft hem het inzicht in de mate waarin de business compliant
Organisation
Integrity
is. Compliance monitoring
voorziet
daarmee in een soortgelijk inzicht als de 'in control' behoefte binnen de business. Daarom is de presentatie van de monitoringuitkomsten
nuttig voor zowel de
>
compliance
I
De auteurs
Compliance functie als voor het business management.
Wietse Louwes is werkzaam als ma-
Raymond Wortel is als compliance
Een handig hulpmiddel hierbij is een
nagement consultant bij het door hem
professional werkzaam bij een grote fi-
monitoring dashboard, een overzichtelijke
opgerichte Vortex Consultancy BV en
nanciële instelling. De afgelopen jaren is
en zo eenvoudig mogelijke weergave
adviseert organisaties onder meer op
hij mede verantwoordelijk
van de belangrijkste risicogebieden en hun risicostatus. Het is voor het business
het gebied van compliance en risicoma-
de (her)inrichting
nagement. Daarvoor heeft hij jaren-
functie. Daarvoor heeft hij jarenlange er-
lange ervaring opgebouwd als project
varing opgebouwd in diverse functies op
management onmiddellijk
herkenbaar en
geweest voor
van de Compliance
is eenvoudig in het gebruik. Gebruik van een dashboard met voor het business
manager en consultant bij onder meer
het gebied van internationale
banken, verzekeringsmaatschappijen
auditing, IT auditing en procesverbete-
management herkenbare en bovendien
overheidsinstellingen
en
op het gebied van
ringstrajecten.
operational
Raymond treedt tevens
beïnvloedbare aspecten ("meters")
compliance, risicomanagement, finance
op als part-time docent Compliance
vergroot het gewenste inzicht en zal een
& control, kwaliteitsmanagement
Risk Management voor het Nederlands
positieve invloed hebben op de compli-
(operational) audit.
ance awareness in de business.
>1
en
Compliance Instituut.
