Three lines of defence Wat mag van een compliancefunctie worden verwacht? L.H.C. Hattenbach RA CFE en mr. N.W. Zwikker105
Inleiding Afgelopen jaren hebben er veel calamiteiten bij verschillende financiële onder nemingen plaatsgevonden. Dit betrof zowel fraudes als ‘compliance breaches’. In januari 2008 werd Société Générale geconfronteerd met een interne fraude van 4,9 miljard Euro. Dit betrof een interne fraude door een trader, die plaats kon vinden door zijn diepgaande kennis van de IT systemen en de interne controlemaatregelen. In september 2008 heeft Lehman Brothers faillissement aangevraagd. Dit leidde tot een schok in de financiële wereld en was, achteraf bezien de start van de kredietcrisis. Nadien zijn diverse financiële ondernemingen failliet gegaan of overgenomen en hebben in de gehele wereld diverse banken overheidssteun ontvangen. Begin 2009 heeft Lloyds TSB een zogenaamde ‘deferred prosecution agreement’ gesloten met het US Department of Justice. Hiermee werd verdere vervolging voor overtreding van de OFAC Sanctiewetgeving afgekocht. Lloyds TSB heeft toegezegd een bedrag van 350 miljoen US dollar te betalen. Bij al deze incidenten kan de vraag worden gesteld of ze niet konden worden voorkomen door de ‘three lines of defence’. De Nederlandsche Bank heeft ervoor gekozen om in 2009 niet alleen aandacht te besteden aan bijzondere thema’s die nauw samenhangen met de financiële crisis. Ook toetsing van de werking van de cyclus van de beheerste bedrijfsvoering en de daarin van belang zijnde onderdelen staat in 2009 op het programma.106
105 L.H.C. (Leo) Hattenbach RA CFE is director bij Ernst & Young Fraud Investigation & Dispute Services. Mr. N.W. (Nico) Zwikker is hoofd Compliance van Fortis Bank Nederland. 106 Thema’s DNB toezicht 2009, De Nederlandsche Bank.
Jaarboek Compliance 2010 97
Ontwikkelingen compliancepraktijk
In dit artikel zullen wij kort ingaan op het ‘three lines of defence’ concept en vervolgens stil staan bij de rol van de compliance functie in dit concept. Daarnaast zal de invulling van taken en verantwoordelijkheden worden behandeld, alsmede de randvoorwaarden waaraan voldaan moet worden bij toepassing van dit concept.
Concept van ‘three lines of defence’ De ‘three lines of defence’ vormen een intern governance framework dat wordt toegepast bij diverse bedrijven, zowel binnen als buiten de financiële sector. Bij de vormgeving van het ‘three lines of defence’ model zijn in ieder geval de volgende bedrijfsfuncties betrokken: x Senior management / Business (‘first line of defence’) x Risk management / compliance / juridische functie (‘second line of defence’) x Internal audit (‘third line of defence’) De activiteiten van de functies die in de ‘three lines of defence’ voorkomen zijn bij financiële ondernemingen met uitzondering van de juridische functie wettelijk verankerd. Ze vormen een belangrijk deel van de bedrijfsvoering van een financiële onderneming. Hierbij dient te worden opgemerkt dat het model zelf niet wettelijk is verankerd. De activiteiten van riskmanagement, compliance en internal audit worden onder andere107 geregeld in respectievelijk artikel 23 en verder van het Besluit prudentiële regels Wft (Riskmanagement), in artikel 21 (compliance) en in artikel 17 lid 4 en 17a van het Besluit prudentiële regels Wft (Audit). De wet noch de uitvoeringsbepalingen schrijven echter enige vorm van onderlinge relatie voor tussen deze onderdelen. Het is aan de praktijk om daaraan invulling te geven en de vraag te beantwoorden hoe deze onderdelen met hun onderscheiden deelgebieden als geheel een bijdrage leveren aan het beginsel van artikel 3:10 en 3:17 van de Wft, het waarborgen van een beheerste en integere bedrijfsvoering. In het navolgende zal worden betoogd dat het ‘three lines of defence’ model heel goed dienst kan doen mits tenminste twee aspecten van dit model goed en naar actuele inzichten omtrent het besturen van een financiële onderneming worden geregeld, te weten: x De relatie en de houding van de ‘second’ en ‘third line’ vis a vis de business. x De onderlinge relatie binnen de ‘second’ en ‘third line of defence’.
107 Aanvullende bepalingen zijn opgenomen in deel 4 van de Wft en het Bgfo.
98 Jaarboek Compliance 2010
Three lines of defence
In onderstaande afbeelding worden de ‘three lines of defence’ schematisch weergegeven.
In dit model is het senior management niet alleen verantwoordelijk voor de strategie, de financiële resultaten en het commercieel beleid, maar ook voor compliance en de effectiviteit van de risicobeheersing van de bedrijfsprocessen met inbegrip van het waarborgen van een integere bedrijfsvoering. De complexiteit van de afwegingen en beslissingen die met deze verantwoordelijkheid gepaard gaan is echter in de loop der jaren sterk toegenomen en zal na de implementatie van toekomstige wet- en regelgeving post-kredietcrisis naar verwachting verder toenemen. Hoewel het ‘three lines of defence’ model geheel in lijn is met de huidige opvattingen over de verantwoordelijkheid en rol van senior management is het in het huidige tijdsgewricht een uitdaging om deze opvattingen in de praktijk te operationaliseren en effectief in de dagelijkse gang van zaken in te bedden. Een andere uitdaging is om te voorkomen dat de ‘second’ en ‘third line of defence’ een vervanging worden voor de verantwoordelijkheid van senior management of in
Jaarboek Compliance 2010 99
Ontwikkelingen compliancepraktijk
het andere extreem fungeren als starre Maginot108 linies, uitsluitend gericht op rapportage, controle en beperking. In het navolgende zal worden betoogd dat het ‘three lines of defence’ model niet alleen bijdraagt aan duidelijkheid over rollen en verantwoordelijkheden maar dat het model door samenwerking sterk kan bijdragen aan een effectievere beheersing van de risico’s van de onderneming.
Voorbeelden uit de praktijk Wij geven enkele voorbeelden uit de praktijk weer. Een Nederlandse bank heeft de belangrijkste principes van ‘three lines of defence’ als volgt verwoord109: x Management van de bedrijfsonderdelen is primair verantwoordelijk voor de resultaten, de uitvoering, compliance en de effectiviteit van risicobeheersing die betrekking hebben op hun zaken (de zogenaamde ‘first line of defence’ – eerste verdedigingslinie). x Risk managementfuncties en compliance (de zogenaamde ‘second line of defence’- tweede verdedigingslinie) coördineren, houden toezicht op en dagen de uitvoering, het management en de beheersing en verslaglegging van risico’s op een objectieve wijze uit. x Internal Audit functioneert als de ‘third line of defence’ (derde verdedigingslinie). De missie van internal audit is ervoor zorg dragen dat een onafhankelijk oordeel wordt gegeven over het ontwerp en de effectiviteit van de internal controls inzake risico’s die van invloed zijn op de bedrijfsresultaten van de bank, inclusief risk management activiteiten uitgevoerd door functionarissen in zowel de eerste als de tweede verdedigingslinie. Door uitvoering van deze activiteiten kan internal audit aanbevelingen aandragen ten behoeve van de verbetering van het governance, risk & control framework van de onderneming. Een Australische bank110 geeft op de volgende wijze invulling aan de ‘three lines of defence’: x De Groep geeft invulling aan risicobeheersing door het ‘three lines of defence’ framework. Beheersing van de risico’s wordt bereikt door helder gedefinieerde bevoegdheden en duidelijke communicatiekanalen. De ‘first line of defence’ bestaat uit de bedrijfsonderdelen die de risico’s beheersen die samenhangen met hun bedrijfsactiviteiten. De ‘second line of defence wordt gevormd door de risk108 De Maginotlinie is een Franse verdedigingslinie aangelegd tussen 1930 en 1936 op de grens met België, Duitsland en Italië. Deze verdedigingslinie bestond uit artillerie forten, infanterie forten, kazematten, infanterie schuilplaatsen en observatieposten. 109 CCRM_charter-framework aug08, ING Group. 110 Governance and management systems, National Bank of Australia.
100 Jaarboek Compliance 2010
Three lines of defence
functies op groepsniveau en de regionale riskfuncties, die verantwoordelijk zijn voor onafhankelijke monitoring en overzicht. De ‘third line of defence’ is internal audit, die de compliance met risk policies en procedures op onafhankelijk wijze controleert. Tevens beoordeelt internal audit regelmatig de effectiviteit van het risk management framework.
Invulling taken en verantwoordelijkheden First line of defence Zoals hierboven vermeld is senior management primair verantwoordelijk voor compliance en de effectiviteit van de risicobeheersing van de bedrijfsprocessen. Met deze uitspraak wordt echter de vraag hoe in de praktijk gestalte moet worden gegeven aan deze verantwoordelijkheid niet beantwoord. Anders gezegd, hoe ziet men in de praktijk of de ‘first line of defence’ op een adequate manier invulling geeft aan zijn rol in het ‘three lines of defence’ model? Om deze vraag te beantwoorden moeten wij de discussie breder trekken dan compliancerisico’s en wet- en regelgeving en moeten wij ons verdiepen in de vraag hoe alle onderdelen bijdragen aan de strategie van de financiële onderneming, de aard en mate van risico die de onderneming acceptabel acht en tenslotte de verwachtingen die hieromtrent leven bij stakeholders zoals toezichthouders en externe beleidsbepalers. De huidige crisis heeft ons geleerd dat het niet eenvoudig is om deze vraag te beantwoorden. Echter, een aantal contouren tekent zich inmiddels wel af. Bij het senior management en de Raad van Bestuur komen alle risico’s van de onderneming samen. Het zijn deze functies die er voor dienen te zorgen dat de bedrijfsvoering in de brede zin van het woord in overeenstemming is met de strategische doelstellingen van de onderneming, het gekozen risicoprofiel en de verwachtingen van stakeholders. Om dat te kunnen waarmaken dienen de personen die deel uitmaken van het senior management over de vereiste kennis en vaardigheden te beschikken om hun business en business ondersteunende activiteiten conform deze verwachtingen te ondernemen. In recente analyses van beleidsbepalers111 en toezichthouders112 wordt tekort schietend risicobeleid op concernniveau bij banken genoemd als een van de oorzaken van de huidige crisis in de financiële sector. Banken zijn de afgelopen tijd veelal het zicht op complexe risico’s kwijtgeraakt. Naast het feit dat hiermee financiële risico’s 111 Naar herstel van vertrouwen, Adviescommissie Toekomst Banken, 2009. 112 The Turner review, a regulatory response to the global banking crisis, Financial Services Authority, 2009.
Jaarboek Compliance 2010 101
Ontwikkelingen compliancepraktijk
worden gelopen, wordt veelal ook het risico gelopen dat niet altijd wordt voldaan aan wet- en regelgeving. Voor compliance betekent dit dat men zich continu de vraag moet stellen of senior management over voldoende kennis beschikt over de compliancerisico’s en dat het ontwikkelen van het besef door de afdeling compliance van deze risico’s van groot belang is. Ten tweede is het van belang dat senior management gemotiveerd is om continu compliance-relevante afwegingen te maken om zo tot goede besluiten te komen. Het gaat hier om de mentaliteit van senior managers en de factoren die op het gedrag van senior managers van invloed zijn. De huidige discussie met betrekking tot de invloed van bonussen is in dit kader een goed voorbeeld maar het gaat om meer dan bonussen. Het gaat om de vraag of de cultuur van de onderneming, waarvan de bonuscultuur slechts een onderdeel is, verantwoorde (compliance-)risicobeheersing cultiveert of juist belemmert. Bijvoorbeeld, is de cultuur van de onderneming erop gericht om de juiste mensen in senior management posities te benoemen? Is de cultuur erop gericht om preventief het juiste denken in te bedden in de dagelijkse gang van zaken of is die erop gericht om repressief op te treden indien onjuiste afwegingen tot ernstige financiële of reputatieschade hebben geleid? Een goede compliance officer stelt zich daarom de vraag of de senior manager als persoon daadwerkelijk compliance tot zijn taak rekent en of de onderneming, te beginnen bij de Raad van Bestuur, daarvoor de juiste voorwaarden schept. De vraag is of de ‘culture of compliance’ daadwerkelijk gewaarborgd is. Een goed functionerende ‘first line of defence‘ heeft naar onze mening de compliance dimensie van het bankieren ingebed in de dagelijkse gang van zaken. Dit klinkt eenvoudig maar blijkt in de praktijk moeilijk te zijn en zal ook na de invoering van de hervormingen in de financiële industrie naar aanleiding van de crisis een uitdaging blijven. Voor compliance komt daar nog bij dat de hervormingen zullen bestaan uit verbeterd en indringender toezicht, nieuwe regelgeving en nieuwe gedragsregels om het herstel van vertrouwen te ondersteunen. Deze ontwikkeling vindt plaats in een tijd waarin financiële ondernemingen streven naar besparingen die ten koste kunnen gaan van de omvang en effectiviteit van ‘second line of defence’ onderdelen. Het is dus van belang dat de ‘first line of defence’ zijn rol goed oppakt omdat anders de risico’s zullen toenemen. Het is ook van belang dat de ‘second line‘ en ‘third line’ intensief samenwerken. Bij welhaast iedere activiteit moet een financiële onderneming zich de vraag stellen welke regels van toepassing zijn en welke beleids- of procedurele maatregelen nodig zijn om de compliancerisico’s te beheersen. Deze vraag moet primair door de business worden onderzocht en beantwoord in samenwerking met compliance en de
102 Jaarboek Compliance 2010
Three lines of defence
juridische dienst. De beheersmaatregelen moeten vervolgens zo ingericht worden dat de gesignaleerde risico’s adequaat worden afgedekt. Second line of defence Risk management en compliance zijn vervolgens verantwoordelijk voor de continue toetsing van het geformuleerde beleid en de getroffen beheersmaatregelen. Om dat te kunnen doen is het essentieel dat de risicofuncties samenwerken aangezien risico’s vaak met elkaar samenhangen en het van belang is dat de verbanden goed worden begrepen en transparant worden gepresenteerd. Deze rol ontslaat de risicofuncties overigens niet van de verplichting om proactief senior management te ondersteunen in de beheersing van de risico’s van de onderneming. Het functioneren van het ‘three lines of defence’ model mag niet leiden tot een afwachtende houding in de ‘second’ en ‘third line’ maar moet juist een prikkelend en dynamisch proces van verbetering aanmoedigen. Om een voorbeeld te geven: Bij effectendienstverlening geldt de regel dat de klant continue aan zijn financiële verplichtingen jegens de bank moet kunnen voldoen. Indien de klant daarin tekortschiet gelden vrij dwingende regels ten aanzien van de liquidatie van een effectenpositie. De kredietbewaking van de financiële onderneming moet dus zowel bij de inrichting van de kredietrisicobeheersmaatregelen als bij de uitvoering nauw samenwerken met compliance om de naleving van de in de wet- en regelgeving verankerde regels te waarborgen. Vaak is het ook verstandig om juridische zaken daarin te betrekken om te voorkomen dat de manier waarop een effectenpositie geliquideerd wordt leidt tot gerechtvaardigde claims van de klant. Een tweede voorbeeld is ontleend aan de anti money laundering praktijk. De hoofdregel in dit domein is dat de onderneming haar klant en diens activiteiten moet beoordelen om vast te stellen wat het risicoprofiel van de klant is en of dit aanvaardbaar is. Het gaat hierbij om het voorkomen van misbruik door klanten van het financiële systeem voor criminele of terroristische doeleinden. Soms moet de bank een stap verder gaan. Het gaat om de bescherming van de reputatie van de onderneming in het kader van een integere bedrijfsvoering. Een mogelijk signaal van een dergelijk risico wordt bijvoorbeeld gevormd door klanten die omvangrijke creditsaldi aanhouden zonder dat men weet waarom of wat de herkomst is. Bij deze situaties is het van belang dat compliance en interne controle afdelingen actief samenwerken om het risico in kaart te brengen en vaststellen of beleid en beheersmaatregelen dit risico ondervangen. Cliënten die debet staan worden door banken vaak in een juist risicoperspectief geplaatst. Bij cliënten die credit staan kan het lastiger zijn om de integriteitrisico’s helder en begrijpelijk te maken.
Jaarboek Compliance 2010 103
Ontwikkelingen compliancepraktijk
In recente beleidsuitspraken hebben toezichthouders hun verwachtingen geformuleerd over het optreden van de ‘second line of defence‘ functies. In het bijzonder is dat gebeurd in de discussie over bonussen en beheerst beloningsbeleid.113 Naast het feit dat de ‘second line of defence’ een specifieke taak heeft gekregen in het kader van een beheerst beloningsbeleid is de verwachting uitgesproken dat deze op zouden moeten treden als ‘counterveiling power’. Dit concept is ontleend aan de economische wetenschap en beschrijft het bereiken van evenwicht tussen de macht van groepen van economische actoren. Het gebruik van een dergelijk begrip is geen toeval en geeft uitdrukking aan de wens dat de ‘second line of defence’ bijdraagt aan evenwicht. Voor compliancefuncties in financiële ondernemingen betekent dit een additionele uitdaging en wellicht een ‘paradigm shift’ in de manier waarop tot op heden is gewerkt en gedacht. In ieder geval is het zo dat een goede compliance officer zich sterk betrokken moet voelen en zich de vraag moet stellen wat hij kan bijdragen aan deze veranderingen. Third line of defence De ‘third line of defence’ wordt ingenomen door de audit functie binnen financiële ondernemingen. Ze hebben tot taak het functioneren van de ‘first’ en ‘second line of defence’ te toetsen. Een belangrijke taak van de internal audit functie bestaat daarnaast uit het geven van onafhankelijke ‘assurance’ omtrent de werking van de beheerskaders en -functies van de onderneming aan zowel de Raad van Bestuur als de Raad van Commissarissen van de onderneming. De taken en verantwoordelijkheden van de internal audit functie in financiële ondernemingen zijn wettelijk verankerd in de Wft114 en worden daarin redelijk breed beschreven. Deze taken gaan verder dan alleen het beoordelen van de ‘second line of defence’. Traditioneel worden deze taken uitgevoerd in de vorm van auditonderzoeken die resulteren in rapporten al dan niet voorzien van een audit ‘rating’ waarin de mate van beheersing tot uitdrukking komt en samenvattende ‘management letters’ die een totaaloverzicht van de audit bevindingen geven. Wij vragen ons af of de traditionele benadering in de ‘third line of defence’ heroverweging rechtvaardigt. De toenemende complexiteit en de specialisatie van ‘second line of defence’ functies vereisen in de praktijk een continue dialoog tussen ‘second line’ en ‘third line’ en kennisoverdracht om het geven van ‘assurance’ mogelijk te maken. Maar het gaat verder. 113 Principes voor beheerst beloningsbeleid, AFM, DNB, mei 2009. 114 Art. 3.17 lid 4 Wft en Art. 3.17a Wft.
104 Jaarboek Compliance 2010
Three lines of defence
Ook hier geldt dat de onderneming gebaat is bij multidisciplinaire samenwerking tussen de ‘lines of defence’ om de complexiteit van het bankieren transparant en overzichtelijk te maken. De betrokkenheid van de auditfunctie bij de dagelijkse gang van zaken voegt in deze visie meer waarde toe dan een afstandelijke toetsende rol. In de praktijk zou dat bijvoorbeeld kunnen betekenen dat werkprogramma’s niet alleen worden uitgewisseld maar in overleg worden samengesteld. Het zou verder kunnen betekenen dat monitoring of onderzoekstaken gemeenschappelijk worden opgepakt en uitgevoerd. Het betekent tenslotte dat ‘second line’ en ‘third line’ elkaar a tempo informeren over relevante ontwikkelingen en regelmatig hun bevindingen over de ontwikkeling van de risico’s van de onderneming uitwisselen.
Randvoorwaarden Procesinrichting / Procesbeschrijvingen (Compliance) Risk Self Assessment Inleiding
Een (compliance) risk self assessment is een geschikte methode om afstemming tussen de verschillende ‘lines of defence’ mee te bewerkstelligen. Een (compliance) risk self assessment is niets anders dan een gestructureerd, periodiek gesprek tussen de compliance functie en senior management over de compliancerisico’s van de business. Hier vindt aldus afstemming plaats tussen functies uit verschillende ‘lines of defence’. Het verdient de aanbeveling de uitkomsten van het assessment vervolgens te delen met de overige functies binnen het model. De eerste stap is de risico’s zo volledig mogelijk in kaart te brengen, zonder rekening te houden met eventuele bestaande controlemaatregelen. Het is van belang dat dit proces ondersteund wordt door een robuuste methodologie die borg staat voor de kwaliteit van de resultaten. In beginsel zijn in ieder geval twee uitgangspunten denkbaar voor een dergelijke methodologie. Een rule based uitgangspunt waarbij men integraal uitgaat van het volledige bekende wet- en regelgevend kader en systematisch de regels naloopt, of een risk based uitgangspunt waarbij men keuze maakt voor relevante wet- en regelgeving, uitgaand van de mate waarin de onderneming bloot staat aan bepaalde compliancethema’s. Binnen deze twee uitgangspunten zijn meerdere varianten mogelijk. Naast de aard van het risico is het van belang om te weten wat de mogelijke impact is van het risico, wanneer het zich voordoet. De consequenties kunnen bijvoorbeeld financiële schade in geval van afboeking van een oninbare lening zijn of financiële schade als gevolg van een interne of externe fraude, maar ook een boete door de
Jaarboek Compliance 2010 105
Ontwikkelingen compliancepraktijk
Autoriteit Financiële Markten (AFM) of door een andere toezichthouder. Tevens kan er sprake zijn reputatieschade. De volgende stap behelst een debat over de waarschijnlijkheid dat het risico actueel wordt. Is de kans erg groot of is het juist een kleine kans? Dit vereist oordeelvorming en een zekere mate van ‘Fingerspitzengefühl’. Vervolgens wordt nagegaan welke entity level controls en overige interne beheersmaatregelen van toepassing zijn die leiden tot mitigering van de geconstateerde risico’s. Als resultante van de geïdentificeerde risico’s en de entity level controls en overige interne beheersmaatregelen wordt het restrisico bepaald. Voor een bepaling van dit restrisico zal moeten worden geschat wat de kans is dat dit risico zich voordoet en wat de gevolgen zullen zijn. Eventuele vervolgacties zijn niet alleen afhankelijk van de kans dat het risico actueel wordt en de gevolgen, maar ook van de risk appetite van betreffende onderneming. Feitelijk verschilt dit dus van onderneming tot onderneming. Het management bepaalt welke vervolgacties zullen worden geïnitieerd. Deze vervolgacties kunnen implementatie van aanvullende beheersmaatregelen inhouden. Ook kan op basis van dit (compliance) risk self assessment een proces worden gewijzigd of zelfs worden afgeschaft indien het management van mening is dat het restrisico onaanvaardbaar is. Eerlijkheid gebiedt te vermelden dat de meeste ondernemingen een ‘zero tolerance’ beleid hanteren voor overtredingen van wet- en regelgeving en dat de gekozen beheersmaatregelen een dergelijk beleid moeten reflecteren. Niettemin bestaat er in de praktijk een grote mate van beleidsvrijheid in de wijze waarop de risico’s worden beheerst. Dit wordt ook wel aanvaard door toezichthouders mits de getroffen maatregelen goed kunnen worden onderbouwd. Mindset
De ‘culture of compliance’ zal deel moeten uitmaken van de mindset van het management. Indien het management ervan uitgaat dat zij voldoende invulling geeft aan haar taken en verantwoordelijkheden, zolang zij niet gecorrigeerd wordt door de andere lines of defence, wordt wellicht teveel risico genomen. De effectiviteit van de risk assessments is ondermeer afhankelijk van de mindset van de deelnemers. Zijn de deelnemers bereid om serieus na te gaan welke risico’s zich kunnen voordoen, of zijn zij van mening dat (compliance) risk assessments overbodig zijn. Het risico bestaat dat de deelnemers de risk assessments ervaren als een noodzakelijk kwaad hetgeen niet zal leiden tot kwalitatief goede eindresultaten. ‘Professional
106 Jaarboek Compliance 2010
Three lines of defence
skepticism’ is een noodzakelijke vereiste voor het realiseren van het vereiste resultaat. Het uitgangspunt dat er toch al sprake is van een goede procesbeheersing zal een averechts effect op de einduitkomst hebben. In de eerste afbeelding wordt een situatie weergegeven die in de praktijk kan worden aangetroffen. Deze situatie kan zich voordoen in een commerciële omgeving waarin relatief veel winst wordt gemaakt. Hierbij bestaat het risico dat eventuele compliancerisico’s gebagatelliseerd worden, omdat het onderkennen van de risico’s consequenties voor het proces en dientengevolge voor de winst zou kunnen hebben. De tweede afbeelding geeft de gewenste situatie qua mindset weer.
Vereiste kennis
Diepgaande kennis van de verschillende risico’s is van groot belang. Dit kan worden bereikt door de specialisten vanuit onder andere de lijnfuncties, operational risk, juridische zaken, compliance en internal audit te laten participeren in de risk assessments. Een commerciële medewerker zal bijvoorbeeld niet standaard de juridische kennis hebben om de relevante juridische risico’s in te schatten. Medewerkers van de stafafdelingen zullen echter niet altijd alle kennis van de processen paraat hebben die noodzakelijk is voor een goed risk assessment. Volledigheid van risico’s
Bij financiële ondernemingen bestaat een grote diversiteit aan risico’s. Deze risico’s kunnen onder andere worden onderscheiden in bijvoorbeeld matching / renterisico, marktrisico, kredietrisico, verzekeringstechnisch risico, omgevingsrisico, operationeel risico, uitbestedingsrisico, IT risico, integriteitsrisico, juridisch risico. Deze risico’s zijn ontleend aan het handboek FIRM van de Nederlandsche Bank. Daarnaast zal een
Jaarboek Compliance 2010 107
Ontwikkelingen compliancepraktijk
afdeling compliance specifiek geïnteresseerd zijn in het compliancerisico en een risk afdeling ook geïnteresseerd zijn in het frauderisico. Door de grote diversiteit aan risico’s is het niet eenvoudig voor het management om bij de procesinrichting met alle risico’s rekening te houden. Daarnaast is er vaak sprake van risk silo’s; verschillende afdelingen houden zich bezig met verschillende risico’s. Door het ontbreken van een centraal aanspreekpunt bestaat het risico dat het management bij de procesinrichting één of enkele risico’s over het hoofd ziet. De complexiteit van de gebruikte systemen Banken hebben een grote diversiteit aan systemen in gebruik. Deels is dit ontstaan als ‘erfenis’ bij fusies en overnames en deels omdat systemen voor een specifiek product of bedrijfsproces zijn ontwikkeld. Om deze reden is het vaak ingewikkeld de juiste informatie uit de systemen te verkrijgen. Indien bijvoorbeeld het kredietrisico voor een cliënt moet worden berekend, zullen onder meer de volgende elementen in de berekening dienen te worden meegenomen: x Het totale obligo (standen van leningen, kredieten, margin verplichtingen) x Primaire zekerheid (overwaarde op hypotheek) x Secundaire zekerheid (bijvoorbeeld waarde van verpande voorraden) x Liquidatienormen in geval van een verliesrisico voor de bank Alhoewel het overzicht relatief simpel oogt, kan het ingewikkeld worden om dit overzicht samen te stellen indien de cliënt verschillende entiteiten heeft en deze entiteiten bij verschillende onderdelen van de financiële onderneming bankieren. Een goed inzicht in de in gebruik zijnde systemen is een vereiste voor het verkrijgen van de juiste informatie, die nodig is voor bijvoorbeeld management doeleinden. Kwaliteit van de managementinformatie In de voorgaande paragraaf is de complexiteit van de gebruikte systemen behandeld als belangrijke factor voor het verkrijgen van de juiste informatie. Indien niet de juiste informatie is verkregen, kunnen foutieve uitgangspunten of vooronderstellingen leiden tot onjuiste managementinformatie. Indien deze onjuiste informatie wordt gebruikt voor monitoring, zal de ‘second line of defence’ niet als verdedigingslinie werken. Feitelijk functioneert de ‘second line of defence’ in dat geval als een Turkish Airline piloot bij de Schiphol crash; volgens de meters gaat alles goed, maar toch stort het vliegtuig neer.
108 Jaarboek Compliance 2010
Three lines of defence
In het Enterprise Risk Management – Integrated Framework115 wordt de betrouwbaarheid van de rapportages als een specifieke doelstelling genoemd naast strategische en operationele doelstellingen en de compliancedoelstellingen. De kwaliteit van de managementinformatie is in dit framework derhalve een separate doelstelling. Hoewel het primair de verantwoordelijkheid van het management is om te bepalen welke managementinformatie zij wenst te ontvangen, kan de vraag worden gesteld wat de taken en verantwoordelijkheden zijn van de ‘second line of defence’ bij het gebruik van deze informatie voor monitoring. De ‘second line of defence’ zal zich er vóór gebruik van de informatie van moeten vergewissen dat de informatie op basis van de juiste inzichten en vooronderstellingen is opgesteld. In het huidige tijdsbeeld met bezuinigingen en budgettaire en tijdsdruk is het de vraag of hieraan altijd inhoud kan worden gegeven.
Conclusie Het concept van ‘three lines of defence’ is een gangbaar governance model. De effectiviteit van dit model hangt in belangrijke mate af van de invulling van de taken en verantwoordelijkheden. Bij een te rigide benadering bestaat het risico dat belangrijke risico’s of incidenten te laat worden opgemerkt, omdat de ‘first line of defence’ ervan uitgaat dat een voldoende beheersingskader wordt gegarandeerd door de goede werking van de andere lines of defence. Feitelijk zijn de verschillende lines of defence dan separate silo’s. Het management zal haar risico’s en de onderlinge verbanden kennen en beheersen als zij daartoe proactief het advies inwint van de functies in de tweede en derde ‘line of defence’ Alhoewel Risk management en compliance primair verantwoordelijk zijn voor toetsing en continue monitoring van het beleid, zullen zij zich ervan moeten vergewissen dat bij de risk assessments alle risico’s in kaart zijn gebracht, bij inrichting van de processen met deze risico’s rekening is gehouden en dat de managementinformatie is gebaseerd op de juiste uitgangspunten en vooronderstellingen. Ook de mindset is van belang voor de goede werking van de ‘three lines of defence’. De cultuur van compliance zal in de mindset van de ‘first line of defence’ aanwezig moeten zijn.
115 Committee of Sponsoring Organizations of the Treadway Commission (COSO), 2004.
Jaarboek Compliance 2010 109
Ontwikkelingen compliancepraktijk
Bij afwezigheid hiervan bestaat het risico dat de ‘first line of defence’ ervan uit gaat dat zij voldoende invulling geeft aan haar taken en verantwoordelijkheden, zolang zij niet gecorrigeerd wordt. In dit kader is ‘professional skepticism’ een belangrijke eigenschap die aanwezig moet zijn bij alle lines of defence. Zonder te willen tornen aan de verantwoordelijkheden in het model van de ‘three lines of defence’ zal intensiever moeten worden samengewerkt om te komen tot een goede risicobeheersing. Het inschakelen van de juiste kennis en ervaring is een must. In het huidige economische klimaat bestaat het risico dat budget of taken van de tweede of derde ‘line of defence’ worden ingeperkt, hetgeen tot verzwakking van de werking van het governance model kan leiden. Het zou een belangrijke stap zijn voor financiële ondernemingen om in hun governance statements aandacht te besteden aan de gewenste werking van het model door een aantal eenvoudige principes te verwoorden over de onderlinge rollen en verhoudingen bovenop de wettelijke taken die aan iedere functie zijn toebedeeld. Men zou bijvoorbeeld aan het volgende kunnen denken. x De missie van de ‘first line of defence’ is om haar risico’s en de onderlinge verbanden te kennen en te beheersen als intrinsiek onderdeel van haar commerciële activiteit. Zij wint daartoe proactief het advies in van de functies in de ‘second’ en ‘third line of defence’ x De missie van de ‘second’ en ‘third lines of defence’ bestaat in het creëren van maximale transparantie met betrekking tot ieders risicogebied om senior management (first line of defence) in staat te stellen beslissingen te nemen of maatregelen te treffen daar waar volgens de ‘second’ en’ third line of defence’ verbetering nodig is. Hiertoe behoort ondermeer het escaleren van vraagstukken en incidenten naar een passend niveau binnen de onderneming en het formuleren van een oordeel over de risico’s en hun beheersing. x De ‘second en third line of defence’ werken samen en stemmen hun werkprogramma’s op elkaar af met als doel senior management een holistisch beeld van de bedrijfsrisico’s te presenteren. Zij streven ernaar verbanden bloot te leggen en alle risico dimensies van een vraagstuk te belichten.
110 Jaarboek Compliance 2010
