Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1....

of 24 /24
Jaarboek Compliance 2010 71 Compliance Risico Management Praktische handreiking voor het in kaart brengen van compliancerisico’s en de rol van de compliance officer Drs. H.P. Zevenhuizen RA en L. Claassen RBA AA 95 1  Inleiding In het Jaarboek Compliance 2008 hebben wij een hoofdstuk gewijd aan een methode om risico’s ten aanzien van compliance te kunnen managen. Anno 2009 blijkt het managen van compliancerisico’s nog steeds geen sinecure en is de aandacht voor dit onderwerp nog altijd onverminderd. Opvallende zaken zowel binnen als buiten de financiële sector in de afgelopen jaren betroffen onder meer de misstanden in de vastgoedsector waarbij ook de pensioensector betrokken was, maar ook de hoge boetes voor het niet naleven van (voornamelijk internationale) sanctieregelgeving door zowel banken als het overige bedrijfsleven. Vele organisaties kunnen niet op een adequate wijze inzage geven in de verhoogde compliancerisico’s, met name als gevolg van opstapelende ontwikkelingen in de regelgeving en de organisatorische complexiteit waarbinnen deze risico’s in kaart gebracht dienen te worden. Onze ervaringen van de afgelopen jaren zijn dat organisaties moeite hebben met een gedegen opzet en verankering van Compliance Risico Management (hierna CRM). Veel discussies worden gevoerd over de governance van compliance. Te denken valt onder meer aan de afbakening van taken en verantwoordelijkheden tussen de business en de compliancefunctie, maar tegenwoordig ook met andere risk functies, zoals operational risk. Een veelgehoorde vraag van compliance officers betreft ‘wat is nou eigenlijk com- pliance monitoring?’ en ‘wie is daar verantwoordelijk voor?’. Een ander discussiepunt betreft bijvoorbeeld de steeds zwaarder lijkende te worden rapportage-inspanningen en rapportagedruk op ‘Local Compliance’ en op ‘Group Compliance’ niveau. De methode en het proces zoals wij twee jaar geleden hebben beschreven (voor het gemak hierna genoemd de ‘methode 2008’) heeft zich ontwikkeld met voortschrijden- 95 L. Claassen RBA AA is partner bij Deloitte Enterprise Risk Services. Drs. H.P. Zevenhuizen is senior manager bij Deloitte Enterprise Risk Services.

Embed Size (px)

Transcript of Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1....

Page 1: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

Jaarboek Compliance 2010 71

Compliance Risico ManagementPraktische handreiking voor het in kaart brengen van compliancerisico’s en de rol van de compliance officer

Drs. H.P. Zevenhuizen RA en L. Claassen RBA AA95

1  Inleiding

In het Jaarboek Compliance 2008 hebben wij een hoofdstuk gewijd aan een methode om risico’s ten aanzien van compliance te kunnen managen. Anno 2009 blijkt het managen van compliancerisico’s nog steeds geen sinecure en is de aandacht voor dit onderwerp nog altijd onverminderd. Opvallende zaken zowel binnen als buiten de financiële sector in de afgelopen jaren betroffen onder meer de misstanden in de vastgoedsector waarbij ook de pensioensector betrokken was, maar ook de hoge boetes voor het niet naleven van (voornamelijk internationale) sanctieregelgeving door zowel banken als het overige bedrijfsleven. Vele organisaties kunnen niet op een adequate wijze inzage geven in de verhoogde compliancerisico’s, met name als gevolg van opstapelende ontwikkelingen in de regelgeving en de organisatorische complexiteit waarbinnen deze risico’s in kaart gebracht dienen te worden.

Onze ervaringen van de afgelopen jaren zijn dat organisaties moeite hebben met een gedegen opzet en verankering van Compliance Risico Management (hierna CRM). Veel discussies worden gevoerd over de governance van compliance. Te denken valt onder meer aan de afbakening van taken en verantwoordelijkheden tussen de business en de compliancefunctie, maar tegenwoordig ook met andere risk functies, zoals operational risk. Een veelgehoorde vraag van compliance officers betreft ‘wat is nou eigenlijk com-pliance monitoring?’ en ‘wie is daar verantwoordelijk voor?’. Een ander discussiepunt betreft bijvoorbeeld de steeds zwaarder lijkende te worden rapportage-inspanningen en rapportagedruk op ‘Local Compliance’ en op ‘Group Compliance’ niveau.

De methode en het proces zoals wij twee jaar geleden hebben beschreven (voor het gemak hierna genoemd de ‘methode 2008’) heeft zich ontwikkeld met voortschrijden-

95 L. Claassen RBA AA is partner bij Deloitte Enterprise Risk Services.Drs. H.P. Zevenhuizen is senior manager bij Deloitte Enterprise Risk Services.

Page 2: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

72 Jaarboek Compliance 2010

Ontwikkelingen compliancepraktijk

de inzichten tijdens het toepassen en door veranderingen in organisaties, markten en regelgeving. Zo hebben wij ervaren dat discussies inzake een transparante, effectieve en efficiënte governance structuur er toe hebben geleid dat de compliancefunctie en (operational) risk functie meer naar elkaar zijn toegegroeid en bijvoorbeeld gebruik maken van een uniforme methodologie en ondersteunende tooling. Enterprise Risk Management (hierna ERM) denken en handelen heeft in onze waarnemingen meer aandacht gekregen.

Ten opzichte van de ‘methode 2008’ is, naast het hierboven vermelde ERM denken, het aantal stappen in het proces toegenomen. Tevens wordt de huidige methode breder getrokken door, gaande het proces, meer (expliciet) rekening te houden met attentiepunten in de organisatie.

Hierbij gaat het niet alleen om het behalen van voordeel om zaken doelmatiger aan te pakken, zoals integratie met projecten als ‘In Control Statement’ of ‘SAS70’96, maar vooral ook om de zaken doeltreffender te stellen: ‘doen we de juiste dingen en doen we de dingen juist’.

Waar wij in de ‘methode 2008’ nog stil stonden bij de definitie van compliance erva-ren wij dat dit uitgangspunt door instellingen inmiddels geen onderwerp van discus-sie meer is. Zowel financiële als niet financiële instellingen zoeken hiertoe aansluiting bij nationale en internationale definities en voeren hier geringe organisatie specifieke modificaties op.

In dit artikel beschrijven wij een methode voor CRM die past in het licht van de bovenstaande ontwikkelingen. Wij starten hierbij met een aantal relevante gover-nance aspecten ten aanzien van risico management en CRM en het onderkennen van verschillende levels van volwassenheid van een CRM organisatie, en beschrijven hoe dit kan worden meegenomen in de CRM methode. Vervolgens gaan wij in op de oriëntatie en organisatie van compliance en leggen daarmee de brug naar het proces van CRM en de verschillende elementen daarbinnen. Op onderdelen zijn de ontwik-kelingen ten opzichte van de ‘methode 2008’ gemotiveerd. Ter illustratie hebben wij enkele observaties uit de praktijk toegelicht. Het dient vermelding dat de hierna beschreven methode vrij generiek is ingestoken en toepasbaar is bij verschillende typen organisaties. Voor organisaties met een volwassen CRM organisatie biedt de beschreven methode de mogelijkheid de eigen methode te valideren. Voor organi-saties die op dit vlak nog in de steigers staan biedt de methode mogelijk handvaten voor verdere ontwikkeling.

96 SAS70 staat voor Statement on Auditing Standards No. 70 van de Amerikaanse accountantsorganisatie AICPA. Na omnummering van de Amerikaanse standaarden staat SAS70 momenteel bekend als AU Section 324: Service Organizations.

Page 3: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

Jaarboek Compliance 2010 73

Compliance Risico Management

2  Governance

Het managen van risico’s begint altijd met de vragen als ‘waarom?’ en ‘wat levert het op?’. Externe en interne drivers brengen verschillende invalshoeken met zich mee voor het opzetten en verankeren van CRM en geven in feite antwoord op het ‘waarom’. Een veelgehoord geluid is dat aan (compliance-) risicomanagement wordt gedaan omdat het nu eenmaal in de wet staat en de toezichthouder op naleving toeziet.97 Dit dient overigens niet te worden misstaan; de wetgever streeft namelijk een betrouwbare en integere bedrijfsvoering en functioneren van de gehele sector na. Er zijn echter ook andere argumenten om CRM op te zetten, ingestoken meer vanuit een ‘business’ perspectief. Denk bijvoorbeeld aan het effectief managen van risico’s in het licht van het behalen van strategische en operationele doelen. Het gaat hierbij om waardecreatie en waardebescherming. Zo hebben beursgenoteerde on-dernemingen rekening te houden met de Code Tabaksblat en de aanbevelingen van de Commissie Frijns. De Commissie Frijns verlangt onder meer dat risicomanagement integraal onderdeel uit maakt van de strategie.

In de onderstaande figuur hebben wij een aantal externe en interne drivers zichtbaar gemaakt die door financiële ondernemingen worden onderkend bij het opzetten, verankeren en/of verbeteren van de CRM organisatie.

Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management

97 Zo staat bijvoorbeeld in het Besluit Prudentiële regels Wft onder meer vermeld dat de financiële onderneming beleid voert met betrekking tot het beheersen van risico’s, beschikt over een onafhankelijke risicobeheerfunctie die risico’s identificeert, meet en evalueert. Zie art. 10-16 en 23-26 Bpr.

Page 4: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

74 Jaarboek Compliance 2010

Ontwikkelingen compliancepraktijk

Onze visie is dat een organisatie op intelligente wijze risico’s dient te managen (in casu: nemen, beheersen, overdragen en/of beëindigen) waarbij de focus ligt op het in staat stellen van de organisatie om beter te kunnen presteren, de zogenoemde ‘Risk Intelligent’ organisatie genoemd.Dit verlangt een aanpak die periodiek en op evenwichtige en consistente wijze re-sulteert in informatie die het eindverantwoordelijk management beter in staat stelt besluiten te nemen, rekening houdend met de maximale ‘risk exposure’ voor de or-ganisatie. Risico management ondersteunt derhalve het managen van risico’s en het besturen van de organisatie gericht op het creëren van waarde voor de organisatie en het beschermen daarvan.

Het bovenstaande betekent dat de organisatie wordt ingericht op basis van strate-gische keuzes en rekening houdend met onderkende risico’s, in tegenstelling tot de meer traditionele benadering die uit gaat van regelgeving. Een compliant organisatie kan hierdoor worden beschouwd als de resultante van het inrichten van de organi-satie die uit gaat van een effectieve en efficiënte uitvoering op basis van gemaakte strategische keuzes en het betrachten van transparantie daarover, in plaats van dat het als vertrekpunt voor de inrichting van de organisatie fungeert.

Figuur 2: CRM waardemodel

Voor het bepalen van de wijze waarop (zoals ‘omvang’ en ‘diepgang’) en de periode waarin CRM wordt opgezet en wordt verankerd in de organisatie, is het relevant aansluiting te zoeken bij de huidige volwassenheid van risico management binnen de organisatie alsook de mate van waardecreatie en bescherming daarvan. Voor het bepalen van de mate van volwassenheid kunnen verschillende levels worden onder-kend, die in figuur 3 zijn weergegeven. Het onderscheid tussen deze levels is indica-tief en bedoeld voor een zelfreflectie ten behoeve van het ontwikkelen van de visie op risico management en de keuzes die daaruit voortvloeien.

Page 5: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

Jaarboek Compliance 2010 75

Compliance Risico Management

Figuur 3: CRM maturitymodel

In de praktijk verschilt de volwassenheid van risico management binnen organisaties en bevinden organisaties zich veelal tussen twee levels van volwassenheid in. Zo zien wij dat de risico management organisatie van grote (volwassen) organisaties zich bijvoorbeeld kan kenmerken door enerzijds ‘geïntegreerde besluitvorming’ terwijl er tevens sprake is van ‘verkokering van verschillende risicofuncties’. Deze organisaties blijken in staat bij de besluitvorming actief de uitkomsten van risico management te betrekken, ondanks dat de effectiviteit (ruis in methode, techniek en risicotaal) en de efficiency (overlap in taken) van de verkokerde risicofuncties kan worden verbeterd. Ook doet de situatie zich voor waarbij organisaties het proces van het beoordelen van compliancerisico’s goed hebben geregeld (opzet), maar dat de implementatie en verankering nog niet zover is (bestaan en werking).

Ook bij middelgrote- en kleinere organisaties wordt bij de besluitvorming rekening gehouden met compliancerisico’s. Hierbij is echter niet altijd duidelijk of de onder-kende risico’s ook daadwerkelijk (zichtbaar) zijn onderbouwd door de business, in de context van dit artikel, en getoetst door de compliance officer. Het komt bij deze organisaties voor dat het eindverantwoordelijk management risico management nog te veel zelf toepast zonder adequate documentatie en uniforme methodiek.

Oriëntatie van CRM

Voor het managen van compliancerisico’s bestaan verschillende invalshoeken. Zo kan CRM gebaseerd zijn op:

Page 6: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

76 Jaarboek Compliance 2010

Ontwikkelingen compliancepraktijk

x Wet- en regelgeving, bijvoorbeeld vanuit de bepalingen inzake voorkomen van belangenverstrengeling;

x Proces- activiteit, bijvoorbeeld vanuit het proces polisbeheer of human resources;x Beheersmaatregelen, bijvoorbeeld vanuit bepaalde autorisatiebevoegdheden;x Risico gebaseerd, bijvoorbeeld vanuit de kans en impact op het zich openbaren

van een risico;x Uitkomsten business conduct, bijvoorbeeld vanuit aantallen/omvang producten,

provisie, klachten en incidenten.

Hierover heen kan een schil worden gelegd die uit gaat van een thematische invals-hoek. Een dergelijke invalshoek wordt in de praktijk veelal bepaald op basis van de activiteiten die de organisatie verricht of de actualiteit, bijvoorbeeld een specifieke aanpassing van de wet, of sectorspecifieke aangelegenheden. Denk bij dit laatste bijvoorbeeld aan de thema’s als de beheerste bedrijfsvoering, Solvency II en gover-nance, uitbesteding en pensioenuitvoeringsorganisaties.98 Een thema uit hoofde van actualiteit wordt in sommige gevallen ook wel aangeduid als een ‘issue driven’ in-valshoek. In een bepaalde sector is iets misgegaan, zodat het verscherpt toezicht en/of regelgeving krijgt. Een voorbeeld hiervan is het onderzoek door De Nederlandsche Bank NV (DNB) naar beleggingen in vastgoed bij pensioenfondsen.

Het is bekend dat toezichthouder DNB haar toezicht primair insteekt vanuit een versterkte risico-oriëntatie, gericht op het vergroten van de effectiviteit van het toe-zicht.99 Zoals hierboven aangegeven hanteert DNB daarnaast ook een ‘issue driven’ invalshoek. Bij de uitvoering van het toezicht maakt DNB gebruik van ‘FIRM’ (Finan-ciële Instellingen Risicoanalyse Methode). In de praktijk is waarneembaar dat veel financiële instellingen bij de eigen risicomanagement organisatie gebruik maken van ‘FIRM’. Onze ervaring is dat er niet één juiste invalshoek bestaat en dat een CRM aanpak met name krachtig kan zijn door het toepassen van een meerdimensionale invalshoek. Afhankelijk van de uitkomsten van de uiteindelijke risico inschattingen zullen invalshoeken kunnen veranderen dan wel met een zekere periodiciteit terug-komen (zie ook hoofdstuk 3).

Organisatie en integratie van CRM

Naar de opvatting van het COSO ERM model heeft iedereen binnen een onderneming een bepaalde verantwoordelijkheid als het gaat om risico management en daarmee het voldoen aan wet- en regelgeving. Het COSO ERM model zegt hierover het vol-gende: ‘De algemeen directeur is eindverantwoordelijk en moet eigenaarschap op zich

98 Brochure ‘Thema’s toezicht DNB 2009’, publicatiedatum 2 maart 2009. Bron: www.dnb.nl/nieuws-en-publicaties/brochures.99 Visie DNB toezicht 2006-2010, pagina ‘i’.

Page 7: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

Jaarboek Compliance 2010 77

Compliance Risico Management

nemen. Andere managers moeten de filosofie van het ondernemingsrisicomanagement steunen, de naleving en risico acceptatiegraad promoten en risico’s beheersen binnen de eigen verantwoordelijkheidsgebieden, hierbij rekening houdend met de risicotolerantie. Een risicoverantwoordelijke, financieel verantwoordelijke, interne accountant en ande-ren zijn veelal verantwoordelijk voor ondersteuning. Ander bedrijfspersoneel is verant-woordelijk voor de uitvoering van ondernemingsrisicomanagement in overeenstemming met gevestigde instructies en protocollen. Het bestuur houdt toezicht op risicomanage-ment en is zich daarbij bewust en geeft invulling aan de risico acceptatiegraad’.100

Hieruit kan worden afgeleid dat de primaire verantwoordelijkheid voor CRM ligt bij de ‘first line of defense’ (hierna de 1e lijn), de business zelf, te weten het bestuur, directie, lijnmanagement en in feite iedere medewerker binnen de lijnorganisatie. Het bestuur draagt evenwel de eindverantwoordelijkheid. De compliancefunctie, als onderdeel van de ‘second line of defense’ (hierna de 2e lijn) fungeert, in aanvulling op de eigen verantwoordelijkheid van de business, ter ondersteuning van directie en bestuur dat zoals eerder aangegeven de eindverantwoordelijkheid draagt.

In de praktijk is de grens tussen de 1e en 2e lijn een veelgehoord onderwerp van discussie. De doorvertaling van dit onderscheid is afhankelijk van een aantal factoren waaronder cultuur, omvang en organisatorische kenmerken. Geregeld zien wij dat de compliancefunctie lijnverantwoordelijkheid krijgt toegeschoven, onder meer bij activiteiten als cliëntacceptatie en transactie ‘screening’. Dit is niet ondenkbaar aan-gezien deze activiteiten dicht tegen de compliancefunctie aan liggen. De facto tast dit echter wel de eigenlijke taak en de onafhankelijkheid van de compliancefunctie aan, te weten monitoring van de compliancewerkzaamheden en besluitvorming door de 1e lijn en advisering (managementondersteuning). Minder problematisch zijn taken in het kader van de communicatie van meldingen uit hoofde van ongebruikelijke trans-acties die bij de compliancefunctie zijn ondergebracht. Het betreft hier met name uit-voerende en coördinerende taken zonder directe betrokkenheid bij besluitvorming.

Met betrekking tot de organisatie van de compliancefunctie binnen is waarneembaar dat deze meer tendeert naar samenwerking met andere risk functies, specifiek met de (operational) risk management functie. Het betreft hier samenwerking op het gebied van het bepalen van een gemeenschappelijke visie, methodiek, uitvoering en tooling. De compliancefunctie zou ten aanzien van CRM niet zomaar zijn eigen gang meer moeten kunnen gaan en voor een geheel eigen visie, methodiek en tooling kiezen. Het risico bestaat hierbij immers dat uiteenlopende methodieken leiden tot onvrede in de business over bijvoorbeeld implementatiesupport en toetsmomenten. Daar-naast bestaat het risico dat ook het management onvrede heeft over de verschillende rapportagestructuren.

100 Bron: http://www.coso.org/documents/COSO_ERM_ExecSummary_Dutch-rev-juni06.pdf, p.13.

Page 8: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

78 Jaarboek Compliance 2010

Ontwikkelingen compliancepraktijk

3  CRM als iteratief proces

Dat het managen van compliancerisico’s geen eenmalige activiteit meer is behoeft geen nadere uitleg. Tegenwoordig wordt CRM frequent toegepast en staat CRM als iteratief proces op de planning van compliance officers. In de context van een brede risicobenadering is het relevant de timing, werkwijze, diepgang, rapportage en ver-wachtingen af te stemmen met de afdeling Juridische Zaken (hierna ‘JZ’), andere risk functies en ook Internal Audit (de 3e lijn). In de jaarplanning van deze functies dient met elkaars werkzaamheden en timing rekening te worden gehouden. In de business wordt het namelijk onprettig ervaren als afzonderlijke compliance- en risk functies, maar ook Internal Audit of zelfs External Audit, op verschillende momenten in het jaar vergelijkbare vragen stellen en onderzoek verrichten naar dezelfde of vergelijk-bare aspecten. Niet alleen ziet de business zich hierdoor geconfronteerd met het feit dat veel van hun tijd in beslag wordt genomen door de 2e en 3e lijn functies. Bezien vanuit een efficiënte en effectieve inzet van 2e en 3e lijns mensen en middelen is hier bovendien veel winst te boeken.

Bij het proces van CRM hebben wij reeds benadrukt dat de compliance officer dit niet meer op eigen gelegenheid zou moeten opzetten, maar bewust de samenwerking met andere functies in de 2e lijn en 3e lijn opzoekt.

Aanknopings- en attentiepunten

Naast het aspect van samenwerking geniet het de voorkeur dat de compliance officer een relatie legt met de relevante ‘aanknopingspunten’ en ‘attentiepunten’ in de or-ganisatie.

Onder aanknopingspunten verstaan wij die aspecten waarbij aansluiting gezocht moet worden en waarbij de betreffende aspecten elkaar ondersteunen en verster-ken. Indien de aanknopingspunten niet gebruikt worden zal sprake kunnen zijn van suboptimalisatie in het CRM proces, maar het verbeteren van de interne beheersing en risico management kan gewoon doorgaan. In feite mist de compliance officer hier een kans. Het gaat hier bijvoorbeeld om de relatie tussen CRM met interne pro-jecten- en programma’s. Denk aan een In Control Statement project, kwaliteitsma-nagement en/of procesmanagement initiatieven. Maar ook aan de aansluiting op de reguliere planning & control cyclus (waaronder risicomanagement) en rapportage- en afstemmomenten met toezichthouders.

Onder attentiepunten verstaan wij die aspecten die worden geraakt en beïnvloed door het CRM proces (dat bij eerste uitvoering kan worden gezien als een verander-traject). Indien deze niet adequaat worden geadresseerd en opgepakt, zal dit een nadelige invloed op het traject hebben. In feite vormt dit een afbreukrisico voor het

Page 9: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

Jaarboek Compliance 2010 79

Compliance Risico Management

slagen van de verbetering. Voorbeelden hiervan betreffen een beperkte awareness ten aanzien van integriteit, grote veranderingen in de organisatiestructuur of ondui-delijkheden in rollen en verantwoordelijkheden met betrekking tot interne beheer-sing.

De compliance officer die met beide aspecten rekening houdt in het CRM proces geeft blijk van een brede en effectieve aanpak passend binnen het CRM waarde-model.

CRM, het proces

Het proces en de methode van CRM bestaat uit verschillende onderdelen. In het navolgende deel zijn deze onderdelen kort toegelicht en wordt waar nodig de verge-lijking gemaakt met de ontwikkelingen ten opzichte van de methode 2008.

Figuur 4: Huidige CRM methode vs. CRM methode 2008

De huidige CRM methode is ten opzichte van de methode 2008 in de basis niet gewijzigd. Het beoogt hetzelfde doel maar wel met de gedachtegang de integratie met andere risk functies te bevorderen. Bestond de methode 2008 nog uit een vijftal stappen: de tegenwoordig toegepaste CRM methode bestaat uit in totaal 6 afzonder-lijk zichtbare onderdelen en een 7e onderdeel ‘documenting en reporting’ dat zich tijdens het gehele proces voor doet. De toevoeging van onderdeel 3 richt zich op de koppeling van risicogebieden c.q. risico’s aan business processen/activiteiten (figuur 4, stap 3). Een activiteit die binnen CRM overigens al wel werd toegepast, maar door deze koppeling expliciet te maken wordt inzicht verkregen in welke processen/activiteiten bloot staan aan de eerder onderkende compliancerisico’s. Daarnaast is

Page 10: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

80 Jaarboek Compliance 2010

Ontwikkelingen compliancepraktijk

het onderscheid tussen het toetsen van de effectiviteit van de interne beheersing en compliance monitoring verder uitgewerkt.

4   CRM methode, onderdeel 1: ‘Strategy and compliance landscape’

Een logisch onderdeel van CRM is het in kaart brengen van de relevante wet- en regelgeving en de interne regels die hiervan zijn afgeleid (voor het gemak hierna aangeduid als ‘regelgeving’). Welke regelgeving toepasselijk is hangt af van de doel-stellingen en strategie, de te voeren producten, de te leveren diensten en het type klanten. Inzicht in strategische keuzes, de doorvertaling naar bedrijfsvoering en het toepasselijk regelgevend kader is voor de compliance officer essentieel.

Omdat regelgeving veelal niet is vastgelegd op een wijze die eenvoudig aansluit bij de organisatie, is het gebruik van aandachtsgebieden, ook wel thema’s, inmiddels gemeengoed. Met behulp van thema’s is het mogelijk regelgeving en risicogebieden te categoriseren naar bijvoorbeeld de voor de organisatie relevante processen (zie ook hierna onder onderdeel 3 ‘mapping’). Op deze wijze wordt namelijk zichtbaar binnen welk onderdeel van de organisatie regelgeving van toepassing is en onder wiens verantwoordelijkheid dit valt. Dit maakt de naleving van regelgeving beter beheersbaar en bestuurbaar.

Ter illustratie is het vertrekpunt voor financiële instellingen doorgaans de regelgeving die behoort bij de vergunning verstrekt door toezichthouders zoals AFM en DNB. Voor niet financiële instellingen kunnen dit andere toezichthouders zijn. Denk hierbij aan de Energiekamer (onderdeel van de Nma), die is belast met de uitvoering van de Elektriciteitswet 1998 en de Gaswet inclusief het toezicht op de naleving van deze wetten. Een ander voorbeeld is de OPTA, die in de telecommunicatiesector ter be-vordering van de concurrentie en consumentenbescherming, toezicht houdt op de naleving van onder meer de Telecommunicatiewet. Al deze toezichthouders hebben op hoofdlijnen gemeen dat zij het belang van zowel de klant (zorgplicht, consumen-tenbescherming), de medewerkers binnen de organisatie als het functioneren van de organisatie in de sector trachten te beschermen. Hierbij staat het begrip integriteit centraal dat als invalshoek kan worden gebruikt om te kijken naar compliant ge-drag.101

101 In de toelichting bij de Wet actualisering en harmonisatie financiële toezichtswetten worden vier typen integriteit onderkend, namelijk: 1. Persoonlijke integriteit, 2. Organisatorische integriteit, 3. Relationele integriteit en 4. Marktintegriteit. Stb. 2003, 55.

Page 11: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

Jaarboek Compliance 2010 81

Compliance Risico Management

Figuur 5: Overzicht relevante thema’s gekoppeld aan een invalshoek van integriteit

Binnen het CRM proces wordt deze stap doorgaans niet als de meeste complexe ervaren. Dit betekent niet dat de uitvoering van deze stap altijd vlekkeloos verloopt. Voorbeelden van aandachtspunten zijn:x Wie doet wat?x Hoe stel je de volledigheid vast, mede in het licht van de strategische doelen?

Deze vragen zijn sterk afhankelijk van de omvang van de organisatie, de organisatie van de risk en compliancefuncties en de mate waarin juridische expertise aanwezig is. Om direct een brug te slaan naar de praktijk zien wij bij financiële conglomeraten dat de 1e lijn zelf de eerste hand legt aan het opstellen van een register van relevante regelgeving, om die vervolgens in samenspraak met de ‘lokale’ compliance officer (d.w.z. de compliance officer binnen een onderdeel of ‘business unit’ van de orga-nisatie) en/of jurist te valideren op volledigheid en juiste afbakening. Van belang is dat het lijnmanagement hieraan goedkeuring verleent voordat het op compliance groepsniveau wordt beoordeeld en ingepast in het totale compliance ‘landscape’. Deze ‘bottom-up’ benadering kan worden afgezet tegen cq. samengevoegd met een top-down analyse (op hoofdlijnen) vanuit Compliance en JZ op groepsniveau.

Bij middelgrote instellingen zijn verschillende situaties waarneembaar waarbij bij-voorbeeld JZ zorg draagt voor een (zo volledig mogelijk) register van relevante regel-geving, dat vervolgens door de business (1e lijn), compliance en operational risk (2e lijn) wordt gevalideerd en door hen wordt gekoppeld aan de onderkende processen/activiteiten. In organisaties zonder interne juridische functies, bijvoorbeeld kleine pensioenfondsen, verschuift deze activiteit meer naar de compliance officer of de business zelf al dan niet in samenwerking met de externe uitvoeringsorganisaties. In dit verband is het ook van belang inzichtelijk te maken wat niet thuis hoort bij compliance.

Page 12: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

82 Jaarboek Compliance 2010

Ontwikkelingen compliancepraktijk

De kracht van een zo volledig mogelijk register van relevante regelgeving in dit ka-der is dat zowel de 1e lijn als de 2e lijn hierbij betrokken zijn. Een belangrijk aspect hierbij is vervolgens dat het bestuur en/of de directie en lijnmanagement het register goedkeurt, zodat het draagvlak vanuit de top zichtbaar is. Bij een ‘on going’ situatie zal het register periodiek worden aangepast en de wijzigingen worden gevalideerd.

Indien de organisatie er naar streeft dat deze stap zoveel mogelijk in de business zelf plaatsvindt, zal dit er op termijn toe leiden dat de compliancefunctie meer een advies en monitoringfunctie vervult.

Actie compliance officer Resultaat 

x Betrokkenheid bij strategische risico-

analyse.

x Identificatie relevante regelgeving en

hoofdindeling thema’s in samenspraak

met JZ en de business (1e Iijn).

x Duidelijke afbakening wat binnen en

buiten het toepassingsgebied van de

compliance functie valt.

x Overzicht van strategische keuzes en

doelen alsmede producten, diensten,

type klanten en afzetkanalen.

x Overzicht van relevante regelgeving.

x Overzicht met hoofd thema’s op basis

waarvan regelgeving kan worden

gecategoriseerd.

5   CRM methode, onderdeel 2: ‘Identify risk areas, key requirements and risk appetite’

Met de resultaten uit de voorgaande stap worden risicogebieden en risico’s in kaart gebracht. Relevante aspecten in dit onderdeel zijn:x een uniforme ‘risicotaal’;x de risico attitude van het eindverantwoordelijk management; enx een risicoregister.

De ‘risicotaal’ omvat de relevante uitgangspunten waarmee risico’s kunnen worden gekwalificeerd en/of gekwantificeerd. Denk hierbij aan het bepalen van de ‘impact’ en ‘likehood’ per risico en de verschillende gradaties daarbij in kwantitatieve zin (bijvoorbeeld uitgedrukt in €), of in kwalitatieve zin (bijvoorbeeld uitgedrukt in laag, midden,hoog).102 Daarnaast wordt hier tevens de wijze onder verstaan waarop risi-co’s worden gecategoriseerd naar thema’s en gedocumenteerd. Zoals eerder vermeld is het essentieel de risicotaal tezamen met andere risk functies af te stemmen.

102 Zie voor een voorbeeld ook het artikel ‘Compliance Risico Management’ uit het Jaarboek Compliance 2008.

Page 13: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

Jaarboek Compliance 2010 83

Compliance Risico Management

De identificatie van risico’s wordt doorgaans op twee verschillende niveaus in kaart gebracht, te weten op het niveau van het bestuur en het niveau van de business. Dit onderscheid is relevant omdat de attitude van het verantwoordelijk lijnmanagement ten aanzien van het risicomanagement niet altijd gelijk hoeft te zijn aan de attitude en het risicomanagement voor de organisatie in haar geheel. Discrepanties hiertus-sen zouden kunnen betekenen dat het bestuur bijvoorbeeld andere prioriteiten stelt ten aanzien van het managen van compliancerisico’s dan dat daarop in de business wordt geanticipeerd. Van belang is dat de business anticipeert op de strategie van het bestuur dan wel haar doelstellingen in lijn brengt met de strategische doelen van de organisatie.

Deze benadering dwingt het bestuur om vooraf de niet-/acceptabele risicotoleranties concreet kenbaar te maken, hierbij niet gehinderd door – en dus onafhankelijk van – de inschattingen die de business zelf maakt. De inschatting door het eindverantwoor-delijk bestuur kent veelal een hoger aggregatieniveau dan de wijze waarop risico’s in de business in kaart worden gebracht en gevalideerd.

In de praktijk kan het effectief zijn dat de compliance officer, bij voorkeur gezamenlijk met iemand van de afdeling operational risk, één of enkele interviews houdt met het eindverantwoordelijk bestuur en/of met lijnmanagement om beter inzicht te krijgen in de risicogebieden en concrete risico’s in de business, alvorens deze bij het facili-teren van de risk assessment (CRM methode, onderdeel 4) met een breder publiek (bijvoorbeeld meerdere medewerkers uit de 1e lijn) te valideren en waar nodig aan te passen. Bij kleine(re) organisaties kan het efficiënter zijn dat de compliance officer zelf op basis van kennis en ervaring een overzicht van risicogebieden en risicoregister voorbereid alvorens deze met de business te valideren.

Actie compliance officer Resultaat 

x Bepalen risicotaal en risicogebieden in

samenwerking met risk functie.

x Vertalen van onderkende regelgeving

naar risicogebieden in samenwerking

met risk functie en JZ.

x Afstemmen met de business ter validatie

en herkenbaarheid.

x In kaart brengen risk appetite met

bestuur.

x Uniforme risicotaal.

x Overzicht met de risk appetite van het

eindverantwoordelijk management.

x Gedetailleerd risicoregister.

Page 14: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

84 Jaarboek Compliance 2010

Ontwikkelingen compliancepraktijk

6   CRM methode, onderdeel 3: ‘Map risk areas to business processes’

In paragraaf 4 staat vermeld dat het voor het sturen op- en beheersen van complian-cerisico’s relevant is deze te koppelen aan de bedrijfsprocessen binnen de organisatie. De compliance officer legt deze koppeling en maakt hierbij gebruik van zijn kennis en ervaring, de resultaten uit eventuele interviews. Hij werkt bij voorkeur samen met andere risk functies en de business. Het is van groot belang dat lijnmanagers goed-keuring geven aan het uit deze stap verkregen overzicht. Voor de business vormt dit namelijk een belangrijk uitgangspunt voor het inschatten van de onderkende risico’s, de bijbehorende beheersmaatregelen en is dit daarmee bepalend voor de uitvoering van interne controles in de business. In de praktijk wordt deze stap veelal nagenoeg gelijktijdig toegepast met de voorgaande stap (2).

Het resultaat is dat inzichtelijk wordt welke risico’s zich waar binnen de organisa-tie en processen voordoen. De in paragraaf 4 genoemde indeling maakt het vervol-gens mogelijk in te zoomen op thema’s en/of compliancerisico’s vanuit een bepaalde invalshoek te analyseren, wederom gekoppeld aan de processen. Deze indeling is met name effectief wanneer inzicht is verkregen in het niveau van de risico’s vóór en nà interne beheersing en levert daarmee meerdimensionale managementinformatie op.

Actie compliance officer Resultaat 

x Koppelen risico’s aan bedrijfsprocessen

en/of activiteiten in samenwerking met

de business en andere risk functies.

x De compliance officer laat het verkregen

overzicht expliciet goedkeuren door het

management uit de 1e lijn.

x Gedetailleerd risicoregister gekoppeld

aan bedrijfsprocessen en/of activiteiten

van de organisatie.

7  CRM methode, onderdeel 4: ‘Assess risks & risk response’

Het inschatten van compliancerisico’s en het in kaart brengen van de risico response kan op verschillende wijze plaatsvinden. Een veel toegepaste methode is een risico assessment waarin verschillende vertegenwoordigers binnen een bepaald aandachts-gebied (proces, afdeling of business line) met elkaar in discussie gaan over de kans en impact van compliancerisico’s alsmede de maatregelen om deze risico’s te beheersen. Risico assessments binnen de 1e lijn worden, zoals eerder gesteld, op verschillende niveaus uitgevoerd: namelijk met het bestuur, het lijnmanagement en met de me-dewerkers. Doordat de compliance officer veelal betrokkenheid heeft bij het proces

Page 15: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

Jaarboek Compliance 2010 85

Compliance Risico Management

(organisatie en uitvoering) van CRM en geen primaire inhoudelijke verantwoordelijk-heid heeft ten aanzien van de daadwerkelijke beheersing van compliancerisico’s, ver-vult de compliance officer geen actieve rol in het maken van inschattingen. Dit neemt natuurlijk niet weg dat de compliance officer tijdens een risico assessment zijn kennis en ervaring dient in te brengen om de uitkomsten te challengen en de discussie op gang te houden. De 3e lijn (Internal Audit) valt hier in beginsel buiten vanwege de onafhankelijke toetsende rol die zij achteraf vervult.

Een relevant uitgangspunt bij risico assessments is het zo goed mogelijk waarborgen van de objectiviteit van de risicoweging. Deze wordt onder meer beïnvloed door de perceptie van managers en overige medewerkers ten aanzien van risico’s op basis van verkregen kennis en ervaring resulterende in wat wel ‘professional judgement’ ge-noemd wordt. Natuurlijk spelen ook objectieve indicatoren een rol, denk aan de uit-komsten van testwerkzaamheden of de output op basis van bijvoorbeeld incidenten. Ook de dynamiek tijdens een risico assessment kan in onze ervaring van invloed zijn op de uitkomsten. Hoewel enigszins gechargeerd is een goed voorbeeld dat van een gedreven extroverte sales manager die het risico ten aanzien van een ten onrechte toekennen van een te hoog risicoprofiel van een cliëntenportefeuille laag inschat, versus een introverte back-office medewerker die hetzelfde risico als hoog inschat. In de praktijk kan een dergelijke dynamiek nog wel eens doorslaan ten faveure van de sales manager zonder dat een gedegen afweging tot stand wordt gebracht. Van belang hierbij is dat discussies goed worden gefaciliteerd, bijvoorbeeld doordat de compliance officer verschillende participanten aan het woord laat.Het faciliteren van een risico assessment betekent voor de compliance officer dus ook dat de subjectiviteit in de aanwezige sfeer en omstandigheden tijdens het pro-ces zoveel mogelijk wordt geneutraliseerd. In dit kader kan de compliance officer ook kiezen voor het gebruik van (anonieme) stemmingen, gevolgd door inhoudelijke discussie. Ook hier geldt dat het gaat om de wijze die past bij de aard, omvang en cultuur van de organisatie. Het gebruik van stemkasjes waarbij op anonieme basis risico’s worden gevalideerd kan bijdragen aan de objectiviteit van de uitkomsten.

Tijdens de risk assessment wordt gesproken over bruto en netto risico’s. Hoewel het onderscheid bekend wordt verondersteld geeft het bruto risico inzicht in de mate waarin de organisatie bloot staat aan een compliance-risico (ook wel inherent risico genoemd), in tegenstelling tot het netto risico, waarbij wel rekening wordt gehouden met de beheersing van risico’s.

Om het netto risico te kunnen inschatten is het dus noodzakelijk om de relevante in-terne beheersingsmaatregelen te identificeren. Hierbij gaat het om de beheersmaat-regelen die daadwerkelijk bijdragen aan het reduceren van het bruto risico.

Page 16: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

86 Jaarboek Compliance 2010

Ontwikkelingen compliancepraktijk

De uitkomsten van een risk assessment geven inzicht in de risico exposure ener-zijds en de mate waarin deze in opzet wordt beheerst door interne maatregelen anderzijds. Bovendien is uit het voorgaande gebleken dat kan worden ingezoomd op een thema of bepaalde invalshoek, bijvoorbeeld de netto risico exposure bij het thema ‘Know-Your-Customer’ of vanuit de invalshoek ‘integriteit medewerkers’. De netto risico exposure geeft overigens niet de netto exposure weer voor een bepaalde periode. De uitkomsten van deze stap betreffen de inschatting uit een momentop-name; de effectiviteit van de beheersmaatregelen over een bepaalde periode dient daarentegen nog te worden aangetoond (zie hierna CRM methode, onderdeel 5).

Wederom is de uitvoering van risico assessments afhankelijk van de omvang van de organisatie en de interne organisatiestructuur. Bij grote organisaties komt het voor dat de business zelf, met ondersteuning van de lokale compliance- en/of risk officer, aan Group Compliance rapporteert over de uitkomsten van risico assessments. In dit geval analyseert Group Compliance de uitkomsten en vergelijkt deze met risico as-sessments van andere onderdelen uit de organisatie en staaft deze de uitkomsten aan de hand van externe informatie. Denk hierbij aan tendenties vanuit toezichthouders of gebeurtenissen in de sector.

Welke medewerkers uit de business deelnemen aan de risico assessment hangt onder andere af van de omvang van een afdeling of business unit, maar ook van de com-plexiteit van processen, producten en/of activiteiten. Het lijnmanagement bepaalt welke vertegenwoordiging deelneemt aan de risico assessments en managet de ver-wachtingen ten aanzien van een tijdige voorbereiding alsmede de benodigde input. In organisaties waar de business in toenemende mate zelf zorg draagt voor risico assessments neemt de ondersteunende rol van de compliance officer af en de rol van adviseur en kwaliteitsbewaker toe.

Actie compliance officer Resultaat 

x In samenwerking met risk functie faciliteren

van risk assessments.

x Bewaken dat de juiste vertegenwoordiging

deelneemten dat verwachtingen worden

gemanaged.

x Challenging ral tijdens de risico assessment.

x Vaststellen dat de business ownership

neemt van de uitkomsten door de uitkom-

sten te laten autoriseren door het Iijnma-

nagement.

x Benchmarken van de uitkomsten met

interne en externe brannen voor het

verkrijgen van een overall beeld en follow-

up.

x Agenda en mede opstellen verwach-

tingen voor deelnemers aan de

risico assessments.

x Gewogen risicoregister waarin bruto

risico’s, beheersmaatregelen en

netto-risico’s zijn vastgelegd.

Page 17: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

Jaarboek Compliance 2010 87

Compliance Risico Management

De compliance officer houdt zich in dit kader meer bezig met in- en externe ontwik-kelingen en het bepalen van de impact op CRM als geheel. Indien bijvoorbeeld de toezichthouder de focus legt op de risico’s verbonden aan belangenverstrengeling kan dit voor de compliance officer aanleiding zijn om hier op korte termijn een tus-sentijdse risico assessment op te laten uitvoeren. In dit geval communiceert de com-pliance officer dit aan het lijnmanagement.

8   CRM methode, onderdeel 5: ‘Assess operational effectiveness risk response’

Om een uitspraak te kunnen doen over de wijze waarop de onderkende beheers-maatregelen daadwerkelijk bijdragen aan het mitigeren van compliancerisico’s, is in-zicht in de effectiviteit van deze beheersmaatregelen vereist. Oordeelsvorming over de effectiviteit vereist een gedegen kennis van organisatie en beheersing maar ook van methoden en technieken om tot een deugdelijk oordeel te komen. Daarbij komt ook de adviesfunctie van de compliance officer om de hoek kijken, met name waar het gaat om het verankeren van regelgeving in de organisatie of het adequaat ophef-fen van geconstateerde deficiënties.

Inzicht over de effectieve werking van beheersmaatregelen stelt de compliance of-ficer in staat een uitspraak te doen over de kwaliteit en de weerbaarheid van de interne organisatie. Is er sprake van een betrouwbare en integere bedrijfsvoering, waar zijn verbeteringen nodig en hoe worden de verbeteringen gerealiseerd?

De compliance officer beschikt doorgaans niet over de vaardigheden die Internal Audit heeft. Voorts maakt de compliance officer geregeld onderdeel uit van (de af-wikkeling van-) compliance-gerelateerde activiteiten in de 1e lijn. Vandaar dat de compliance officer Internal Audit (of soms een externe partij) kan inzetten om een onafhankelijk oordeel te krijgen over bijvoorbeeld de opzet, het bestaan en de wer-king van de compliancefunctie als geheel en de mate waarin bepaalde regelgeving wordt nageleefd of compliancerisico’s worden beheerst. Om er voor te zorgen dat de compliance officer waar nodig over voldoende onderzoeksvaardigheden beschikt is het aan te bevelen gebruik te maken van kennis en ervaring van Internal Audit. Relevante aspecten hierbij zijn het opstellen van een onderzoeksplan, het selecteren van een geschikte methode voor het daadwerkelijk testen en interpreteren van de uitkomsten.

Compliancerisico’s worden binnen de dagelijkse bedrijfsvoering op verschillende niveaus beheerst. Voorbeelden hiervan zijn:

Page 18: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

88 Jaarboek Compliance 2010

Ontwikkelingen compliancepraktijk

x Management control, bijvoorbeeld op basis van periodieke managementrapporta-ges en besluitvorming;

x Lijnmanagement en medewerkers binnen de lijn, bijvoorbeeld in de vorm van 4-ogen principe (autorisatie), beoordeling financiële resultaten, uitzonderings-lijsten et cetera;

x IT-organisatie, bijvoorbeeld ten aanzien van autorisatie en bevoegdheden en geprogrammeerde (in-/ door-/ en uitvoer-) controles met betrekking tot trans-actieverwerking en rapportage;

x 2e lijn betrokkenheid (Legal, Risk Management en Compliance), het betreft hier met name ondersteuning ten aanzien van implementatie van regelgeving en advi-sering over risico’s, incidenten.

De toetsingswerkzaamheden die de compliance officer zelf verricht zijn natuurlijk niet gericht op het controleren van de eigen werkzaamheden. Voorbeelden hiervan zijn de controle op de wijze waarop compliance betrokken is bij het beoordelen van ongebruikelijke transacties, meldingen uit hoofde van transactiescreening of bij het goedkeuringsproces voor producten (ook wel ‘product approval proces’ genoemd).

Het risico op zelftoetsing wordt eveneens vermeden door het inschakelen van In-ternal Audit, of in het geval van een grotere compliancefunctie door middel van het aanbrengen van secundaire functiescheiding binnen de compliancefunctie.

Bij het uitvoering ven testwerkzaamheden staat de compliance officer een breed sca-la van middelen tot zijn beschikking. Voorbeelden hiervan zijn:x Deelwaarnemingen op relevante compliance-aspecten in de interne beheersom-

geving; worden bijvoorbeeld het beleid en de procedures ten aanzien Know Your Customer nageleefd en is de vastlegging daarvan toereikend.

x Het beoordelen van uitkomsten van financiële en niet financiële informatie, zoals klachten, eventuele boetes, bevindingen van Internal Audit of andere risk functies en het onderzoeken van ‘root causes’

x Waarneming ter plaatse, bijvoorbeeld in het kader van de naleving van de Wet op het financieel toezicht.

x Het houden van interviews en het gebruik van vragenlijsten.x Benchmarken van de uitkomsten van risicoanalyses, uitkomsten van interne con-

troles en bevindingen.

Met benchmarken kan de compliance officer een krachtige tool in handen hebben in het proces van compliance risico management. Benchmarken kent onder meer de volgende mogelijkheden:x Een vergelijking van bruto- en nettorisico’s geeft inzicht in de risico awareness en

risicoattitude binnen de verschillende onderdelen van de organisatie;

Page 19: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

Jaarboek Compliance 2010 89

Compliance Risico Management

x Een vergelijking van risicomitigerende maatregelen, de werking daarvan en de netto risico exposure kan inzicht geven in bepaalde trends in beheersing en/of tekortkomingen.

In principe kan benchmarken binnen iedere organisatie worden toegepast. Het ligt voor de hand dat de ene organisatie zich hier beter voor leent dan de andere. Een voorbeeld hiervan is een financiële instelling die producten en diensten afzet via ei-gen filialen. Een filiaalvergelijking geeft op een effectieve manier inzicht in de wijze waarop risico’s worden ingeschat en worden beheerst en legt op lokaal niveau zo-nodig deficiënties of ‘over control’ bloot. Hoewel de interne beheersomgeving in de vorm van systemen en procedures op lokaal niveau veelal centraal wordt aange-stuurd, kunnen zich in de praktijk op lokaal niveau wel degelijk verschillen voordoen in de uitvoering, bijvoorbeeld in de advisering van klanten of het maken van afwe-gingen bij de cliëntacceptatie en de hierbij te volgen procedures.Voor het bepalen van de keuze uit verschillende middelen en de timing waarop de compliance officer zijn werkzaamheden uitvoert, houdt hij onder meer rekening met de uitkomsten van de compliance-risicoanalyse op basis waarvan prioriteiten zijn be-paald. Maatregelen ter beheersing van een compliancerisico met een hoge kans van voorkomen (‘likelihood’) en een hoge impact zullen vaker worden getest lagere risi-cogebieden. Daarnaast geeft het uitvoeren van eigen deelwaarneming de compliance officer mogelijk meer houvast dan het beoordelen van uitzonderingsrapportages.

In de praktijk worden de volgende vormen van testwerkzaamheden onderscheiden:x Testwerkzaamheden gericht op interne beheersmaatregelen;x Testwerkzaamheden gericht op ‘key’ risico’s. Voorbeelden zijn bepaalde thema’s,

risicovolle (groepen van-) transacties, processen, maar ook aan sleutelfunctiona-rissen;

x Testwerkzaamheden op ad hoc basis, bijvoorbeeld naar aanleiding van bepaalde issues, opmerkingen of verzoeken van in-/externe stakeholders.

Het is van belang dat de compliance officer eerst goed nadenkt over de aanpak en vooraf de afweging maakt welke werkzaamheden en timing toereikend zouden zijn voor het geven van een oordeel over de kwaliteit en weerbaarheid van de organi-satie. In dit kader is het ook relevant vooraf na te denken over toleranties en fout-marges in het licht van het evalueren en geven van een oordeel. Uiteraard vindt deze beoordeling eveneens achteraf plaats op basis van de resultaten.

Het bovenstaande dient te worden uitgewerkt in een planning en aanpak. Dit docu-ment biedt de compliance officer houvast om voor het afleggen van verantwoording aan de (functionele- en/of hiërarchische) lijn en het verkrijgen van goedkeuring bij voorgestelde toleranties en daaruit voortvloeiende inzet van mensen en middelen. Dit kan tevens resulteren in een financiële begroting, zodat de kosten van de compli-

Page 20: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

90 Jaarboek Compliance 2010

Ontwikkelingen compliancepraktijk

ancefunctie op dit aspect zichtbaar worden en achteraf kunnen worden gemeten. In de praktijk wordt hier naar onzer mening nog te weinig bij stilgestaan zodat onvol-doende zicht is op de kosten van compliance en het beoogde nut.103

Actie compliance officer Resultaat 

x De compliance officer verkijgt inzicht

in de effectiviteit van risicomiti-

gerende maatregelen onder meer

door zelfstandig onderzoek en eigen

waarneming(en).

x De compliance officer voert overleg met

Internal Audit aangaande specifieke

onderwerpen die qua bestaan en

werking onderzocht dienen te worden

of die mogelijk in bestaande internal

audits zijn/worden betrokken.

x Eenjaarplanning waarin de aard,

reikwijdte en timing de testwerkzaam-

heden in zijn opgenomen.

x De com pliance officer legt eventuele

kwetsbaarheden bloot en geeft

aanbevelingen ter verbetering.

x De com pliance officer vormt een

oordeel over de kwaliteit en weerbaar-

heid van de interne organisatie ten

aanzien van compliance risico’s.

9   CRM methode, onderdeel 6: ‘Continuously monitor and improve’

Met behulp van monitoring maakt de compliance officer inzichtelijk op welke wijze de business aanbevelingen ter verbetering opvolgt alsook de wijze waarop met ver-anderingen wordt omgegaan, waaronder wijzigingen in regelgeving. Door afstem-ming met het lijnmanagement en eventuele aanvullende testwerkzaamheden (zie CRM methode, onderdeel 5) stelt de compliance officer vast in welke mate deficiën-ties toereikend zijn opgevolgd.

De compliance officer rapporteert aan de hiërarchische en/of functionele lijn de be-vindingen en bepaalt tevens welke verdere ondersteuning noodzakelijk is, bijvoor-beeld in de vorm van advies over beleid, implementatie in de bedrijfsprocessen en daadwerkelijke verankering, maar ook het bevorderen van awareness door training.

Actie compliance officer Resultaat 

x De compliance officer bewaakt de

tijdige afwikkeling van verbeteracties

door de business.

x Een overzicht met verbeterpunten,

status en opvolging.

103 Hoewel hier naar ons idee door organisaties zeker nog een stap te maken is ligt dit onderwerp buiten de strekking van dit artikel en wordt dit niet verder behandeld.

Page 21: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

Jaarboek Compliance 2010 91

Compliance Risico Management

Actie compliance officer Resultaat 

x In overleg met de business brengt

de compliance officer de status en

progressie in kaart.

x Eventueel verricht de compliance officer

testwerkzaamheden om vast te stellen

of deficienties toereikend zijn opgelost

(zie verder hoofdstuk 8).

x De compliance officer werkt periodiek

de managementinformatie bij met

betrekking tot de status en progressie

alsmede de effectiviteitvan opgeloste

om issies.

x Plan voor eventueel aanvullende

testwerkzaam heden.

10  CRM methode: ‘Documenting and reporting’

In zijn algemeenheid zijn compliance-rapportagelijnen te onderscheiden in:x Interne rapportages:

– Rapportages naar het hoger management, audit committee, Raad van Bestuur, Raad van Commissarissen;

– Rapportages vanuit de business, richting lokale compliance officers/afdelingen en compliance op groepsniveau.

x Externe rapportages:– Rapportages aan externe stakeholders, veelal toezichthouders;– Verantwoording in het jaarrapport of andere externe rapportages.

Uit de praktijk blijkt dat binnen compliancefuncties, met name bij grote instellingen, veel tijd gemoeid gaat met rapportageverplichtingen. Een geregeld gehoord geluid hierbij is dat het opstellen van compliancerapportages door de business als een last worden ervaren. Het vergt te veel tijd en energie van de lokale compliance officers/afdelingen, hetgeen ten koste gaat van bijvoorbeeld support aan de business, moni-toring of het testen van de effectiviteit van de interne beheersing.

Overigens is er niet één gouden standaard voor het opstellen van een goede com-pliancerapportage. Binnen grote organisaties zijn veelal op groepsniveau rapportage-structuren en instructies uitgevaardigd aan de business en lokale compliance officers, in tegenstelling tot kleine(re) organisaties waarbij dit lang niet altijd het geval is. Ongeacht de omvang van de organisatie; de compliance officers op corporate niveau en op lokaal niveau dienen voldoende ondersteuning te bieden aan het managen van verwachtingen met betrekking tot rapportages die respectievelijk door de lokale compliance officers en de business worden opgesteld.

Page 22: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

92 Jaarboek Compliance 2010

Ontwikkelingen compliancepraktijk

Wij menen dat het de kwaliteit van een compliancerapportage ten goede komt in-dien de volgende uitgangspunten worden gehanteerd:x Specifiek en geschikt: de compliancerapportage richt zich op de bevindingen en

analyse van uitkomsten van een bepaald aandachtsgebied en is waar nodig ge-schikt voor geconsolideerde managementinformatie, bijvoorbeeld ten behoeve van toezicht op hoger niveau;

x Meetbaar: de compliancerapportage bevat meetbare resultaten op basis van con-creet en helder omschreven testwerkzaamheden, implementatie en follow-up;

x Acceptatie: de compliancerapportage is afgestemd met- en goedgekeurd door het verantwoordelijk organisatiedeel waar de rapportage betrekking op heeft en bevat waar mogelijk overeengekomen aanbevelingen ter verbetering;

x Rechtlijnig, to-the-point en op basis van betrouwbare informatie ten behoeve van sturing en besluitvorming:– Voldoende en geschikte informatie ter onderbouwing van het oordeel;– Een uniforme en gevalideerde aanpak ter bevordering van een consistente en

accurate uitvoering van de werkzaamheden en validatie van de bevindingen;– Gevalideerd met primair verantwoordelijken.

x Tijdigheid: in de compliancerapportage worden concrete en haalbare voorstellen tot verbetering gedaan dan wel vervolgstappen geformuleerd.

Toekomstige uitdagingen op het gebied van compliance reporting liggen op het ge-bied van het ontwikkelen van meer ‘uniformiteit’ en market practice, maar mogelijk ook op het gebied van (externe) ‘zekerheid’ ten aanzien van bijvoorbeeld ‘harde’ com-plianceprocessen. Hier zou gebruik kunnen worden gemaakt van SAS70 standards.104

In de financiële sector waar veel zaken worden uitbesteed is het gemeengoed dat externe zekerheid wordt gevraagd bij de juistheid en volledigheid van uitbestede activiteiten waaronder IT of vermogensbeheer. Dit zou ook kunnen gaan gelden voor ‘compliance- en integriteit’ processen/activiteiten. Het ligt in de lijn der ver-wachting dat toezicht op gedragsbepalingen en gedragsregels, mede als gevolg van de economische crisis, verscherpt. Ook hier tendeert men naar het aantoonbaar ‘in control’ zijn. Een goed voorbeeld hiervan is een pensioenfonds waarbij zowel het vermogensbeheer als het pensioenbeheer aan verschillende partijen zijn uitbesteed. De compliance officer van het pensioenfonds zal aandacht moeten besteden aan de relevante compliance- en integriteitaspecten bij het pensioenfonds, maar ook bij de uitvoeringsorganisaties. Op het bureau van de van de compliance officer vindt in feite een soort consolidatie van compliance officers plaats, die bovendien alleen maar verder toeneemt op het moment dat er meerdere externe vermogensbeheerders be-trokken zijn.

104 Zie noot 1.

Page 23: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

Jaarboek Compliance 2010 93

Compliance Risico Management

Actie compliance officer Resultaat 

x Afstemmen verwachtingen ten aanzien

van compliance rapportages, zowel op

corporate, als op lokaal niveau.

x Opstellen compliance rapportages

op basis van gekozen uitgangspunten

[SMART] en valideren uitgangspunten

met verantwoordelijke functionaris.

x Uitgangspunten voor het opstellen van

een compliance rapportage.

x Raamwerk voor uniforme beoordeling

van compliance rapportages.

11  Samenvatting

In het Jaarboek Compliance 2008 hebben wij een hoofdstuk gewijd aan een methode om risico’s ten aanzien van compliance te kunnen managen. Anno 2009 blijkt het managen van compliancerisico’s nog steeds geen sinecure. Diverse organisaties kun-nen niet op een adequate wijze inzage geven in de verhoogde compliancerisico’s, met name als gevolg van opstapelende ontwikkelingen in de regelgeving als ook de organisatorische complexiteit waarbinnen deze risico’s in kaart gebracht dienen te worden.

Ten opzichte van de methode 2008 is de huidige methode aangepast op basis van een aantal inzichten en ontwikkelingen. Het betreft hier onder meer het plaatsen van CRM in een meer geïntegreerde benadering zoals Enterprise Risk Management. De compliance officer zou CRM niet meer moeten ondernemen zonder samenwerking met de andere relevante risk functies (zoals Operational Risk), maar ook JZ. Een (zo veel mogelijk) geïntegreerde benadering van risicomanagement bevordert de consis-tentie en effectiviteit er van, en is beter gericht op het managen van alle relevante risico’s die de strategie van de organisatie nadelig kunnen beïnvloeden. Bovendien wordt hiermee beoogd de business te ontlasten door het ontdubbelen van overlap-pende werkzaamheden.

Zoals aangegeven werkt de compliance officer in het huidige model samen met an-dere risk functies. In het proces van CRM begint het al met de betrokkenheid van de compliance officer bij de strategische risicoanalyse en de afbakening van het domein van compliance. Hoofdthema’s en toepasselijke regelgeving worden onder meer in samenwerking met de business en JZ in kaart gebracht. De business blijft hier door-gaans evenwel voor verantwoordelijk.In het tweede onderdeel brengt de compliance officer de risk appetite van het eindverantwoordelijk management in kaart en bepaalt tezamen met (doorgaans) Operational Risk de te hanteren risicotaal. En tezamen met de business wordt een ri-sicoregister opgesteld. In het derde onderdeel wordt het risicoregister gekoppeld aan de processen en activiteiten. Het is van belang dit overzicht te laten goedkeuren door

Page 24: Compliance Risico Management · verankeren en/of verbeteren van de CRM organisatie. Figuur 1. Externe en interne drivers voor een adequate interne beheersing & risico management 97

94 Jaarboek Compliance 2010

Ontwikkelingen compliancepraktijk

het lijnmanagement zodat duidelijk is dat de primaire verantwoordelijken verant-woordelijkheid nemen. Onderdeel vier betreft de daadwerkelijke risico assessment. Compliance en de betrokken risk functies vervullen hier met name een faciliterende rol maar dienen ook vooraf de verwachtingen van alle betrokken te managen en te bewaken. Het resultaat van het assessment is een gewogen risicoregister waarin de mitigerende beheersmaatregelen zijn opgenomen.

Om een uitspraak te kunnen doen over de wijze waarop de onderkende maatregelen daadwerkelijk bijdragen aan het beheersen van compliancerisico’s, is inzicht in de effectiviteit van deze beheersmaatregelen vereist. In onderdeel vijf verkrijgt de com-pliance officer dit inzicht door het (laten) uitvoeren van testwerkzaamheden. Hiertoe wordt gebruik gemaakt van een plan van aanpak, waarin de aard, reikwijdte en timing van de werkzaamheden zijn beschreven. Op basis van de verrichte werkzaamheden legt de compliance officer de kwetsbaarheden bloot en verschaft aanbevelingen ter verbetering. Het zesde onderdeel betreft het onderwerp compliance monitoring. Dit onderdeel bestaat voornamelijk uit het bewaken van de opvolging van geconsta-teerde leemtes, wijzigingen in de business als gevolg van nieuwe regelgeving. Indien noodzakelijk verricht de compliance officer aanvullende testwerkzaamheden om vast te stellen in welke mate de opvolging adequaat is geweest en effectief werkt.

In het zevende en tevens laatste onderdeel van het CRM proces rapporteert de com-pliance officer over de uitkomsten en aanbevelingen. Indien de compliance officer ontvanger is van rapportages is het van belang dat de verwachtingen met betrekking tot de rapportage goed worden gemanaged met de opsteller. Duidelijke instructies met uitgangspunten kunnen hierbij behulpzaam zijn. Veel organisatie hebben tegen-woordig te maken met compliancerapportages uit verschillende bedrijfsonderdelen. Ter bevordering van het sturen op compliancerisico’s op geconsolideerd niveau is het raadzaam dat de compliance officer een raamwerk opstelt dat de uniformiteit en consistentie en daarmee de kwaliteit van zowel het opstellen als het beoordelen van compliancerapportages ten goede komt.

Het iteratieve karakter van het CRM proces heeft tot gevolg dat de compliance of-ficer het proces periodiek op de agenda heeft staan en zich constant bewust dient te zijn dat de uitkomsten van CRM aansluiten op het vigerende normenkader en de operationele bedrijfsvoering. CRM is uiteindelijk gericht op het creëren van waarden enerzijds (bijdrage aan het behalen van strategische doelen) en het beschermen van waarden anderzijds (voldoen we aan de norm).