Compliancemonitoring: kijken of er gekeken wordt...in 2015 een gebruikersgids 8 over de SIRA heeft...

Jaarboek Compliance 2018 171

Compliancemonitoring: kijken of er gekeken wordt

C.A. Wielenga1

Wanneer je tien compliance officers vraagt naar hun favoriete onderdeel van compliance, zullen er waarschijnlijk maar twee of drie antwoorden dat monitoring het leukste is. Het analyseren van wetgeving, het adviseren en het verzorgen van trainingen is (nog steeds) veel populairder onder compliance officers. Dat is jammer want daardoor wordt er in sommige organisaties niet of maar matig gemonitord. Monitoren is nodig om te weten hoe effectief je bent als compliancefunctie of als organisatie in haar geheel als het gaat om compliance. Dit artikel is geschreven voor compliance officers die een monitorings-functie moeten inrichten en daar nog geen ervaring mee hebben. Het artikel is bedoeld als leidraad om de monitoringsfunctie in te richten.

Ik start in dit artikel met een toelichting op de compliancecyclus om zodoende context te geven aan de monitoringsactiviteiten. Vervolgens leg ik uit wat monitoren is. Ik geef daarna tips over een manier waarop je de monitoringsfunctie kunt inrichten en hoe je een monitoringsplan kunt opstellen. Ik eindig mijn bijdrage met een korte uitleg over het rapporteren over de monitoringsactiviteiten.

1 Cora Wielenga is directeur van het Nederlands Compliance Instituut en senior compliance officer. Zij werkt als compliance officer met name in het thema ‘Gedrag, cultuur & governance’. De auteur dankt Susan Tjong voor haar input voor dit artikel. En daarnaast dankt zij Roderick Noordhoek en Ruud van der Mast voor hun commentaar op het concept van dit artikel.


172 Jaarboek Compliance 2018

1. Compliancecyclus

De compliancefunctie is goed weer te geven in een cyclus. De compliancefunctie heeft zes hoofdtaken, namelijk:1. bepalen van de reikwijdte;2. faciliteren van de SIRA (systematische integriteitsrisicoanalyse2);3. adviseren over beheersmaatregelen en gewenst gedrag;4. uitleg geven over beheersmaatregelen en gewenst gedrag;5. monitoren van naleving van beheersmaatregelen en gedrag;6. handhaven van beheersmaatregelen en gewenst gedrag.3

Ad 1 Bepalen van de reikwijdteDe eerste stap voor een compliancefunctie is het bepalen van de reikwijdte van de compliance. De reikwijdte van compliance hangt af van (o.a.):• type vergunning;• activiteiten, diensten, type klanten en distributiekanalen;• markten en rechtsgebieden;• interne organisatie;• ambitie van de organisatie.

Klassiek gezien bestond de reikwijdte van financiële ondernemingen vaak uit een lijst met toezichtswetgeving waarop bijvoorbeeld de Wft4 en de Wwft5 een belangrijk onderdeel van uitmaakten. Wetgeving is nog steeds belangrijk. Maar bij het bepalen van de reik-wijdte nemen compliance officers de wet steeds minder vaak als uitgangspunt. Doordat we steeds verder verschuiven van de ‘letter van de wet’ naar de ‘geest van de wet’ spre-ken we steeds vaker over integriteitsgebieden als reikwijdte van compliance. Integriteit is immers groter dan wetgeving alleen. Een gebeurtenis kan juridisch juist zijn, maar niet integer. Vanuit deze gedachten werken steeds meer organisaties met integriteitsgebie-den. Dit kan dat bijvoorbeeld uitgewerkt worden in de volgende integriteitsgebieden:• Klant-ketenintegriteit betreft zowel de integriteit van de klanten als het integere

gedrag van de organisatie richting deze klanten. Daarnaast betreft het de integriteit van de keten waarin de onderneming opereert. Thema’s die hieronder kunnen vallen zijn bijvoorbeeld zorgplicht en bestrijding witwassen en terrorismefinanciering.

• Marktintegriteit betreft de integriteit van de (financiële) markt(en). Thema’s die hier-onder kunnen vallen zijn bijvoorbeeld mededinging en marktmisbruik.

2 Door sommige organisaties aangeduid als CRA: compliancerisicoanalyse.3 Afgeleid van: Nederlands Compliance Instituut, Handboek Compliance Professional 2017-2018, Capelle

aan den IJssel, 2017.4 Wet op het financieel toezicht.5 Wet ter voorkoming van witwassen en financieren van terrorisme.



• Medewerkersintegriteit heeft betrekking op de integriteit van het bestuur, het interne toezichthoudende orgaan en de interne en externe medewerkers. Thema’s die hier-onder kunnen vallen zijn bijvoorbeeld pre-employmentscreeningen en vakbekwaam-heid.

• Organisatie-integriteit heeft betrekking op de integriteit van de organisatie. Thema’s die hieronder kunnen vallen zijn bijvoorbeeld governance en uitbesteding.

• Data-integriteit betreft de integriteit van de data van een financiële onderneming (denk aan bewerking en beveiliging van persoonsgegevens)6.

Organisaties moeten regelmatig de reikwijdte opnieuw vaststellen. Dit is noodzakelijk wanneer er bijvoorbeeld wijzigingen zijn in wet- of regelgeving, wanneer de organisatie wijzigt, standpunt van de toezichthouders wijzigt, of wanneer de publieke opinie wijzigt over een bepaald punt.

Ad 2 Faciliteren van de SIRA Na het bepalen van de reikwijdte van compliance moet de organisatie periodiek een systematische integriteitsrisicoanalyse (SIRA) uitvoeren. Voor sommige organisaties, zoals banken, verzekeraars en pensioenfondsen, is het uitvoeren van een SIRA verplicht.7 Voor organisaties die deze verplichting niet hebben, adviseer ik evenzeer om een SIRA uit te voeren. Door het uitvoeren van een SIRA leer je namelijk wat de grootste integriteits-risico’s zijn voor je organisatie, zodat je vervolgens kunt focussen op die grootste risico’s. Daarnaast heeft het uitvoeren van een SIRA ook een bewustwordingseffect en kun je tijdens de SIRA informatie voor je monitoringsplan ophalen.

Overigens is het uitvoeren van een SIRA een eerstelijnsverantwoordelijkheid en zou de compliancefunctie alleen een faciliterende rol moeten hebben. In de praktijk heeft de compliancefunctie nu vaak nog een te veel uitvoerende rol. Dat is wellicht niet verwon-derlijk omdat het uitvoeren van een SIRA nog voor veel organisaties nieuw is. Veel finan-ciële ondernemingen zijn pas recent actiever met de SIRA aan de slag gegaan, nadat DNB in 2015 een gebruikersgids8 over de SIRA heeft uitgegeven en sindsdien strenger toezicht houdt op dit punt. Overigens was het uitvoeren van een SIRA voor veel ondernemingen al veel langer een verplichting. Op grond van de inmiddels vervallen Regeling Organisatie en Beheersing kenden banken al sinds 2001 een verplichting tot het uitvoeren van een SIRA.

6 Data-integriteit vraagt dermate veel expertise dat dit gebied bij veel organisaties bijeen afzonderlijke functie is belegd zoals een Functionaris Gegevensbescherming of een Data Protection Officer.

7 Artikel 3:10, 3:17 Wft, artikel 10 Bpr, artikel 19 Besluit financieel toetsingskader pensioenfondsen en artikel 14 Besluit uitvoering Pensioenwet.

8 DNB, ‘De integriteitsrisicoanalyse. Meer waar dat moet, minder waar dat kan’, Amsterdam, 2015.



Ik verwacht dat binnen een paar jaar de meeste compliance officers de SIRA alleen nog begeleiden en een minder inhoudelijke rol uitvoeren dan nu nog het geval is. De eerstelijn zal hier meer en meer haar eigen stempel op gaan drukken.

Na het identificeren van de integriteitsrisico’s moeten de risico’s gekwantificeerd worden door een risicoanalyseteam. Afhankelijk van de risicobereidheid9 van het bestuur kan besloten worden om (netto) risico’s te accepteren, te mitigeren of over te gaan tot ‘de-risking’. Met de-risking wordt bedoeld dat er bepaalde activiteiten worden beëindigd of bepaalde klantgroepen niet meer geaccepteerd worden om het risico te stoppen.

Ad 3 Adviseren over beheersmaatregelen en gewenst gedragOp basis van de uitkomsten van de SIRA moet worden vastgesteld op welke terreinen aanvullende beheersmaatregelen wenselijk zijn. Het inrichten van de beheersmaat-regelen is in principe een eerstelijnsverantwoordelijkheid. Maar ook hier zien we dat de compliancefunctie vaak nog een grotere rol speelt. Met name als het gaat om het schrij-ven van beleid. Voor de zogenaamde ‘compliance owned policies’ is het logisch dat compliance verantwoordelijk blijft voor het opstellen van het beleid. Een voorbeeld van een ‘compliance owned policy’ is de Regeling Privébeleggingstransacties. Voorbeelden van ‘business owned policies’ zijn het CDD beleid en zorgplichtbeleid. De compliance-functie zou louter mogen adviseren bij de ‘business owned policies’. Deze scheiding is bij veel ondernemingen nog niet voldoende doorgevoerd. We hebben de afgelopen jaren wel een verschuiving gezien naar meer ‘business owned policies’ waar de compliance officer vooral adviserend is over het beleid en over het gedrag dat wenselijk is op grond van dat beleid.

Het is belangrijk om het onderscheid tussen ‘compliance owned policies’ en ‘business owned policies’ te maken omdat je anders het risico creëert dat ‘de slager zijn eigen vlees keurt’. Wanneer de compliancefunctie zelf het beleid schrijft en vervolgens toetst of het beleid zelf en de uitvoering ervan voldoet, is er sprake van conflicterende rollen.

Ad 4 Uitleg geven over beheersmaatregelen en gewenst gedragUiteindelijk gaat het erom dat de mensen en systemen uit de organisatie werken zoals je met elkaar hebt afgesproken. Vroeger werd er vaak een trainingstraject ingepland om de mensen uitleg te geven over het nieuwe beleid en ging men ervan uit dat alle mede-werkers het beleid zouden uitvoeren zoals gepland. Tegenwoordig wordt er in deze stap uit de compliancecyclus steeds vaker stil gestaan bij het gedrag van mensen. ‘Waarom doen de mensen de dingen die ze doen? en vooral: ‘Waarom doen ze niet wat ze zouden moeten doen?’. Compliance kan de eerste lijn assisteren door niet alleen adviezen te

9 Zie ook DNB, ‘Good practice Integrity Risk Appetite’, september 2017.



geven over bewustwordingsplannen, maar ook door te adviseren over de beïnvloeding van gedrag.10,11

Ad 5 Monitoren naleving beheersmaatregelen en gedragBestuurders van organisaties hebben informatie nodig over de mate waarin de organisatie zich integer gedraagt, dan wel voldoet aan weten regelgeving. Anders gezegd: in hoe-verre het beleid wordt nageleefd en of er sprake is van het juiste gedrag. Om hierover te kunnen rapporteren moet je de naleving van beleid en het gedrag monitoren. Hoe deze monitoring in zijn werk gaat, leest u in dit artikel in de volgende paragraaf.

Ad 6 Handhaven van beheersmaatregelen en gewenst gedragHandhaven bestaat uit twee onderdelen: a. Adviseren over sancties in het geval van overtredingen: het opleggen van sancties

is een taak voor het management; de compliance officer kan adviseren over op te leggen sancties wanneer complianceregels worden overtreden.

b. De compliancefunctie rapporteert periodiek aan de raad van bestuur (RvB) en raad van commissarissen (RvC) als sluitstuk van de compliancecyclus. Tegelijkertijd vormt een rapportage ook een start van een nieuwe compliancecyclus. Op basis van een goede compliancerapportage kan het bestuur besluiten of er wijzigingen nodig zijn in de organisatie of dat er acties moeten worden ondernomen dat tot een ander gedrag zal leiden.

1.1 Gesplitste compliancecyclus

Van oudsher voerden vele compliance officers de gehele compliancecyclus uit. Dit gebeurt nog steeds in veel organisaties, maar sinds een paar jaar zijn er steeds meer organisaties die de compliancefunctie splitsen in:1. adviseren over beleid en gedrag;2. monitoren en rapporteren.

Organisaties die de compliancefunctie gesplitst hebben, voorkomen op deze manier dat ‘de slager zijn eigen vlees keurt’ ten aanzien van met name de ‘compliance owned policies’. En daarnaast wordt steeds meer erkend dat het adviseren over beleid en gedrag andere competenties vraagt dan het monitoren en rapporteren. Veel compliance officers worden geselecteerd op de adviestaken binnen de compliancecyclus en niet op

10 Zie ook M.F.M. van den Berg, ‘You have been nudged!’ in Jaarboek Compliance 2017, Nederlands Compliance Instituut, december 2016, Capelle aan den IJssel.

11 Zie ook in deze editie de volgende bijdragen ‘Gedragswetenschappelijk toezicht. Hoe gebruik je psy-chologie voor betere financiële markten?’, ‘Banken falen niet, mensen wel: een pleidooi voor gezond verstand’ en ‘behavorial & cultural governance’.



de monitoringsactiviteiten. Dat verklaart wellicht deels waarom veel compliance officers niet staan te springen om te gaan monitoren: ze hebben om andere redenen gekozen voor het compliancevak. De meeste compliance officers zijn als compliance officer benoemd vanwege de kennis over weten regelgeving en de kunde in het advies-vak. Gelukkig wordt er steeds vaker geworven voor ‘monitoring compliance officers’.12

In organisaties waar de compliancefunctie is gesplitst, kan er wel één compliance mana-ger zijn waar de functies als het ware weer bijeenkomt.

1.2 Monitoren en monitoren

In dit artikel behandel ik het begrip monitoren als onderdeel van de compliancecyclus. Er zijn in het compliancevak echter ook andere vormen van monitoren. Ter voorkoming van verwarring tussen de verschillende vormen van monitoren licht ik graag nog de drie verschillende andere vormen van monitoren toe:a. monitoren van transacties;b. monitoren van ontwikkelingen en wijzigingen in weten regelgeving;c. monitoren van de compliancefunctie.

Ad a Monitoren van transactiesOp grond van diverse weten regelgeving13 is het noodzakelijk om transacties te moni-toren. Het doel van het monitoren van transacties is op grond van de Wwft14 en sanctie-wetgeving het bestrijden van witwassen en het voorkomen van terrorismefinanciering en op grond van de Wft15 en op grond van de MAR16 het voorkomen van marktmanipulatie en misbruik van voorwetenschap. De compliance officer heeft bij dit type monitoring geen actieve uitvoerende rol. Wel kan de compliance officer adviseren over het instellen van de parameters. En daarnaast kan de compliance officer gebruik maken van de uit-komsten van deze transactiemonitoringsactiviteiten voor zijn monitoring en rapportage.

12 Zie voor een overzicht van competenties van de compliancefunctie het nieuwe Beroepscompetentie-profiel van de Vereniging van Compliance Officers dat in 2018 gepubliceerd zal worden.

13 Wet ter voorkoming van witwassen en financieren van terrorisme, Sanctiewet 1977 en deel 5 van de Wet op het financieel toezicht.

14 Wet ter voorkoming van witwassen en financieren van terrorisme.15 Wet op het financieel toezicht.16 Markets Abuse Regulation.



Ad b Monitoren van ontwikkelingen en wijzigingen in weten regelgevingHet monitoren van ontwikkelingen en wijzigingen in toezichtswetgeving is een belang-rijke taak van de compliancefunctie. Deze vorm van monitoring vindt continu plaats. Iedere wijziging in weten of regelgeving kan een aanzet zijn om de compliancecylcus opnieuw te starten. Je kunt ervoor kiezen om dit type monitoring ook mee te nemen in het monitoringsplan van de compliance officer.

Ad c Monitoren van de compliancefunctieDe laatste vorm van monitoring is het monitoren van de compliancefunctie zelf. Deze monitoring is erop gericht om een oordeel te kunnen geven over de effectiviteit van de compliancefunctie. Dit kan door de compliancefunctie zelf worden uitgevoerd of door een 2e of 3e lijns controlerende functie.

2. Wat is monitoren nu eigenlijk?

In de eerste paragraaf van dit artikel heb ik een toelichting gegeven op de compliancecy-clus. In deze paragraaf ga ik nader in op het monitoren.

Ik hanteer de volgende definitie van monitoren:

“Het op systematische wijze verzamelen van overtuigende informatie over de na leving van weten regelgeving, het beleid en het gewenste gedrag om vast te stellen in hoeverre de organisatie voldoet aan weten regelgeving, het beleid en het gewenste gedrag om over de naleving en de mate van compliancerisicobeheersing te rapporteren en te adviseren aan het bestuur en de raad van commissarissen’’.17

Anders geformuleerd zou je kunnen zeggen dat je informatie wilt ontvangen waaruit blijkt in hoeverre een organisatie haar compliancerisico’s beheerst. Een compliance officer voert in principe zelf geen controles uit om tot een oordeel over de compliancerisico’s te komen. Een compliance officer kijkt of andere functionarissen hiernaar hebben gekeken. De kortste definitie van monitoren is dan ook ‘kijken of er gekeken wordt’. Daarnaast verzamelt een compliance officer ook op andere manieren informatie. Het totaal aan informatie wordt geanalyseerd en vervolgens verbindt de compliance officer daar con-clusies aan.

Ik sta stil bij een aantal onderdelen uit de uitgebreidere definitie van monitoren.

17 Deze definitie is afgeleid van de algemene definitie van monitoren in het COSO raamwerk.



Systematisch verzamelenHet op systematische wijze verzamelen, wil zeggen dat je als compliance officer van tevoren nadenkt over welke informatie je nodig zult hebben en dit vastlegt in een plan. Je kunt eenvoudig systematisch informatie verzamelen door een koppeling te maken met de uitkomsten van de SIRA. Logischerwijs wil je vaker geïnformeerd worden naar gelang het nettorisico groter is. Daarnaast kan het verstandig zijn om onderscheid te maken in de mate van objectiviteit van informatie. Bij een laag nettorisico kan het voldoende zijn om de controleresultaten van een ‘self assessment’ op te vragen. Wanneer het nettori-sico hoog is, zou je informatie op kunnen vragen van een controlerende afdeling uit de tweede lijn.

Deze differentiatie zou er als volgt uit kunnen zien:

Nettorisico Periodiciteit Functionaris

Laag Eens in de twee jaar of jaarlijks 1e lijn

Normaal Iedere zes maanden 1e lijn, andere afdeling of 2e lijns controle

Hoog Maandelijks of ieder kwartaal 2e lijns controle

Vaak wordt vergeten om de mate van intensiteit in het monitoren weer naar beneden bij te stellen wanneer het nettorisico is afgenomen. Dat is vanzelfsprekend wel de bedoeling; zodra het risico is verlaagd, mogen de frequentie, diepgang en onafhankelijkheid van de bron afnemen.

Bovenstaand voorbeeld is geënt op een organisatie die werkt met standaard (of wel-licht in sommige ogen al wat ouderwetse) rapportagesystematiek. In organisaties waarin ‘agile’ gewerkt wordt is het verstandig om de monitoringsactiviteiten kortcyclisch in te richten zodat eerder bijgestuurd kan worden. De mate van periodiciteit pas je daarmee aan. De diepgang van de benodigde informatie pas je in dat geval ook aan doordat je vaker informatie opvraagt, kan het minder diepgaand zijn.

Het is goed om te vermelden dat sommige organisaties ervoor kiezen om meer con-troles in de eerste lijn te beleggen. Dat betekent dat de controles die vroeger door de tweede lijn uitgevoerd werden nu door de eerste lijn, dichter bij de business, worden uitgevoerd en vervolgens worden getoetst door een compliance officer in de tweede lijn. Wanneer een organisatie ervoor kiest om de eerste lijnsmonitoring te intensiveren heeft dit natuurlijk ook effect op bovenstaand voorbeeld.



Overigens is het goed om er altijd op bedacht te zijn dat de uitkomsten van een SIRA sub-jectief zijn. Zelfs als de SIRA op een goede manier wordt uitgevoerd. Dat betekent dat je tijdens de uitvoering van de monitoring altijd alert moet zijn op signalen die aangeven dat de risico’s tijdens de SIRA mogelijk verkeerd zijn ingeschat. Wanneer dat zich voordoet, moet het monitoringsplan worden bijgesteld.

Overtuigende informatieDe informatie is overtuigend wanneer het relevant, betrouwbaar en tijdig is. Met betrouw-baar wordt niet alleen bedoeld dat het correct is, maar ook verifieerbaar en afkomstig van een voldoende onafhankelijke bron.

Middelen De compliance officer heeft verschillende middelen tot zijn beschikking om tot een vol-ledige informatieverzameling te komen. Naast het opvragen van controleresultaten van andere functionarissen heeft hij de volgende middelen:• observaties in processen, procedures en systemen; • observaties van gedragsbeïnvloedende factoren18;• steekproeven19; • interviews.

Mate van nalevingWanneer is het genoeg? Wanneer kun je als compliance officer de vlag uit hangen? Het is een utopie dat we 100% compliance kunnen bereiken. Dat is niet haalbaar en daarom ook niet de bedoeling. Wanneer mag je dan als compliance officer wel tevreden zijn en ergens positief over rapporteren?

Als compliance officer kun je positief rapporteren:• wanneer er materieel weinig fouten zijn gemaakt; of• wanneer er voldoende bewustzijn is ten aanzien van compliance en integriteit; of • wanneer er een aanzienlijke positieve trend in de mate van naleving is te signaleren; of • wanneer er aantoonbaar geleerd en verbeterd wordt; of • wanneer er kan worden vastgesteld dat het eerder tijdens de SIRA vastgestelde risico

voldoende beheerst wordt.

Wanneer is er sprake van voldoende beheersing? Dat verschilt per risico. Want het ene risico wil een organisatie niet lopen, terwijl een ander risico gerust geaccepteerd (kan of moet) worden.

18 Zie voor meer informatie over gedragsbeïnvloedende factoren de paragraaf over ‘soft controls’ in dit artikel.19 Zie voor meer informatie over steekproeven de paragraaf over ‘controleren en monitoren’ in dit artikel.



3. Het doel van monitoren

Zoals uit de definitie van monitoren blijkt is het doel van het monitoren om inzicht te geven in de mate van beheersing van de compliancerisico’s. Een tweede dieperliggend doel van het monitoren is dat er door de monitoring geborgd wordt dat het beleid daad-werkelijk wordt nageleefd. Ik werk deze twee doelen onderstaand uit.

Ad a inzicht geven in de beheersing van compliancerisico’sDe compliancefunctie moet periodiek over compliance rapporteren aan het bestuur en de raad van commissarissen.20 Om hierover te kunnen rapporteren heeft de compliance officer informatie nodig over de mate waarin de beheersmaatregelen effectief zijn en de mate waarin er sprake is van gewenst gedrag. Door monitoring verkrijgt de compliance officer zijn informatie zodat hij onderbouwd een reëel beeld kan geven over de mate waarin de organisatie voldoet aan weten regelgeving en aan de integriteitsdoelstel-lingen.

Ad b waarborgen van nalevingWanneer de naleving van beleid, procedures en afspraken niet worden gemonitord, zul-len na verloop van tijd vele afspraken niet meer worden nageleefd en kan er normerosie ontstaan.

Door het inrichten van een goede monitoringsfunctie kunnen de volgende effecten gereali seerd worden:• op basis van een goede weergave van de werkelijke compliancesituatie kunnen betere

besluiten genomen worden;• overtredingen kunnen vroegtijdig (h)erkend worden waardoor er eerder (herstel)

maatregelen getroffen kunnen worden;• op termijn kunnen kosten gereduceerd worden doordat eerder (herstel)maatregelen

worden getroffen waardoor incidentmanagement dan wel ingrijpen van de toezicht-houder eerder achterwege zal blijven.

20 Voor de compliancefunctie van banken en beleggingsondernemingen geldt een jaarlijkse rapportage-plicht aan de raad van bestuur en de raad van commissarissen op grond van artikel 3:10, 3:17 Wft juncto artikel 21 Bpr. In de praktijk ligt de rapportagefrequentie bij veel banken en beleggingsondernemingen hoger. Daarnaast is de rapportage aan de raad van bestuur ook voor andere financiële ondernemingen gebruikelijk, doch niet wettelijk verplicht.



4. Monitoren versus controleren

Op grond van het Bpr21 moeten compliance officers22 op de naleving van weten regelge-ving controleren. Hoewel in het Bpr is opgenomen dat de compliancefunctie controleert, maken we in de praktijk een expliciet onderscheid tussen ‘monitoren’ en ‘controleren’. Bij monitoring wordt gebruik gemaakt van informatie die door andere functionarissen binnen de organisatie wordt gegenereerd. Bij controleren vergaart de functionaris zelf zijn informatie. Een compliance officer controleert in principe zelf niet, maar maakt in zijn werk gebruik van de controleresultaten van andere functionarissen.

In kleinere organisaties kan het voorkomen dat de compliance officer zelf moet con-troleren omdat er eenvoudigweg geen andere controlerende functionarissen zijn. Bij organisaties waar compliance onder druk staat of heeft gestaan, gebeurt het ook vaker dat de compliance officer zelf de controles uitvoert. Meestal neemt dit weer af naar mate de organisaties weer beter beheerst wordt.

We krijgen vaak de vraag hoe je als compliance officer weet dat je kunt vertrouwen op de controleresultaten van een andere functionaris. Impliciet wordt dan de vraag gesteld, of de compliance officer toch niet ook de controleresultaten van andere functionarissen moet controleren, om er zeker van te zijn dat het goed is. In sommige organisaties werkt de compliance officer daarom met steekproeven, bij andere organisaties controleert de compliance officer de controleresultaten alleen wanneer hij aanleiding heeft om te twijfe-len aan de resultaten. Er zijn ook organisaties waar de compliance officer zijn rapportages alleen baseert op controleresultaten van een ander zonder deze nog eens te controleren.

In onderstaand overzicht zijn de verschillen tussen controleren en monitoren weergegeven.

Controleren Monitoren

Activiteit of proces met als doel de tijdige identificatie en bijstelling van fouten.

Activiteit of proces met als doel de tijdige identificatie en bijstelling van de oorzaak van fouten.

Uitgevoerd door de eerste lijn, internal control of audit.

Uitgevoerd door compliance op basis van informatie van anderen.

Uitkomsten gebaseerd op eigen bevindingen. Uitkomsten gebaseerd op informatie van andere functionarissen.

21 Besluit prudentiële regels Wft.22 Deze verplichting is op grond van artikel 21 Bpr van toepassing op compliance officers van betaalinstel-

lingen, clearinginstellingen, elektronische geldinstellingen, banken, kredietunies, premiepensioeninstel-lingen, verzekeraars, wisselinstellingen en bijkantoren.



5. Opzetten van een monitoringsplan

Voordat je als compliance officer over kunt gaan tot monitoren moet er een monito-ringsfunctie ingericht worden. Ik verwijs voor het inrichten van de monitoringsfunctie naar de checklist ‘inrichten monitoringsfunctie’ in bijlage 1 van dit artikel. Een belangrijk onderdeel van het inrichten van de monitoringsfunctie is het opzetten van een monito-ringsplan. Ik werk het monitoringsplan in deze paragraaf verder uit.

Een monitoringsplan bestaat uit twee gedeelten:1. uitgangspunten van het monitoringsplan;2. monitoringstaken.

Ad 1 uitgangspunten van het monitoringsplanIn dit gedeelte wordt beschreven op welke wijze de monitoringsfunctie wordt uitgevoerd. Doorgaans wordt antwoord gegeven op de onderstaande vragen:• Wat is het doel van monitoren?• Wat zijn de uitgangspunten van het monitoringsplan? Doorgaans vormt de SIRA het

uitgangspunt voor het monitoringsplan, maar een juridisch uitgangspunt of proces-georiënteerde aanpak komt ook voor. De keuze voor het uitgangspunt is afhankelijk van de wijze waarop de (compliance-)organisatie is ingericht.

• Welke functionarissen zijn betrokken?• Wat zijn de taken, bevoegdheden en verantwoordelijkheden van de betrokken func-

tionarissen?• Welke onderwerpen worden gemonitord?• Aan wie en in welke frequentie wordt gerapporteerd?Een voorbeeld van een extract van een monitoringsplan is opgenomen in bijlage 2 van dit artikel.

De uitgangspunten van een monitoringsplan vormen een vrij statisch stuk dat een aantal jaren mee zou kunnen. Dat is anders voor de monitoringstaken. Het is de bedoeling dat de monitoringstaken continu aansluiten bij de compliancerisico’s van dat moment. Wan-neer een monitoringsplan gebaseerd is op de uitkomsten van de SIRA is het niet meer dan logisch dat de monitoringstaken worden herzien na elke herziening van de SIRA. Bij de meeste organisaties streeft men ernaar om dat jaarlijks te doen.



Ad 2 MonitoringstakenIn het tweede gedeelte, de monitoringstaken, wordt per risico dat in de SIRA is vast-gesteld beschreven:• van welke functionaris;• met welke frequentie;• welke informatie wordt aangeleverd;om als compliance officer te kunnen oordelen over de mate waarin het risico beheerst wordt.

De uit te voeren monitoringsactiviteiten worden vaak bepaald aan de hand van een SIRA. Hoe hoger het risico dat is vastgesteld op een bepaald onderdeel, des te intensiever de monitoring zal zijn. De intensiteit van monitoring is afhankelijk van de:a. mate van objectiviteit van de informatiebron23;b. periodiciteit24;c. aard van de informatie25.Daarnaast zijn incidenten en thema’s van de toezichthouder een belangrijke leidraad voor de monitoringstaken.

Een fractie van een aantal mogelijke monitoringstaken is eveneens opgenomen in bijlage 2 van dit artikel.

Sommige compliance officers vinden het prettig om de monitoringstaken te omschrijven aan de hand van de onderstaande vragen. • Waarom wordt er gemonitord? • Wie monitort?• Wat wordt er gemonitord?• Op welke wijze wordt gemonitord?• Met welke middelen?• Met welke frequentie?

23 Hoe hoger het risico dat gemonitord wordt, des te meer objectiviteit noodzakelijk is. We onderkennen de volgende vormen van toetsing en controle:

• zelftoets, • collegiale toetsing, • toets door leidinggevende, • onafhankelijke toetsing door bijvoorbeeld internal audit of permanent control.24 Hoe hoger het risico des te vaker gemonitord moet worden, dan wel des te vaker de informatie opge-

vraagd moet worden.25 Hoe hoger het risico des te gedetailleerder moet de informatie zijn die aangeleverd wordt.



Om het monitoringsprogramma optimaal te laten werken is het nuttig om aansluiting te zoeken bij andere interne werkprogramma’s, bijvoorbeeld de programma’s van de afde-ling interne controle of de interne auditafdeling of wellicht het lijnmanagement zelf. Door goede afstemming met controlerende functionarissen en afdelingen wordt de monitoring van toepasselijke weten regelgeving overzichtelijk.26

5.1 Onderscheid monitoren van hard en soft controls

Het is verstandig om zowel in de SIRA als in het monitoringsplan rekening te houden met gedragsbeïnvloedende factoren. Het zou namelijk zonde zijn om je als compliance officer alleen te richten op de uitkomsten van de ‘hard controls’ terwijl er zachtere elementen zijn die van doorslaggevend belang kunnen zijn op het gedrag van de medewerkers en daar-mee bepalend zijn of bepaalde integriteitsdoelstellingen of weten regelgeving wordt nageleefd. Vaak wordt een onderscheid gemaakt tussen ‘hard en soft controls’. Hoewel ik de term ‘soft controls’ persoonlijk misleidend vind, haal ik deze term wel aan omdat dan voor veel mensen duidelijk is welke richting ik op wil. Persoonlijk geef ik de voorkeur om te werken met de termen ‘social controls’ of ‘gedragsbeïnvloedende factoren’. De zeven elementen uit het cultuurhuis van DNB27 zijn te kwalificeren als ‘gedragsbeïnvloedende factoren’ en kunnen goed ingezet worden in een SIRA en een monitoringsplan. DNB werkt met de volgende elementen:

1. Belangenafweging/evenwichtig handelen: alle relevante belangen onderkennen en zichtbaar meewegen.

2. Consistent handelen: handelen in lijn met doelstellingen en keuzes.3. Bespreekbaarheid: stimuleren van een positief kritische houding van werknemers

en ruimte geven voor het bespreken van besluiten, andere opvattingen, fouten, en taboes.

4. Voorbeeldgedrag: goed voorbeeldgedrag van de top van de organisatie (persoonlijke integriteit, waaronder het voorkomen van (de schijn van) belangenverstrengeling).

5. Uitvoerbaarheid: realistische targets stellen en het wegnemen van perverse prikkels en verleidingen.

6. Transparantie: vastleggen van en communiceren over doelstellingen en principiële keuzes naar alle stakeholders toe.

7. Handhaving: aan niet-naleving worden consequenties verbonden.

26 Nederlands Compliance Instituut, Handboek Compliance Professional 2014-2015, Capelle aan den IJssel, 2014.

27 DNB Beleidsvisie, ‘De 7 Elementen van een Integere Cultuur’, november 2009.



Omdat het werken met gedragsbeïnvloedende factoren nog relatief nieuws is voor veel compliance officers werk ik dit verder uit.

Als je als compliance officer ervoor kiest om je niet alleen te richten op de hard controls, maar ook oog wilt hebben voor de gedragskant, dan kun je tijdens de SIRA-sessies de mensen niet alleen om de hard controls vragen, maar ook naar de gedragsbeïnvloedende factoren vragen. Om dat te kunnen doen is het noodzakelijk om kort een uitleg te geven over de zeven elementen. Per compliancerisico vraag je aan het SIRA-team of er bepaalde elementen een positief effect hebben op de beheersing van het risico of dat er elemen-ten zijn die een negatief effect hebben op de beheersing van het risico. De antwoorden worden dan meegenomen in de uitwerking van de SIRA. De ‘gedragsbeïnvloedende factoren’ kunnen op deze manier de uitkomst van een netto risico beïnvloeden.

Voorbeeld: Kwantificeren van een compliancerisico

CompliancerisicoDe kans op het aannemen van niet-integer personeel met als gevolg operationele schade, reputatieschade en financiële schade.

BrutorisicoHoog

Beheersmaatregelen • Jaarlijkse herijking van de analyse van integriteitsgevoelige functies. • Beleid met betrekking tot pre-employment screening en in-employment screening. • PES- & IES-procedures zijn actueel.• Nieuwe medewerkers kunnen niet starten zonder dat de PES is afgerond.

Gedragsbeïnvloedende factoren• Positief: het beleid en de procedures zijn bekend bij HR en het inhurend management.• Negatief: het beleid wordt niet serieus genomen, er zijn work arounds mogelijk

om mensen te laten starten voordat ze gescreend zijn. Wanneer de medewerker eenmaal binnen is, wordt de screening vaak niet meer afgerond. Er vindt geen controle op naleving plaats en al zeker geen handhaving.

Risicobereidheid Laag

NettorisicoHoog



GapJa

Aanvullend te nemen beheersmaatregelen• Investeren in bewustwording ten aanzien van PES- & IES-beleid. • Onderzoeken op welke wijze de work arounds stopgezet kunnen worden.• Alsnog afronden van de openstaande sancties.• Handhaven wanneer de PES- & IES niet voldoende wordt nageleefd.

ToelichtingOp basis van de ‘hard controls’ alleen zou het nettorisico mogelijk op laag uit kunnen komen. Echter, wanneer men ook de zachte kant van het risico mee neemt, kan het nettorisico alsnog op hoog uitkomen, ondanks de reeks aan beheersingsmaatregelen die is ingezet.

Wanneer in een SIRA de ‘gedragsbeïnvloedende elementen’ zijn meegenomen, is het goed om deze elementen ook mee te nemen in de monitoring. In het uitgewerkte voor-beeld van het risico van het aannemen van niet-integer personeel, zou de opvolging van de extra beheersmaatregelen opgenomen kunnen worden in de monitoringstaken. Daarnaast kan aan de hand van de zeven elementen geobserveerd worden in welke mate de elementen in de loop van de tijd een positief dan wel een negatief effect hebben op de beheersing van dit risico.

6. Monitoringsprogramma in werking

Het opzetten van een monitoringsprogramma vormt de basis van het echte werk. Zo lang je goed nadenkt over welke informatie je nodig hebt van welke functionaris om iets te kunnen zeggen over de beheersing van een compliancerisico komt dat wel goed. De lastigheid van een monitoringsprogramma begint doorgaans pas bij de uitvoering van het plan. In het plan heb je als compliance officer namelijk verwoord van welke functionaris je informatie nodig hebt om zodoende over de beheersing van de risico’s of het afgesproken gedrag te kunnen rapporteren. Om te slagen in het monitoren heb je informatie nodig van bepaalde functionarissen in een bepaalde frequentie en een bepaalde diepgang. Het is mooi wanneer je gebruik kunt maken van bestaande informatie maar in de praktijk lukt dat niet altijd en zullen andere functionarissen informatie moeten aanleveren die ze in het dagelijkse werk niet opgeleverd hadden. Het verzamelen van informatie vraagt daarom vaak inlevingsvermogen, inventiviteit en overtuigingskracht.



Overigens is het aan te raden om al tijdens de SIRA-sessies vooruit te lopen op de moni-toring. Als het goed is zijn de leden van het SIRA-team voor een deel dezelfde functiona-rissen van wie tijdens de uitvoering van de monitoring de informatie afkomstig is. Tijdens het bespreken en kwantificeren van de risico’s is het raadzaam om direct te bespreken met welke informatie beheersing van het risico aangetoond kan worden. Overigens is de compliance officer verantwoordelijk voor het benoemen van de monitoringstaken en niet de leden van de verschillende SIRA-teams.

Onze ervaring is dat het monitoren en rapporteren bij veel organisaties wordt onderschat qua tijdsbesteding. Met name het monitoren neemt een aanzienlijke plaats in qua tijdsbe-steding. Ter illustratie: bij ondernemingen waar de monitoringsfunctie goed is ingericht, komt het voor dat het monitoren en rapporteren ongeveer de helft beslaat van de capa-citeit van de compliancefunctie. Het monitoren is een arbeidsintensief traject.

7. Monitoren en technologie

In dit artikel ben ik nog uitgegaan van organisaties die nog niet zo ver zijn dat de monitoring van naleving van weten regelgeving, integriteitsdoelstellingen en gedrag geautomatiseerd verloopt. Natuurlijk zijn er al veel bedrijven die op basis van data- analyse gedeeltelijk monitoring uitvoeren. Echter is dat nog niet verspreid over alle compliancethema’s en nog niet gebruikelijk bij de meeste financiële ondernemingen. Ik heb er vertrouwen in dat de technologie ons steeds beter kan ondersteunen om ons vak goed uit te oefenen. Zodoende zal er meer tijd ontstaan om de informatie beter te analyseren en mogelijk meer tijd ontstaan om aandacht te hebben voor de gedrags-beïnvloedende factoren binnen een organisatie.

Overigens adviseer ik organisaties eerst de klassieke manier van monitoren goed te beheersen alvorens over te stappen op technische ondersteuning. Bij sommige organi-saties zijn er fantastische monitoringssystemen geïmplementeerd, maar is het doel van monitoring uit het oog verloren en werd het systeem een doel op zich.



8. Rapporteren over monitoringswerkzaamheden

De compliance officer monitort om uiteindelijk aan eerstelijnsmanagement, de raad van bestuur en de raad van commissarissen te rapporteren. De wettelijke verplichting28 is om dat minimaal jaarlijks te doen. Een jaarlijkse rapportage vind ik echter wat weinig om daar adequaat als bestuur op te kunnen sturen. Op basis van onderzoek bij financiële ondernemingen dat we in 2017 hebben uitgevoerd weten we dat bij meer dan de helft van de Nederlandse financiële ondernemingen eens per kwartaal aan de raad van bestuur wordt gerapporteerd.29 De overige frequenties variëren van maandelijks tot jaarlijks. Wij adviseren minimaal een kwartaalrapportage zodat je als bestuur adequaat kunt sturen op de beheersing van compliancerisico’s.

Uit hetzelfde onderzoek bleek dat meer dan de helft van de compliance officers gewend is om aan de raad van commissarissen te rapporteren. Voor een groot deel daarvan is het gebruikelijk om de rapportage toe te lichten aan de raad van commissarissen. Compliance officers die regelmatig toelichting geven aan de raad van commissarissen ervaren de raad van commissarissen laagdrempeliger om te benaderen.30

9. Evaluatie en beheer van een monitoringsplan

Assessment- en/of auditresultaten van de compliancefunctie kunnen aanleiding geven om het monitoringsplan te evalueren. Daarnaast kunnen wijzigingen in de organisatie, weten regelgeving, maatschappelijke ontwikkelingen en vernieuwde inzichten van de toezichthouder aanleiding vormen om het monitoringsplan te herzien. Voor de meeste organisaties geldt dat de herziening van de SIRA sowieso tot een herziening van het monitoringsplan leidt, omdat de meeste organisaties het plan baseren op de SIRA. Wan-neer het monitoringsplan gebaseerd is op weten regelgeving of processen wordt het plan meestal periodiek herzien, dat wil zeggen jaarlijks of eens in de twee jaar.

Zoals eerder beschreven bestaat het monitoringsplan uit twee gedeeltes: de uitgangs-punten en de monitoringstaken. De uitgangspunten van het plan wijzigen meestal niet veel. De monitoringstaken wijzigen, als het goed is, vaker. Het is immers de bedoeling dat door meer intensievere monitoring de compliancerisico’s beter worden gemitigeerd. Voor een aantal risico’s zal dan gelden dat ze het jaar erop minder intensief gemonitord hoeven te worden.

28 Wettelijke verplichting van toepassing voor banken en beleggingsondernemingen.29 Cora Wielenga en Anne Denies, ‘Onderzoeksresultaten over de inrichting van de compliancefunctie bij

Nederlandse financiële ondernemingen’ in de Compliance Officer 26, juli 2017.30 Idem.



10. Concluderend

Wanneer je als compliance officer of -afdeling besluit om werk te maken van de monito-ringsfunctie is het raadzaam om te beslissen of je de compliancecyclus wilt splitsen of niet. En als je dat zou willen, dan is het de vraag of het zou kunnen qua bemensing. Daarnaast is het verstandig om te beoordelen of je als compliance-afdeling de juiste competenties in huis hebt om de monitoringsfunctie goed te kunnen uitvoeren. De monitorings taken vragen andere competenties dan het adviseren over beleid en het vergroten van de bewustwording ten aanzien van compliance en integriteit.

Door de veelheid aan compliancethema’s en compliancerisico’s is het verstandig om het monitoringsplan te baseren op de uitkomsten van de SIRA. Ik adviseer om tijdens de SIRA al voor te sorteren op de informatiebehoefte die je als compliance officer zult heb-ben wanneer je gaat monitoren. Door tijdens de SIRA-sessies al een beeld te vormen over de informatie die opgehaald kan worden over de beheersing van de compliance-risico’s, wordt tijd bespaard wanneer in een later stadium de monitoringstaken worden uit gewerkt.

Wanneer je eenmaal een werkende monitoringsfunctie hebt ingericht is het verstandig om de monitoringstaken regelmatig bij te stellen, zeker wanneer de risico’s zijn afgeno-men wordt bijstelling nog wel eens vergeten.

Is monitoren nu lastig? Deels is het een kunst om de juiste informatie van de juiste func-tionarissen te ontvangen. Het is onze ervaring dat wanneer je er de tijd voor kunt nemen om dit van tevoren goed uit te denken en er vervolgens de tijd voor kunt nemen om de monitoringstaken goed uit te kunnen voeren het helemaal niet moeilijk is. En in mijn optiek, is monitoren juist heel erg leuk om te doen. Je kunt inzichtelijk maken in hoeverre de organisatie erin slaagt om zich te verbeteren. Het is prettig om dat goede nieuws te kunnen brengen. En daarnaast ervaar ik het als waardevol om de organisatie te wijzen op nieuwe risico’s die voortkomen uit de monitoring.

Het staat buiten kijf dat monitoren arbeidsintensief is. Mogelijk dat de techniek ons in de toekomst nog zal gaan helpen, maar voorlopig geldt voor de meesten van ons dat we nog ‘klassiek’ moeten monitoren.

Ik hoop dat u dit artikel hebt ervaren als een praktische handleiding om een monitorings-functie op te zetten. En bovenal hoop ik dat uw monitoringsplan bijdraagt aan het succes van uw organisatie.



Bijlage 1 Checklist ‘Inrichten monitoringsfunctie’

In deze checklist zijn de stappen opgenomen die je als organisatie kunt doorlopen wan-neer je de monitoringsfunctie wilt gaan inrichten. 1. Vaststellen op welke wijze de monitoringsfunctie ingericht moet worden. Wordt de

compliancecyclus in zijn geheel door een team uitgevoerd of wordt de compliance-cyclus gesplitst?

2. Vaststellen of de juiste competenties voor het uitvoeren van de monitoringsfunctie al aanwezig zijn en indien nodig actie hierop ondernemen.31

3. Vaststellen van de uitgangspunten van de SIRA.4. Uitvoeren van een SIRA.5. Vaststellen van de risicobereidheid van het bestuur.32 6. Eventueel inventariseren van aanvullende mitigerende maatregelen (afhankelijk van

de risicobereidheid van het bestuur).7. Beschrijven van de monitoringsfunctie (taken, verantwoordelijkheden en bevoegd-

heden) in de compliance charter, een monitoringsplan of een ander document.8. Vastleggen van de monitoringsactiviteiten per compliancerisico:

a. frequentie van monitoren;b. informatie over de mate van beheersing;c. welke functionaris de informatie aanlevert.

9. Opstellen van een format voor de periodieke rapportage die gebaseerd is op de uit-komsten van de compliancerisicoanalyse en de monitoringsactiviteiten.

10. Afstemmen van de informatiebehoefte van de compliancefunctie met andere func-tionarissen.

11. Verzamelen van informatie. 12. Analyseren van de ontvangen informatie.13. Rapporteren aan de raad van bestuur en de raad van commissarissen. 14. Evaluatie van de compliancecyclus.15. Nieuwe start (en eventuele aanpassing) van de compliancecyclus.

31 Zie voor het onderscheid in competenties het nieuwe Beroepscompetentieprofiel van de Vereniging van Compliance Officers dat in 2018 gepubliceerd zal worden.

32 Zie ook DNB, ‘Good practice Integrity Risk Appetite’, september 2017.



Bijlage 2 Voorbeeld monitoringsprogramma

Uitgangspunten monitoringsprogramma ORGANISATIE XIn dit monitoringsplan is uitgewerkt op welke wijze binnen ORGANISATIE X de compliance-monitoring wordt uitgevoerd door de afdeling compliance in samenwerking met andere afdelingen en functionarissen binnen ORGANISATIE X.

ORGANISATIE X werkt met de volgende definitie van monitoren:

“Het op systematische wijze verzamelen van overtuigende informatie over de naleving van weten regelgeving, beleid en gewenst gedrag om vast te stellen in hoeverre de organisatie voldoet aan weten regelgeving, beleid en gewenst gedrag om over de naleving en de mate van compliancerisicobeheersing te rapporteren en te adviseren aan het bestuur en de raad van commissarissen”.33

In dit monitoringsplan zijn de verschillende onderdelen van het monitoren beschreven: 1. systematische wijze verzamelen van overtuigende informatie2. rapporteren en adviseren aan het management

Ad 1 Systematische wijze verzamelen van overtuigende informatieEén keer per jaar faciliteert de afdeling compliance de SIRA (compliancerisicoanalyse). Op basis van de uitkomsten van de SIRA worden de prioriteiten van de compliancemonito-ring voor het daaropvolgende jaar vastgesteld.

Hoe hoger het netto risico dat is vastgesteld, des te intensiever de monitoring zal zijn. De intensiteit van monitoring is afhankelijk van de:a. mate van objectiviteit van de informatiebron;b. periodiciteit;c. aard van de informatie.

Ad a Objectiviteit van de informatiebronHoe hoger het risico dat gemonitord wordt, des te meer objectiviteit noodzakelijk is. We onderkennen de volgende vormen van toetsing en controle:• zelftoets;• collegiale toetsing;• toets door leidinggevende;• onafhankelijke toetsing door bijvoorbeeld internal audit.

33 Deze definitie is afgeleid van de algemene definitie van monitoren in het COSO raamwerk.



Ad b PeriodiciteitHoe hoger het risico des te vaker gemonitord moet worden, dan wel des te vaker de informatie opgevraagd moet worden.

Ad c Aard van de informatieHoe hoger het risico des te gedetailleerder moet de informatie zijn die aangeleverd wordt.

Ongeacht de hoogte van het risico, moet de informatie die opgevraagd wordt voor de monitoring relevant, betrouwbaar (correct, te verifiëren en afkomstig van een objectieve bron) en tijdig zijn. Informatie dat niet voldoet aan alle drie de criteria moet aangevuld worden totdat het geschikt is om te gebruiken voor monitoring. Over het algemeen wordt gewerkt met een steekproef van 25 tot 30, ongeacht de hoogte van het risico of de grootte van de populatie.

De afdeling compliance maakt zoveel als mogelijk gebruik van informatie die beschikbaar is binnen ORGANISATIE X. Zij maken daarbij gebruik van de volgende informatiebronnen:• lijnmanagement;• internal audit;• Operational Risk Management;• personeelszaken;• RvB;• secretaris RvB;• verschillende commissies zoals [INVOEGEN COMMISSIES].

De geïdentificeerde compliancerisico’s binnen ORGANISATIE X zijn geclassificeerd in bruto- en netto risico’s. Indien het netto risico ‘LAAG’ is, dan vindt er in principe geen of zeer weinig monitoring plaats. In geval van ‘NORMAAL’, ‘HOOG’ en ‘ZEER HOOG’ wordt de monitoring intensiever.

Ad 2 Rapporteren aan en adviseren van het bestuur en de raad van commissarissen

Rapportagelijnen en periodiciteitDe manager compliance rapporteert ieder kwartaal aan de RvB en RvC van ORGANISATIE X. De manager compliance licht zijn kwartaalrapportage mondeling toe aan de RvB en de RvC. Tenminste eenmaal per jaar spreekt de RvC met de compliance manager zonder het bijzijn van de RvB. De manager compliance rapporteert incidenten onverwijld aan de RvB en indien noodzakelijk eveneens aan de RvC. De compliancerapportages worden in een afschrift aan internal audit verzonden.



Inhoud kwartaalrapportages• Bevindingen en adviezen over de monitoring van de compliancerisico’s in de categorie

‘NORMAAL’ en ‘HOOG’ en ‘ZEER HOOG’.• Beschrijving incidenten en genomen (preventieve en repressieve) maatregelen. • Voortgang van nieuwe weten regelgeving en de gevolgen voor [ORGANISATIE X]. • Opvolging van openstaande actiepunten.

Inhoud jaarrapportage• Kwartaalrapportage van het laatste kwartaal plus een samenvatting van de eerste drie

kwartalen. • Complianceplanning voor het komend jaar op basis van de uitkomsten van de SIRA,

prioriteiten van de toezichthouder en externe ontwikkelingen.

AdviserenDe manager compliance is bevoegd om op basis van de bevindingen gevraagd en onge-vraagd advies te geven aan:• senior management;• RvB;• RvC.



Monitoringstaken

Risico Wet- en regelgeving Bruto-risico

Beheersmaatregelen & gedragsbeïnvloedende elementen

Netto-risico

Risk Appetite

Gap Te nemen maatregel Monitoringstaak

De kans dat ORGANISATIE X niet-integere cliënten accepteert, met als gevolg reputatieschade, toezichthouderschade en juridische schade.

§ 2.1 WwftDNB Leidraad Wwft en Sw

ZH Positief:• Actueel cliëntacceptatiebeleid,

RDD- en CDD-procedures. • Systeemcontrole op cliënt-

onderzoek.• Medewerkers worden halfjaar-

lijks getraind op RDD en CDD.

Negatief:• Het RDD- en CDD-proces wordt

als ballast ervaren. • Er is sprake van een achterstand

ten aanzien van de reviews. • Er zijn work arounds mogelijk

in het systeem (cliënten kunnen geaccepteerd worden voordat CDD procedure is afgerond).

• Positief zichtbaar voorbeeld-gedrag vanuit management ontbreekt.

ZH L Ja • Actie ten aanzien van awareness: Uitleg geven over het nut en de noodzaak van het RDD- en CDD-proces.

• Achterstand van de reviews inlopen.

• Zorgdragen dat work arounds gestopt worden.

• Zichtbaarheid van voorbeeldgedrag bespreken en verbeteren.

Ieder kwartaal:• Controleresultaten van

vijftien cliëntdossiers van nieuw geaccepteerde cliënten van IC.

• Controleresultaten van vijf cliëntdossiers van reeds gereviewde cliënten van IC.

Ieder kwartaal totdat het actiepunt is gerealiseerd:• Opvolging realisatie van

extra maatregelen van manager operations.

Jaarlijks:• vaststellen of RDD- en CDD-

beleid nog actueel is op basis van weten regelgeving en eventueel ontwikkelingen organisatie.

De kans dat ORGANISATIE X bij de FIU-NL geen verrichte of voorgenomen onge-bruikelijke transacties meldt, met als gevolg. reputatieschade, toezichthouderschade en juridische schade

Art. 16 Wwft H Positief:• Transacties worden gemonitord

door het AML-monitorings-systeem.

• AML-monitoringsteam is ervaren en getraind in het afhandelen van alerts.

• Actuele FIU-NL-meldings-procedure.

• Eerste lijn is bekend en ervaren in het herkennen en melden van subjectieve indicatoren.

• Sprake van zichtbaar positief voorbeeldgedrag.

• Fouten in meldproces worden besproken in het team.

Negatief:• Geen.

M L Ja • Extra uitleg ten aanzien van onderscheid adviseren en informeren is noodzakelijk

Halfjaarlijks:• Resultaten van diploma-

controle van manager operations.

• Resultaten van controle op permanent actueel van manager operations.

Ieder kwartaal totdat het actiepunt is gerealiseerd:• Opvolging van realisatie

extra uitleg over onderscheid in adviseren en informeren.



Monitoringstaken



Netto-risico

Risk Appetite


De kans dat ORGANISATIE X niet-integere cliënten accepteert, met als gevolg reputatieschade, toezichthouderschade en juridische schade.

§ 2.1 WwftDNB Leidraad Wwft en Sw

ZH Positief:• Actueel cliëntacceptatiebeleid,

RDD- en CDD-procedures. • Systeemcontrole op cliënt-

onderzoek.• Medewerkers worden halfjaar-

lijks getraind op RDD en CDD.

Negatief:• Het RDD- en CDD-proces wordt

als ballast ervaren. • Er is sprake van een achterstand

ten aanzien van de reviews. • Er zijn work arounds mogelijk

in het systeem (cliënten kunnen geaccepteerd worden voordat CDD procedure is afgerond).

• Positief zichtbaar voorbeeld-gedrag vanuit management ontbreekt.

ZH L Ja • Actie ten aanzien van awareness: Uitleg geven over het nut en de noodzaak van het RDD- en CDD-proces.

• Achterstand van de reviews inlopen.

• Zorgdragen dat work arounds gestopt worden.

• Zichtbaarheid van voorbeeldgedrag bespreken en verbeteren.

Ieder kwartaal:• Controleresultaten van

vijftien cliëntdossiers van nieuw geaccepteerde cliënten van IC.

• Controleresultaten van vijf cliëntdossiers van reeds gereviewde cliënten van IC.

Ieder kwartaal totdat het actiepunt is gerealiseerd:• Opvolging realisatie van

extra maatregelen van manager operations.

Jaarlijks:• vaststellen of RDD- en CDD-

beleid nog actueel is op basis van weten regelgeving en eventueel ontwikkelingen organisatie.

De kans dat ORGANISATIE X bij de FIU-NL geen verrichte of voorgenomen onge-bruikelijke transacties meldt, met als gevolg. reputatieschade, toezichthouderschade en juridische schade

Art. 16 Wwft H Positief:• Transacties worden gemonitord

door het AML-monitorings-systeem.

• AML-monitoringsteam is ervaren en getraind in het afhandelen van alerts.

• Actuele FIU-NL-meldings-procedure.

• Eerste lijn is bekend en ervaren in het herkennen en melden van subjectieve indicatoren.

• Sprake van zichtbaar positief voorbeeldgedrag.

• Fouten in meldproces worden besproken in het team.

Negatief:• Geen.

M L Ja • Extra uitleg ten aanzien van onderscheid adviseren en informeren is noodzakelijk










Netto-risico

Risk Appetite


De kans op niet vakbekwaam personeel met als gevolg reputatie-schade, toezicht-houderschade en juridische schade.

Art. 4:9 Wft§ 2.1 Bgfo

H Positief:• Beleid met betrekking tot

vakbekwaamheid.• Toetsing op vakbekwaamheid

is onderdeel van de PES.• Systeem van permanent actueel

is in werking.• Jaarlijkse controle op permante

educatie.

Negatief:• Onderscheid in adviseren en

informeren is niet duidelijk.• Noodzaak van het onderscheid

wordt niet onderkend door het team en door de teamleiders.

M L Ja • Extra uitleg ten aanzien van onderscheid adviseren en informeren is noodzakelijk.






Compliancemonitoring: kijken of er gekeken wordt...in 2015 een gebruikersgids 8 over de SIRA heeft...

Documents

Transcript of Compliancemonitoring: kijken of er gekeken wordt...in 2015 een gebruikersgids 8 over de SIRA heeft...