Het hoogste bestuursorgaan benoemt de compliance officer. Deze stelt ook de taken en
bevoegdheden vast. De Raad van Commissarissen (RvC) ziet toezicht op de uitoefening van de
compliancefunctie. Ontslag vindt plaats door het bestuur (dit is in grote organisaties vaak
gedelegeerd).
Doel Compliance:
Het versterken van de integriteit van de organisatie, haar bestuur, haar medewerkers en haar data.
Integriteit = Zorgvuldig, uitlegbaar en standvastig handelen.
Algemene activiteiten compliance officer:
Vaststellen reikwijdte, faciliteren van de risicoanalyse, adviseren over beleid, uitleggen beleid,
monitoren beleid, handhaven beleid.
Doel compliance charter:
Vastlegging van de compliancefunctie. Taken, verantwoordelijkheden en bevoegdheden worden in
het compliance charter vastgelegd. Op grond van wet- en regelgeving is een compliance charter niet
verplicht. Het opstellen ervan wordt door de toezichthouders echter wel sterk aangeraden.
Organisatorische inbedding compliancefunctie:
- Rechtstreekse rapportage aan het hoogste bestuursorgaan en interne toezichthouders.
- Geen verantwoordelijkheid voor eerstelijnswerkzaamheden.
- Geen bevoegdheid noch plicht om goedkeuring te verlenen aan bijv. acceptatie van geschenken,
nevenfuncties, privébeleggingstransacties, enz.
- Wel (dwingend) advies om privébeleggingstransacties al dan niet uit te voeren/goed te keuren.
Rollen van het bestuur:
- Beleidsbepaler
- Vertegenwoordiger
- Verantwoordelijke
Rollen van de RvC:
- Medebeleidsbepaler
- Klankbord (het bestuur met raad bijstaan en adviseren)
- Ambassadeur (verbinding tussen onderneming en maatschappij/stakeholders)
Rollen aandeelhouders:
- (Interne) toezichthouder
- Financier
ISO norm Compliance management:
In 2013 is een initiatief gestart om een mondiale richtlijn voor compliance te ontwikkelen. Dit heeft
in 2015 geresulteerd in ‘International Standard 19600 Compliance Management systems –
guidelines’. De ISO 19600 is ontwikkeld in de vorm van een richtlijn. Deze is bedoeld om organisaties
te helpen hun bestaande aanpak van compliance management te verdiepen en verbreden.
Bruto risico:
Welk risico heb je als er niks is geregeld?
,Beheersmaatregelen:
Een goede beheersmaatregel is een maatregel die het risico structureel verlaagt (beleid, toetsen op
naleven, training, etc.). Het aantal incidenten neemt af bij meer beheersmaatregelen tot een
bepaald moment. Als beheersmaatregelen tegenstrijdig worden, neemt het aantal incidenten toe.
Daarnaast denken mensen bij teveel beheersmaatregelen niet meer zelf na, maar gaan ‘boxen
aftikken’.
Soorten beheersmaatregelen:
- Preventief (Vooraf. Duurste maatregel)
- Detectief (Analyseren. Waarnemen dat een risico zich voordoet. Bijvoorbeeld monitoring)
- Repressief (Beperken)
- Correctief (Herstellen, compenseren)
Netto risico:
Risico na de beheersmaatregelen (= kans x impact)
Risk appetite:
Mate van tolerantie. Is het aanvaardbaar?
Handhaving
Handhaving is een primaire taak van het lijnmanagement. Compliance heeft een signaleringsfunctie
(monitoring, incidenten) en een adviesfunctie.
Twin peaks model: Toezicht door DNB + AFM, waarbij de DNB verantwoordelijk is voor het
prudentieel toezicht, terwijl het gedragstoezicht bij de AFM is belegd.
AFM:
De AFM houdt zich sterk voor eerlijke en transparante financiële markten. Als onafhankelijke
gedragstoezichthouder draagt zij bij aan duurzaam financieel welzijn in Nederland.
- De AFM wordt bekostigd door de financiële sector.
- Ook toezicht op BES-eilanden (wordt betaald door MinFin).
- Houdt ook toezicht op accountants.
- Verleend vergunningen voor (vooral financiële dienstverleners) o.a.: verzekeraars,
beleggingsondernemingen, etc.
De AFM wil graag bouwstenen concreet maken die een bijdrage leveren aan een gezonde
organisatiecultuur. Voorbeelden: evenwichtige besluitvorming, leren van fouten, rechtvaardig en
evenwichtig belonen. De AFM hoopt financiële ondernemingen te inspireren en te faciliteren om aan
de slag te gaan met deze elementen.
DNB:
De DNB houdt prudentieel toezicht. Prudentieel toezicht is gericht op de financiële soliditeit van
financiële ondernemingen. Prudentieel toezicht valt uiteen in bedrijfseconomisch toezicht en
integriteitstoezicht.
- Vergunningverlenende instantie voor clearinginstellingen, kredietinstellingen en financiële
instellingen, levens- en schadeverzekeraars, etc.
Macroprudentiële instrumenten zoals een kapitaalbuffer worden ingesteld om het ‘too big to fail’
probleem aan te pakken.
,Verschil doelen AFM en DNB:
AFM = Klantbelang
DNB = Gezonde organisaties (stabiliteit)
Sancties toezichthouders:
- Boete opleggen
- Last onder dwangsom opleggen (onderneming krijgt een termijn om te voldoen aan een opdracht)
- Intrekken vergunning
- Openbare waarschuwing via persbericht
- Aanwijzing geven (Bij een aanwijzing wordt de onderneming die niet voldoet aan de toepasselijke
wet- en regelgeving verplicht om binnen een door de AFM gestelde redelijke termijn een gedragslijn
te volgen ten aanzien van de in de aanwijzing opgenomen punten.)
Una via beginsel:
Het una via-beginsel beoogt te voorkomen dat een financiële onderneming op twee manieren voor
dezelfde overtreding gesanctioneerd wordt (bestuursrechtelijk en strafrechtelijk).
Corporate governance:
Governance gaat over het besturen en beheersen, over verantwoordelijkheid en zeggenschap en
over verantwoording en toezicht. Integriteit en transparantie spelen hierbij een grote rol.
Corporate governance = deugdelijk bestuur.
Actoren die invloed hebben op de governance: Maatschappelijke opinie, wet- en regelgeving,
klanten, producten en diensten, medewerkers, toezichthouders, etc.
De Nederlandse Corporate Governance Code (vijf thema’s):
- Lange termijn waardecreatie (bestuur neemt verantwoordelijkheid hele keten)
- Versterken risicomanagement (is de risk-appetite vastgelegd? Goede auditfunctie?)
- Effectief bestuur en toezicht (diversiteit, wordt eigen functioneren geëvalueerd?)
- Cultuur (top stimuleert integriteit, effectieve gedragscode?)
- Beloning (stimuleert het beloningsbeleid de lange termijn waardecreatie?)
Op grond van de Nederlandse Corporate Governance Code hebben beursgenoteerde
ondernemingen de verplichting om zich te verantwoorden volgens het ‘comply or explain-principe’.
Dit wil zeggen dat ondernemingen bepalingen moeten naleven. Daar waar zij niet naleven, moeten
zij verklaren aan belanghebbenden waarom naleving niet plaatsvindt (in bijv. het jaarverslag).
Code banken:
Branche specifieke corporate governancecode. Vanuit maatschappelijke verantwoordelijkheid
dienen banken bij te dragen aan een duurzame economie. Code is gericht op betrouwbaarheid,
transparantie en dienstbaarheid van banken. Het tuchtrecht is hieraan gekoppeld. Alle medewerkers
in de bancaire sector die de eed of belofte hebben afgelegd en de bijbehorende gedragsregels
schenden, kunnen daarvoor individueel bestraft worden.
Risicomanagement:
- Het in kaart brengen van risico’s en deze terugbrengen naar een acceptabel niveau.
- Verantwoordelijkheid ligt bij de 1e lijn. Directeur Risk zit in de 1e lijn.
- Advies vanuit 2e lijn. Toezicht op handelen van 1e lijn.
, FIRM:
Financiële Instellingen Risico Management.
COSO:
Geldt voor alle financiële organisaties. DNB heeft dit vertaald in FIRM.
COSO definieert de interne controle van een organisatie, uitgevoerd door het management, als een
proces. Een proces waarin gebeurtenissen geïdentificeerd worden die mogelijkerwijs de entiteit
kunnen beïnvloeden wordt Enterprise Risk Management (ERM) genoemd. ERM omvat methoden en
processen die organisaties gebruiken om risico’s te beheersen en kansen te benutten die ervoor
zorgen dat de doelstellingen van het bedrijf worden gehaald.
Stappen risicomanagement (tevens toepasbaar op SIRA):
- Formuleren strategie
- Inventariseren risico’s
- Beoordelen risico’s
- Keuze risicostrategie
- Beheersen risico’s
- Communiceren en monitoren
Three lines of defence:
Het 3LoD model gaat uit van een organisatiestructuur die uit 3 verdedigingslijnen bestaat:
- Eerste lijn: lijnmanagement/de ‘business’
- Tweede lijn: Compliance, Risk Management, Legal.
- Derde lijn: Auditfunctie (controleert. Houdt toezicht op 1 e en 2e lijn)
In enkele organisaties wordt de RvC als vierde lijn en de externe toezichthouder als vijfde lijn
beschouwd.
Regelmatig terugkerende bevindingen DNB inzake 3LoD:
- Geen adequate scheiding tussen 1e en 2e lijn
- 2e Lijn neemt taken over van 1e lijn omdat 1e lijn hier niet toe in staat is.
- Duikgedrag van 1e lijn
- Verkeerde targets 1e lijn: business boven compliance
- Opinies 2e lijn ontbreken of worden onvoldoende meegenomen in besluitvorming
Eerstelijns compliance werkzaamheden en tweedelijns compliance werkzaamheden.
1e lijn:
- Bedrijfsvoering
- Uitvoering reguliere operatie
- Besluitvorming
2e lijn:
- Kaderstelling
- Controle en toetsing van operatie
- Monitoring
bevoegdheden vast. De Raad van Commissarissen (RvC) ziet toezicht op de uitoefening van de
compliancefunctie. Ontslag vindt plaats door het bestuur (dit is in grote organisaties vaak
gedelegeerd).
Doel Compliance:
Het versterken van de integriteit van de organisatie, haar bestuur, haar medewerkers en haar data.
Integriteit = Zorgvuldig, uitlegbaar en standvastig handelen.
Algemene activiteiten compliance officer:
Vaststellen reikwijdte, faciliteren van de risicoanalyse, adviseren over beleid, uitleggen beleid,
monitoren beleid, handhaven beleid.
Doel compliance charter:
Vastlegging van de compliancefunctie. Taken, verantwoordelijkheden en bevoegdheden worden in
het compliance charter vastgelegd. Op grond van wet- en regelgeving is een compliance charter niet
verplicht. Het opstellen ervan wordt door de toezichthouders echter wel sterk aangeraden.
Organisatorische inbedding compliancefunctie:
- Rechtstreekse rapportage aan het hoogste bestuursorgaan en interne toezichthouders.
- Geen verantwoordelijkheid voor eerstelijnswerkzaamheden.
- Geen bevoegdheid noch plicht om goedkeuring te verlenen aan bijv. acceptatie van geschenken,
nevenfuncties, privébeleggingstransacties, enz.
- Wel (dwingend) advies om privébeleggingstransacties al dan niet uit te voeren/goed te keuren.
Rollen van het bestuur:
- Beleidsbepaler
- Vertegenwoordiger
- Verantwoordelijke
Rollen van de RvC:
- Medebeleidsbepaler
- Klankbord (het bestuur met raad bijstaan en adviseren)
- Ambassadeur (verbinding tussen onderneming en maatschappij/stakeholders)
Rollen aandeelhouders:
- (Interne) toezichthouder
- Financier
ISO norm Compliance management:
In 2013 is een initiatief gestart om een mondiale richtlijn voor compliance te ontwikkelen. Dit heeft
in 2015 geresulteerd in ‘International Standard 19600 Compliance Management systems –
guidelines’. De ISO 19600 is ontwikkeld in de vorm van een richtlijn. Deze is bedoeld om organisaties
te helpen hun bestaande aanpak van compliance management te verdiepen en verbreden.
Bruto risico:
Welk risico heb je als er niks is geregeld?
,Beheersmaatregelen:
Een goede beheersmaatregel is een maatregel die het risico structureel verlaagt (beleid, toetsen op
naleven, training, etc.). Het aantal incidenten neemt af bij meer beheersmaatregelen tot een
bepaald moment. Als beheersmaatregelen tegenstrijdig worden, neemt het aantal incidenten toe.
Daarnaast denken mensen bij teveel beheersmaatregelen niet meer zelf na, maar gaan ‘boxen
aftikken’.
Soorten beheersmaatregelen:
- Preventief (Vooraf. Duurste maatregel)
- Detectief (Analyseren. Waarnemen dat een risico zich voordoet. Bijvoorbeeld monitoring)
- Repressief (Beperken)
- Correctief (Herstellen, compenseren)
Netto risico:
Risico na de beheersmaatregelen (= kans x impact)
Risk appetite:
Mate van tolerantie. Is het aanvaardbaar?
Handhaving
Handhaving is een primaire taak van het lijnmanagement. Compliance heeft een signaleringsfunctie
(monitoring, incidenten) en een adviesfunctie.
Twin peaks model: Toezicht door DNB + AFM, waarbij de DNB verantwoordelijk is voor het
prudentieel toezicht, terwijl het gedragstoezicht bij de AFM is belegd.
AFM:
De AFM houdt zich sterk voor eerlijke en transparante financiële markten. Als onafhankelijke
gedragstoezichthouder draagt zij bij aan duurzaam financieel welzijn in Nederland.
- De AFM wordt bekostigd door de financiële sector.
- Ook toezicht op BES-eilanden (wordt betaald door MinFin).
- Houdt ook toezicht op accountants.
- Verleend vergunningen voor (vooral financiële dienstverleners) o.a.: verzekeraars,
beleggingsondernemingen, etc.
De AFM wil graag bouwstenen concreet maken die een bijdrage leveren aan een gezonde
organisatiecultuur. Voorbeelden: evenwichtige besluitvorming, leren van fouten, rechtvaardig en
evenwichtig belonen. De AFM hoopt financiële ondernemingen te inspireren en te faciliteren om aan
de slag te gaan met deze elementen.
DNB:
De DNB houdt prudentieel toezicht. Prudentieel toezicht is gericht op de financiële soliditeit van
financiële ondernemingen. Prudentieel toezicht valt uiteen in bedrijfseconomisch toezicht en
integriteitstoezicht.
- Vergunningverlenende instantie voor clearinginstellingen, kredietinstellingen en financiële
instellingen, levens- en schadeverzekeraars, etc.
Macroprudentiële instrumenten zoals een kapitaalbuffer worden ingesteld om het ‘too big to fail’
probleem aan te pakken.
,Verschil doelen AFM en DNB:
AFM = Klantbelang
DNB = Gezonde organisaties (stabiliteit)
Sancties toezichthouders:
- Boete opleggen
- Last onder dwangsom opleggen (onderneming krijgt een termijn om te voldoen aan een opdracht)
- Intrekken vergunning
- Openbare waarschuwing via persbericht
- Aanwijzing geven (Bij een aanwijzing wordt de onderneming die niet voldoet aan de toepasselijke
wet- en regelgeving verplicht om binnen een door de AFM gestelde redelijke termijn een gedragslijn
te volgen ten aanzien van de in de aanwijzing opgenomen punten.)
Una via beginsel:
Het una via-beginsel beoogt te voorkomen dat een financiële onderneming op twee manieren voor
dezelfde overtreding gesanctioneerd wordt (bestuursrechtelijk en strafrechtelijk).
Corporate governance:
Governance gaat over het besturen en beheersen, over verantwoordelijkheid en zeggenschap en
over verantwoording en toezicht. Integriteit en transparantie spelen hierbij een grote rol.
Corporate governance = deugdelijk bestuur.
Actoren die invloed hebben op de governance: Maatschappelijke opinie, wet- en regelgeving,
klanten, producten en diensten, medewerkers, toezichthouders, etc.
De Nederlandse Corporate Governance Code (vijf thema’s):
- Lange termijn waardecreatie (bestuur neemt verantwoordelijkheid hele keten)
- Versterken risicomanagement (is de risk-appetite vastgelegd? Goede auditfunctie?)
- Effectief bestuur en toezicht (diversiteit, wordt eigen functioneren geëvalueerd?)
- Cultuur (top stimuleert integriteit, effectieve gedragscode?)
- Beloning (stimuleert het beloningsbeleid de lange termijn waardecreatie?)
Op grond van de Nederlandse Corporate Governance Code hebben beursgenoteerde
ondernemingen de verplichting om zich te verantwoorden volgens het ‘comply or explain-principe’.
Dit wil zeggen dat ondernemingen bepalingen moeten naleven. Daar waar zij niet naleven, moeten
zij verklaren aan belanghebbenden waarom naleving niet plaatsvindt (in bijv. het jaarverslag).
Code banken:
Branche specifieke corporate governancecode. Vanuit maatschappelijke verantwoordelijkheid
dienen banken bij te dragen aan een duurzame economie. Code is gericht op betrouwbaarheid,
transparantie en dienstbaarheid van banken. Het tuchtrecht is hieraan gekoppeld. Alle medewerkers
in de bancaire sector die de eed of belofte hebben afgelegd en de bijbehorende gedragsregels
schenden, kunnen daarvoor individueel bestraft worden.
Risicomanagement:
- Het in kaart brengen van risico’s en deze terugbrengen naar een acceptabel niveau.
- Verantwoordelijkheid ligt bij de 1e lijn. Directeur Risk zit in de 1e lijn.
- Advies vanuit 2e lijn. Toezicht op handelen van 1e lijn.
, FIRM:
Financiële Instellingen Risico Management.
COSO:
Geldt voor alle financiële organisaties. DNB heeft dit vertaald in FIRM.
COSO definieert de interne controle van een organisatie, uitgevoerd door het management, als een
proces. Een proces waarin gebeurtenissen geïdentificeerd worden die mogelijkerwijs de entiteit
kunnen beïnvloeden wordt Enterprise Risk Management (ERM) genoemd. ERM omvat methoden en
processen die organisaties gebruiken om risico’s te beheersen en kansen te benutten die ervoor
zorgen dat de doelstellingen van het bedrijf worden gehaald.
Stappen risicomanagement (tevens toepasbaar op SIRA):
- Formuleren strategie
- Inventariseren risico’s
- Beoordelen risico’s
- Keuze risicostrategie
- Beheersen risico’s
- Communiceren en monitoren
Three lines of defence:
Het 3LoD model gaat uit van een organisatiestructuur die uit 3 verdedigingslijnen bestaat:
- Eerste lijn: lijnmanagement/de ‘business’
- Tweede lijn: Compliance, Risk Management, Legal.
- Derde lijn: Auditfunctie (controleert. Houdt toezicht op 1 e en 2e lijn)
In enkele organisaties wordt de RvC als vierde lijn en de externe toezichthouder als vijfde lijn
beschouwd.
Regelmatig terugkerende bevindingen DNB inzake 3LoD:
- Geen adequate scheiding tussen 1e en 2e lijn
- 2e Lijn neemt taken over van 1e lijn omdat 1e lijn hier niet toe in staat is.
- Duikgedrag van 1e lijn
- Verkeerde targets 1e lijn: business boven compliance
- Opinies 2e lijn ontbreken of worden onvoldoende meegenomen in besluitvorming
Eerstelijns compliance werkzaamheden en tweedelijns compliance werkzaamheden.
1e lijn:
- Bedrijfsvoering
- Uitvoering reguliere operatie
- Besluitvorming
2e lijn:
- Kaderstelling
- Controle en toetsing van operatie
- Monitoring
