Beloningsrisico s in kaart gebracht Een geïntegreerde aanpak

Transcriptie

1 Beloningsrisico s in kaart gebracht Een geïntegreerde aanpak mr. drs. H.E. Grimbel du Bois, mr. R. van Thoor en mr. drs. P.K. van Altena * 1. Inleiding In dit artikel wordt een aanzet gegeven voor de manier waarop financiële ondernemingen een geïntegreerde aanpak voor een risicoanalyse rondom het onderwerp beloningsbeleid op kunnen stellen. Met geïntegreerd wordt bedoeld een risicoanalyse die zowel vanuit het perspectief van DNB als de AFM voldoet. De risicoanalyse is een (schriftelijke) analyse van de risico s die het beloningsbeleid met zich mee kan brengen en de manier waarop dit in een organisatie beheerst wordt. Bij de risicoanalyse: inventariseert de onderneming alle relevante risico s; meet de onderneming elk risico op adequate wijze; stelt de onderneming voor elk risico adequate beheersmaatregelen vast; en analyseert de onderneming in hoeverre het risico past bij het risicoprofiel en de risicobereidheid. Om bovenstaande uiteen te zetten en inzicht te geven in de herkomst en voorwaarden voor de risicoanalyse, bestaat dit artikel uit drie onderdelen: 1. een overzicht van de wet- en regelgeving in nationaal verband dat het uitvoeren van de risicoanalyse adresseert (hoofdstuk 2); 2. het presenteren van een aanpak op welke wijze de risicoanalyse kan worden gestructureerd (hoofdstuk 3) 1 ; en 3. praktische aanbevelingen om deze risicoanalyse op te stellen, uit te voeren en te borgen in de organisatie (hoofdstuk 4). 2. Wettelijk kader van de risicoanalyse beloningsbeleid In reactie op de financiële crisis ontstonden op internationaal en nationaal niveau verschillende initiatieven om perverse beloningsprikkels bij financiële ondernemingen tegen te gaan. De beloningsstructuren in de financiële wereld, waarin een groot deel van de werknemers een vorm van een variabele beloning krijgt uitgekeerd, wordt als een belangrijke oorzaak gezien voor het uitbreken van de financiële crisis. In dit artikel worden de belangrijkste internationale 2 en nationale 3 initiatieven waarmee het inrichten van het beloningsbeleid binnen financiële ondernemingen verder is gereguleerd, bekend verondersteld. Als startpunt van dit artikel behandelen wij slechts de Nederlandse regelgeving die het uitvoeren van de risicoanalyse op het gebied van beloningsbeleid adresseert. Gezien de omvang van dit artikel wordt niet ingegaan op de regelgeving rondom beloningen van tussenpersonen. Dit alhoewel dit voor met name de AFM een belangrijk aandachtspunt is en ook als onderdeel van de risicoanalyse dient te worden meegenomen Besluit beheerst beloningsbeleid Eind 2010 werd, als gevolg van de Capital Requirements Directive III (CRD III) het Besluit beheerst beloningsbeleid (Bbb) aangenomen en in de Wet op het financieel toezicht (Wft) verankerd. 4 Op grond van het Bbb zijn alle financiële ondernemingen verplicht een beloningsbeleid te hanteren dat enerzijds het nemen van onaanvaardbare risico s niet aanmoedigt en anderzijds onzorgvuldige behandeling van klanten voorkomt. Beide financiële toezichthouders, De Nederlandsche Bank (DNB) vanuit prudentieel perspectief en de Autoriteit Financiële Markten (AFM) vanuit gedragsperspectief, hebben in het Bbb formeel de bevoegdheid gekregen om vanaf 1 januari 2011 het beloningsbeleid bij financiële ondernemingen te toetsen. Sancties van de toezichthouders op grond van het Bbb kunnen worden toegepast op basis van art. 1:79 en art. 1:80 Wft. * Hugo Grimbel du Bois, Ralf van Thoor en Pauline van Altena zijn allen werkzaam voor PwC. Hugo en Ralf als risicomanagement en compliance adviseurs en Pauline als beloningsadviseur. Dit artikel is op persoonlijke titel geschreven. 1. Overigens gaan auteurs er vanuit dat bij de lezer de basisprincipes van het uitvoeren van een risicoanalyse bekend zijn. Omdat het opstellen van een risicoanalyse beloningsbeleid, zoals in dit artikel wordt betoogd, een gezamenlijke inspanning is van diverse expertise gebieden, waaronder ook partijen die over het algemeen minder bekend zijn met het uitvoeren van een risicoanalyse (bijvoorbeeld HR), komt dit onderdeel in dit artikel wel aan bod. 2. O.a. Final Report of the IIF Committee on Market Best Practices: Principles of Conduct and Best Practice Recommendations: Financial Services Industry Response to the Market Turmoil of , Institute of International Finance, 21 juli 2008, Report on financial supervision in the EU (De Larosière report), High-Level Group on Financial Supervision in the EU, 25 februari Brief van de Minister van Financiën d.d. 31 maart 2009, Akkoord financiële sector, Adviescommissie Toekomst Banken in opdracht van de Nederlandse Vereniging van Banken (NVB) op 7 april 2009 het rapport Naar herstel van vertrouwen (ook wel rapport Maas naar de voorzitter van de adviescommissie). 4. Besluit van 19 november 2010, houdende wijziging van het Besluit prudentiële regels Wft en het Besluit Gedragstoezicht financiële ondernemingen Wft (Besluit beheerst beloningsbeleid Wft), Stb. 2010, Tijdschrift voor Compliance Nr. 2 mei 2012

2 Het Bbb is, net als de eerder gepubliceerde Principes Beheerst Beloningsbeleid, een nadere invulling van verschillende open normen in de Wft. 5 Zo dienen ondernemingen die onder prudentieel toezicht staan op grond van art. 3:17 Wft en ondernemingen die onder gedragstoezicht staan op grond van art. 4:14 en art. 4:15 Wft, de bedrijfsvoering zodanig inrichten dat deze een beheerste en integere uitoefening van het bedrijf waarborgt. Op grond van lid 2 sub c.2 van art. 3:17 Wft kunnen per algemene maatregel van bestuur (AMvB) nadere regels worden gesteld. Volgens de nota van toelichting bij het Bbb sluit hierop aan dat de desbetreffende financiële ondernemingen geen beloningsbeleid hanteren dat de soliditeit van de onderneming kan aantasten. Verder dient een dergelijk beloningsbeleid geen beloningsprikkels te bevatten die ertoe kunnen leiden dat bestuurders en werknemers van de financiële onderneming hun eigen (korte termijn) belangen laten prevaleren boven het (lange termijn) belang van de financiële instelling. Op grond van art. 4:14 lid 2 sub c.3 en art. 4:15 lid 2 sub b.2 Wft kunnen per AMvB nadere regels worden gesteld met betrekking tot het waarborgen van de zorgvuldige behandeling van klanten, consumenten of deelnemers. Op grond van de nota van toelichting bij het Bbb past hierbij het vertrekpunt dat het beloningsbeleid geen prikkels bevat die afbreuk doen aan de verplichting om klanten zorgvuldig te behandelen Het prudentiële toezicht nader uitgewerkt in de Regeling beheerst beloningsbeleid Wft 2011 Op grond van art. 1 Bbb wordt aan het Besluit prudentiële regels Wft een art. 23f toegevoegd. Lid 3 van art. 23f schrijft voor: het beleid inzake beloningen omschrijft de beloningscomponenten en beloningsstructuren die ertoe zouden kunnen bijdragen dat de financiële onderneming meer risico s neemt dan voor haar aanvaardbaar is, alsmede de te volgen procedures en maatregelen die dergelijke beloningscomponenten en beloningsstructuren voorkomen en beheersen. De prudentiële voorschriften aan het beloningsbeleid zijn verder uitgewerkt in de Regeling beheerst beloningsbeleid Wft (Rbb). Op grond van art. 4 Rbb dient het beloningsbeleid in overeenstemming te zijn met en bij te dragen aan een degelijke en doeltreffende risicobeheersing. Op het uitvoeren van een risicoanalyse beloningsbeleid als zodanig wordt niet ingegaan. DNB geeft echter in haar brief van 23 september 2011 nadere invulling van art. 4 Rbb met betrekking tot het uitvoeren van een risicoanalyse: de onderneming stelt een (schriftelijke) risicoanalyse op van de risico s die het beloningsbeleid met zich mee kan brengen. 7 Bij de risicoanalyse analyseert de onderneming alle risico s, wordt ieder risico adequaat gemeten, en stelt de onderneming voor ieder risico een adequate beheersmaatregel vast, passend bij het risicoprofiel en risicobereidheid van de instelling. Uit de DNB-bijeenkomst van 24 januari 2012 blijkt dat 24 van de 34 middelgrote banken en verzekeraars die een zogenaamde self-assessment hebben ingevuld, volgens de DNB onvoldoende scoren op het uitvoeren van een risicoanalyse Het gedragstoezicht Op grond van art. 2 Bbb wordt aan het Besluit Gedragstoezicht financiële ondernemingen Wft een art. 35i toegevoegd. Lid 2 van art. 35i schrijft voor: het beleid inzake beloningen omschrijft, onder verwijzing naar de specifieke financiële diensten of andere activiteiten die door of in naam van de financiële onderneming worden verleend respectievelijk verricht, de beloningscomponenten en beloningsstructuren die kunnen leiden tot het risico van onzorgvuldige behandeling van consumenten, cliënten of deelnemers, alsmede de te volgen procedures en maatregelen die dat risico voorkomen en beheersen. De AFM ziet er onder andere op toe dat financiële ondernemingen het klantbelang centraal zetten. Volgens de AFM ligt aan de basis van een onderneming die het klantbelang centraal stelt een beheerst beloningsbeleid dat een zorgvuldige behandeling van klanten waarborgt. Om tot een beheerst beloningsbeleid te komen, dient een adequate analyse van de mogelijke perverse prikkels die uitgaan van het beloningsbeleid uitgevoerd te worden. De AFM houdt toezicht op het beloningsbeleid van financiële ondernemingen aan de hand van vier pijlers ((i) risicoanalyse, (ii) inhoud & werking van het beloningsbeleid, (iii) vastlegging & openbaarmaking en (iv) borging van het beloningsbeleid). In dit artikel wordt enkel ingegaan op het houvast dat de AFM geeft op het gebied van de risicoanalyse. Volgens de AFM identificeert een adequate risicoanalyse als eerste de functies of functiegroepen die invloed hebben op de zorgvuldige behandeling van klanten. Daarnaast dient te worden geanalyseerd of vanuit de beloningen prikkels uitgaan die medewerkers aanzetten tot ongewenst gedrag. Dit houdt in gedrag dat ertoe kan leiden dat klanten onzorgvuldig behandeld worden. Wanneer de risico s zijn geïdentificeerd dienen maatregelen aan de risico s gekoppeld te worden en dient uit de analyse te blijken of bestaande maatregelen voldoende zijn of dat aanvullende maatregelen nodig zijn. De AFM noemt verder dat binnen de analyse risico s vanuit verschillende perspectieven kunnen worden belicht, namelijk vanuit het perspectief van de toezichthouders, de werkgever, de aandeelhouders en werknemers. Het is belangrijk op te merken dat de invalshoek van toezicht door de AFM wezenlijk afwijkt van het toezicht vanuit DNB. Waar DNB voor het onderwerp beloningsbeleid met name kijkt naar de bijdrage aan een beheerste bedrijfsvoering (en bedrijfscultuur) om de soliditeit van de onderne- 5. Principes voor beheerst beloningsbeleid, AFM/De Nederlandsche Bank, mei Hoewel de principes en de daarop gebaseerde best practices (zie Naar een beheerst beloningsbeleid door DNB gepubliceerd in september 2009) een invulling zijn van de open normen in de Wft hebben ze geen wettelijke basis. Het Bbb is aangenomen om de AFM en DNB echter een concrete en brede toezichten handhavinggrondslag te geven ten aanzien van alle relevante financiële ondernemingen. 6. Stcrt. 24 december DNB-rapportage van vorderingen die banken en verzekeraars hebben gemaakt met het aanpassen van het beloningsbeleid, 23 september 2011, p Presentatie Regeling beheerst beloningsbeleid Wft 2011, 24 januari 2012, Nr. 2 mei 2012 Tijdschrift voor Compliance 95

3 ming te verzekeren, kijkt de AFM met name naar de negatieve prikkels die vanuit het beloningsbeleid uit kunnen gaan op de zorgvuldige dienstverlening aan klanten van financiële ondernemingen. Hierna wordt ingegaan op wat dit betekent voor het uitvoeren van de risicoanalyse, zodat financiële ondernemingen invulling kunnen geven aan de verplichtingen die zowel DNB als de AFM hebben geformuleerd rondom het opstellen van een risicoanalyse. Daarin wordt een uniforme aanpak en structuur gepresenteerd waardoor financiële ondernemingen op gedegen wijze invulling kunnen geven aan de eisen die rondom de risicoanalyse voor het beloningsbeleid zijn opgesteld en met het uitvoeren van één risicoanalyse tegelijkertijd kunnen voldoen aan de vereisten vanuit de DNB als de AFM. 3. De risicoanalyse nader bezien 3.1. Scope van de risicoanalyse beloningsbeleid De opzet van het Bbb en de scope van de risicoanalyse is vrij breed in meerdere opzichten. Allereerst ziet het Bbb niet alleen op bestuurdersbeloningen, maar op beloningen van alle medewerkers binnen een financiële instelling. De invalshoek van de toezichthouder beïnvloedt daarom de focus van de risicoanalyse. Vanuit een prudentieel oogpunt dient het beloningsbeleid en de risicoanalyse zich vooral te richten op de belangrijkste medewerkers (de zogenaamde Identified Staff). Deze groep behelst medewerkers die een hogere leidinggevende, risiconemende of controlefunctie uitoefenen en elke medewerker die een totale beloning ontvangt van hetzelfde of een hoger niveau als de categorieën van medewerkers die een hogere leidinggevende of risiconemende functie uitoefenen, wier werkzaamheden het risicoprofiel van de financiële onderneming materieel beïnvloeden. Dit blijkt ook uit het feit dat het merendeel van de bepalingen uit de Rbb zich op deze groep medewerkers richt. 9 Vanuit een gedragstoezicht oogpunt dient de onderneming zich in de eerste plaats te richten op de bij de financiële onderneming werkzame personen wier werk kan leiden tot onzorgvuldige klantbehandeling. Met name hier zullen in de risicoanalyse niet alleen de medewerkers in dienstbetrekking dienen te worden betrokken, maar ook bijvoorbeeld uitzendkrachten/zelfstandigen zonder personeel en andere personen die onder verantwoordelijkheid van de financiële onderneming diensten verlenen of andere activiteiten verrichten. Ten tweede stelt het Bbb niet alleen eisen aan variabele beloningen, maar ook aan andere vormen van beloningen. Hoewel dit in de CEBS-richtlijnen nadrukkelijk wordt opgemerkt, 10 blijkt dit niet expliciet uit het Bbb of de Rbb. Impliciet wordt in het Bbb opgemerkt dat in het bijzonder aandacht dient te worden besteed aan de prikkels die kunnen ontstaan op basis van variabele beloningscomponenten. Ook de Rbb stelt met name vereisten aan de variabele beloning. Ten derde houdt de toezichthoudende rol van de AFM op bij de landsgrenzen, waar die van DNB in principe op de gehele groep ziet. 11 Vanuit een prudentieel oogpunt dient het beloningsbeleid van de gehele groep dus onder de loep te worden genomen, vanuit een gedragsmatige optiek wordt gesproken over het beloningsbeleid van de in Nederland uitgevoerde activiteiten van een financiële onderneming Risicoanalyse beloningsbeleid als onderdeel van het risicomanagementproces Beide toezichthouders stellen dat het beloningsbeleid invloed heeft op een scala aan financiële en operationele risico s, waarbij het beloningsbeleid en beleidsonderdelen tevens als mitigerende maatregelen kunnen dienen voor het afdekken of beperken van risico s (mits goed opgesteld en aantoonbaar werkend). Daarom vragen beide toezichthouders een risicoanalyse met betrekking tot het beloningsbeleid op te stellen. Om dit in te vullen, is het raadzaam om deze analyse zoveel als mogelijk te baseren op bestaande risicomanagementstructuren en -activiteiten binnen de organisatie. Hierbij dient gerealiseerd te worden dat de potentiële scope van risico s, die door het beloningsbeleid kunnen worden beïnvloed, breed is en de gehele organisatie en gerelateerde activiteiten kan bestrijken. Ondernemingsbreed risicomanagement 12 is uitstekend bruikbaar als methodiek om de impact van risico s rondom beloningsbeleid in perspectief te plaatsen. Dit wil zeggen dat de aansluiting tussen de risico s rondom beloningsbeleid en de risicobereidheid, 13 strategie en doelstellingen van een onderneming in kaart gebracht wordt. Een ondernemingsbreed risicomanagementraamwerk 14 beschrijft middels acht verschillende stappen het proces om de risico s van een onderneming in kaart te brengen: 9. Art. 10 Regeling beheerst beloningsbeleid Wft 2011, Stcrt. 24 december Paragraph of the Guidelines on Remuneration Policies and Practices, Committee of European Banking Supervisors, 10 December 2010, p. 13 e.v. 11. Dit is op hoofdlijnen, de exacte scope is afhankelijk van de juridische vorm van de entiteiten in het buitenland (dochtermaatschappij of vestiging). 12. Wereldwijd zijn verschillende raamwerken voorhanden die bruikbaar zijn voor het inrichten van ondernemingsbreed risicomanagement (realiseer: impact van potentiële risico s rondom belonen kunnen de gehele organisatie raken). Het meest gebruikte raamwerk hiervoor is het raamwerk opgesteld door de Commission of Sponsoring Organisations of the Treadway Committee (kortweg COSO), genaamd COSO II ERM (2004). In dit raamwerk wordt de volgende definitie gehanteerd voor ondernemingsbreed risicomanagement: een managementproces, uitgevoerd door de Raad van Bestuur, het management en ander personeel, toegepast in strategisch verband en door de onderneming heen, ontworpen om potentiële gebeurtenissen die de onderneming beïnvloeden te identificeren, en het managen van het risico binnen de risicogrens van een onderneming, om redelijke zekerheid te kunnen verschaffen wat betreft het bereiken van de doelstellingen van een onderneming. 13. COSO Understanding and Communicating Risk Appetite (januari 2012): Risicobereidheid is de hoeveelheid risico, op hoog niveau, dat een organisatie bereid is te accepteren in het najagen van waarde. Iedere organisatie wil verschillende doelstellingen bereiken om waarde toe te voegen en dient derhalve te begrijpen de mate waarin het bereid is risico te lopen om deze doelstellingen te behalen. 14. Ter illustratie zijn acht elementen opgenomen die in de COSO ERM (2004) methodiek worden gehanteerd. 96 Tijdschrift voor Compliance Nr. 2 mei 2012

4 1. de interne organisatie (cultuur en risicobereidheid); 2. de doelstellingen van de organisatie (strategie); 3. de gebeurtenissen die voor de onderneming kunnen leiden tot risico s; 4. de analyse welke risico s daardoor gelopen kunnen worden (prioritering en inschatting van kans en impact); 5. de antwoorden die de organisatie heeft op deze risico s (evaluatie van de risicoreactie en toewijzing van middelen); 6. de beheersmaatregelen die de organisatie heeft ingericht om risico s te mitigeren; 7. de wijze waarop over dit proces gecommuniceerd en geïnformeerd wordt; en 8. de manier waarop de onderneming zorgt dat de tijdige en volledige uitvoering van het proces geborgd is Methodiek van de risicoanalyse Vanuit de strategie van een onderneming worden doelstellingen voor de organisatie gedefinieerd. Vanuit deze doelstellingen wordt een analyse opgesteld welke gebeurtenissen het behalen van deze doelstellingen (negatief) kunnen beïnvloeden en wat de kans is dat een gebeurtenis zich voordoet en de eventuele schade (impact) van deze gebeurtenis. Uit deze analyse en prioritering 15 volgt de definiëring van actie(s) om het risico te mitigeren tot een niveau dat voor de organisatie aanvaardbaar is. Figuur 1 geeft de stappen van bovenstaand proces schematisch weer: Figuur 1. Strategie en risicoanalyse In de markt worden verschillende methodes gebruikt om risico s in kaart te brengen. De meest gebruikte methode is die van het verzamelen van alle risicogerelateerde informatie in één document; het zogenaamde risicoregister. Het risicoregister is vaak een Excel document, of geïntegreerd in Risico- of Audit software, dat als centraal risico vastleggingdocument fungeert. Het document genereert managementinformatie, dat input is voor het bepalen van doelstellingen en activiteiten van de organisatie. In dit bestand zijn ondernemingsbrede of onderwerpspecifieke risico s opgenomen en de wijze waarop de risico s beheerst worden (de beheersmaatregelen). In het register zijn idealiter zaken opgenomen als: 1. een beschrijving van de gebeurtenis (inclusief oorzaak en gevolg) die aanleiding zijn voor een risico (de uitingsvorm van de gebeurtenis); 2. een inschatting van de bruto risico-omvang: dit wil zeggen de omvang van het risico als de beheersmaatregelen van een organisatie niet worden meegewogen; 3. de beheersmaatregel(en) die ingeregeld is/zijn om het risico te mitigeren: dit is een definitie van de beheersmaatregelen die binnen processen worden uitgevoerd; 4. de aard en frequentie van de beheersmaatregel; 5. een inschatting van de netto risico-omvang: dit wil zeggen de omvang van het risico als de beheersmaatregelen van een organisatie worden meegewogen; en 6. de mitigerende maatregelen (acties) die genomen dienen te worden om een eventuele te hoge netto risico-omvang terug te brengen naar een voor de onderneming acceptabel niveau. Hierbij dient een analyse te worden gemaakt of de kwantitatieve omvang van het risico in lijn is met de risicobereidheid van de organisatie. Indien het antwoord ontkennend luidt, dienen aanvullende acties te worden genomen om de netto risico-omvang terug te brengen. Het risicoregister is vaak onderverdeeld in risicocategorieën. Dit aangezien in brede zin de risico s en impact op de organisatie worden bekeken. De standaard categorieën die hierbij vaak gebruikt worden zijn: omgevingsrisico s; hierbij kan gedacht worden aan concurrentie-, technologische ontwikkelingen, stakeholder relaties en politieke risico s; procesrisico s; hierbij kan gedacht worden aan operationele-, integriteit-, IT-, financiële-, HR- en governance risico s; en informatierisico s; hierbij kan gedacht worden aan rapportage- en strategische risico s. In de ontwikkeling van ondernemingsbreed risicomanagement is het vervolgens van belang om iedere categorie verder uit te diepen, en de specifieke gebeurtenissen en gevolgen hiervan op eenduidige wijze vast te leggen in het risicoregister. Voor het onderwerp beloningsbeleid is het dus van belang om in de categorie HR een duidelijk overzicht op te nemen van de risico s die het beloningsbeleid met zich meebrengt voor de instelling, zowel vanuit DNB- als AFM-perspectief. Om bovenstaande nader toe te lichten, is hieronder een voorbeeld van willekeurige risico s voor de analyse voor beide toezichthouders opgenomen. Risicocategorie Risico Beheersmaatregel HR Beloningsbeleid (DNB) HR Beloningsbeleid (AFM) De langetermijnresultaten van de onderneming worden niet of onvoldoende meegenomen in bepaling van beloning voor Identified Staff. De mix van doelstellingen is niet of onvoldoende per functie afgestemd, dat kan leiden tot medewerkers die beloningsprikkels krijgen die niet passen bij het functieprofiel en/ of werkzaamheden. Een deel van de variabele beloning wordt over een langere periode uitgesteld, waarbij diverse malen aan de oorspronkelijke prestatiecriteria wordt getoetst. In ieder functieprofiel is vastgelegd welke kerncompetenties relevant zijn voor de goede uitoefening van de functie, dat als basis dient voor het opstellen van doelstellingen van de medewerker. 15. Deze wordt vastgesteld door de kans en de impact in kaart te brengen en de relatieve posities van de set van risico s te bepalen. Nr. 2 mei 2012 Tijdschrift voor Compliance 97

5 3.4. Risicoanalyse-aanpak Het juist opzetten en uitvoeren van de methodiek is essentieel om kwalitatief goede risico-informatie te ontvangen. Een goed opgezet template vergemakkelijkt de uitvoering van het proces en garandeert de reproduceerbaarheid en consistentie van het proces. Echter, de grote uitdaging voor de meeste ondernemingen zit hem in de aanpak die gekozen wordt om de risico-informatie te ontvangen, te aggregeren en de uiteindelijke (management)keuzes die aan de hand hiervan genomen worden. Door de eisen van toezichthouders, dient door iedere financiële onderneming een volledig en juist beeld te worden verzameld van de risico s die de onderneming potentieel loopt rondom het onderwerp beloningsbeleid. Figuur 2 geeft een overzicht van de stappen die in het analyseproces moeten worden genomen: Stap 2: Selecteren van relevante medewerkers in scope Na het definiëren van de gedragsmatige en soliditeitrisico s is het logisch de focus bij het selecteren van de relevante medewerkers te differentiëren. Vanuit het prudentiële perspectief gaat het om de soliditeit van de financiële onderneming in zijn geheel. Om die reden ligt in de praktijk de verantwoordelijkheid voor het stellen van kaders voor deze stap bij de groepsfuncties HR en Risicomanagement. De business, als risico eigenaar, dient de selectie van relevante medewerkers aan te leveren, waarbij HR en Risicomanagement vervolgens de rol van challenger hebben. Voor het selecteren van de zogenoemde key risk takers, of Identified Staff medewerkers, zijn door DNB nauwgezette instructies gegeven 16, waarbij zowel financiële als niet-financiële risico s worden meegewogen. Kort gezegd gaat het hier om twee groepen medewerkers, te weten: 1. Medewerkers die in omgevingen zitten waar zij: het risicoprofiel (mede) bepalen; werkzaamheden uitvoeren binnen het risicoprofiel; een handhavende taak hebben ten aanzien van het risicoprofiel; en/of in dezelfde remuneration bracket vallen als de Raad van Bestuur, het senior management en/of de overige risk takers. 2. Medewerkers die behoren tot de groepen: hoogste management; senior management; controlefuncties; en/of overige medewerkers wier activiteiten anderszins materiële invloed hebben op het risicoprofiel. Figuur 2. Aanpak voor risicoanalyse De stappen zijn nader uitgewerkt in de volgende subparagrafen Stap 1: Definiëren van de risico s Van belang is om alle stakeholders die inzicht hebben in de mogelijke risico s en reeds aanwezige beheersmaatregelen, te betrekken in het in kaart brengen en het definiëren van risico s. Hierbij kan gedacht worden aan HR, Compliance, Legal, Operational- en Internal Audit, Risk Management en vertegenwoordiging vanuit de business. Tezamen dienen deze vertegenwoordigers tot een gedragen beeld te komen van de risico s die zich kunnen voordoen als gevolg van het door de onderneming gevoerde beloningsbeleid. Diepe kennis van het bestaande beloningsbeleid binnen de eigen onderneming is in deze stap nog niet van belang, dit wordt pas van belang in de volgende stappen van de risicoanalyse. Tevens is van belang om bij de definitie van risico s rekening te houden met de belangen van relevante stakeholdergroepen. Dit is tevens als best practice op de website van de AFM gecommuniceerd. Voor wat betreft deze laatste groep heeft DNB aanvullende richtlijnen gegeven, die zich toespitsen op zowel financiële als niet-financiële risico s. Ten aanzien van de financiële risico s merkt DNB in haar Open Boek 17 op dat deze afhankelijk zijn van de aard van de activiteiten van een financiële onderneming. Verder wijst DNB hierbij op twee belangrijke uitgangspunten: de maatstaven die door DNB worden gehanteerd (Risk Weighted Assets (RWA), Solvency Capital Requirement (SCR)) zijn slechts een startpunt voor de analyse. Bij de toepassing ervan zal worden bekeken of deze leiden tot een toereikende selectie van medewerkers voor een specifieke instelling; en 16. O.a. Paragraaf 1.1.3, # Committee of European Banking Supervisors, Guidelines on Remuneration policies and practices / DNB Open Boek Toezicht: Identified Staff voor de toepassing van beheerst beloningsbeleid, publicatiedatum 26 mei 2011 / Slides van Presentatie Regeling beheerst beloningsbeleid Wft 2011, publicatiedatum 24 januari DNB Open Boek Toezicht: Identified Staff voor de toepassing van beheerst beloningsbeleid, 26 mei Tijdschrift voor Compliance Nr. 2 mei 2012

6 hoewel de maatstaven sectoraal zijn opgezet, wordt vanzelfsprekend de context van de specifieke onderneming meegenomen in de beoordeling (aard van de organisatie en van de activiteiten). Er kan geen sprake zijn van een simpele tick the box -exercitie. In de praktijk wordt in de meeste gevallen bij de door de DNB aangegeven financiële parameters aangesloten, hetgeen betekent dat voor banken wordt gekeken naar de 1% RWA, 1% Profit & Loss, 1% Balans grens en bij verzekeraars wordt aangesloten bij de 1% Solvency Capital Ratio of Economic Capital Ratio grens. Voor niet-financiële risico s (denk aan o.a. reputatie-, juridisch-, IT-risico) is het lastig om één of enkele kwantitatieve maatstaven vast te leggen. Er kan hierbij daarom vooral gedacht worden aan medewerkers die verantwoordelijk zijn voor beslissingen met een grote impact op het operationele risicoprofiel van de onderneming. Nadat deze selectie is uitgevoerd, is de doelgroep geïdentificeerd waarbij de impact van de mogelijke risico s naar verwachting het grootst zal zijn vanuit een prudentieel oogpunt. 18 Vanuit een gedragsperspectief is de focus een andere. De AFM geeft hierbij aan dat men zich in de eerste plaats dient te richten op de bij de financiële ondernemingen werkzame personen wier werk kan leiden tot onzorgvuldige klantbehandeling. Echter, de onderneming kan zich hierbij, volgens het Bbb, niet beperken tot de personen die zich daadwerkelijk bezighouden met het direct verlenen van financiële diensten aan klanten, ook personen die zich bijvoorbeeld bezighouden met productontwikkeling kunnen hieronder vallen. Om de medewerkers in kaart te brengen van wie de werkzaamheden kunnen leiden tot onzorgvuldige behandeling van klanten en de daarop van toepassing zijnde beloningsrisico s, kan een financiële onderneming de volgende systematische aanpak hanteren: Stap 1: op het niveau van bedrijfsonderdeel of afdeling in kaart brengen van de verschillende functiegroepen (verzameling van verschillende functieprofielen); Stap 2: functie(groepen) indelen in: 1) functies met direct klantcontact, 2) functies met indirect klantcontact en 3) overige functies. Op grond van dit onderscheid krijgt de financiële onderneming inzicht binnen welke functies het risico op onzorgvuldige klantbehandeling het grootst is; Stap 3: op functie(groep)niveau beoordelen welke generieke beloningsrisico s van toepassing zijn op functie(groepen) met direct en indirect klantcontact. Hiermee krijgt de financiële onderneming per functie(groep) inzicht op welke gebieden de meeste prikkels uitgaan van het beloningsbeleid die kunnen leiden tot onzorgvuldige klantbehandeling; en Stap 4: binnen iedere functie(groep) beoordelen welke specifieke risico s spelen per functie Stap 3: Definiëren van de beheersmaatregelen Nadat de belangrijkste risico s zijn gedefinieerd en vervolgens is bepaald waar in de organisatie de impact van deze risico s het meest omvangrijk zijn vanuit zowel een prudentieel als een gedragsperspectief, kunnen vervolgens de bestaande beheersmaatregelen worden gedefinieerd. Er zijn voor de risicoanalyse op twee niveaus beheersmaatregelen te identificeren. De beheersmaatregelen die op organisatieniveau zijn gemaakt en die op functie(groep)niveau zijn gedefinieerd. Maatregelen die generieke risico s beheersen of mitigeren, zijn op het niveau van functiegroepen met name te vinden in beleid en afspraken die op organisatieniveau zijn gemaakt. Een voorbeeld van een dergelijke generieke maatregel is vastlegging in de cao van de salarisschalen voor het vaste deel van beloning van medewerkers en maximale percentages variabele beloning ten opzichte van dit vaste gedeelte. Verder kunnen beheersmaatregelen bijvoorbeeld worden gevonden in beleid en procedures rondom prestatiemanagement. Hierin is vastgelegd op welke manier en wat voor soort doelstellingen worden gekoppeld aan individuele variabele beloningen. Functiespecifieke beheersmaatregelen liggen vaak vast op contractniveau tussen de financiële onderneming en individuele medewerkers. Vanuit prudentieel oogpunt zijn het bestaan van governancekaders (procuratie, goedkeuringsprocessen, 4-ogen principe) en limieten als onderdeel van risicobeheersings- en controlesystemen in ieder geval volgens de toelichting van de Rbb onvoldoende. Dit aangezien deze volgens DNB: (1) onvoldoende waarborg bieden voor een effectieve beheersing van de risico s uit variabele beloningen; (2) bestaande risicobeheersings- en controlesystemen (zoals limieten en governancekaders) vaak een ander doel dan de beheersing van risico s die uit de gedragsprikkels voorkomen; en (3) limieten en governancekaders veelal op financiële risico s zijn gericht en niet op andere risico s, zoals reputatierisico s en andere operationele risico s. Hoewel volgens auteurs bestaande governance kaders wel als beheersmaatregel(en) opgenomen kunnen worden in de risicoanalyse, kan dit niet de enige beheersmaatregel zijn die opgenomen is. Veel financiële ondernemingen hebben daarom de beheersmaatregelen 19 rondom variabele beloning, zoals vereist in de Rbb, als beheersmaatregelen in combinatie met bestaande governance kaders opgenomen in de risicoanalyse. Hierdoor zal de structuur van de variabele beloning in veel gevallen er uitzien als in figuur 3 weergegeven. 18. Voor een illustratief voorbeeld van de uitkomsten van deze selectie verwijzen wij naar Tabel 1 bij het Open Boek van DNB, met daarin de groepen van Identified Staff en nonlimitatieve voorbeelden. 19. Zoals het introduceren van voor risico-gecorrigeerde prestatie-indicatoren, het funden van de variabele beloningspool op basis van risico-gecorrigeerde maatstaven, het toepassen van een malus en claw back en het uitstellen van een deel van de variabele beloning over een langere periode (deferral). Nr. 2 mei 2012 Tijdschrift voor Compliance 99

7 Figuur 3: Variabele beloningsstructuur op grond van de Rbb Daar waar dit leidt tot zeer onwerkbare of complexe uitkomsten, kan een beroep worden gedaan op proportionaliteit. Vanuit gedragsperspectief zullen beheersmaatregelen in eerste instantie toegeschreven moeten worden naar de zorgvuldige behandeling van klanten. Omdat de AFM verschillende perspectieven noemt om risico s te belichten (zie hoofdstuk 2), dienen beheersmaatregelen echter ook verder te gaan. Een financiële onderneming dient met zijn beloningsbeleid namelijk ook bijvoorbeeld te sturen op cultuur of aannamebeleid. Om de juiste beheersmaatregelen op te stellen bij de geformuleerde risico s dienen daarom partijen aanwezig te zijn die specifieke kennis van het beloningsbeleid hebben (met name HR) en partijen met kennis van omgevingsfactoren (de business, Risk en Compliance) Stap 4: Definiëren van netto risico-omvang Op grond van vooraf vastgestelde risicoschalen, waarin de kans en impact van beloningsrisico s kwalitatief en indien mogelijk kwantitatief zijn vastgelegd, wordt de netto risicoscore 20 bepaald. Deze score geeft uiting aan de invloed die een risico heeft op de soliditeit van de onderneming en het potentiële impact die het heeft gehad op het gedrag van medewerkers. In de beoordeling van de score wordt rekening gehouden met de beheersmaatregelen die de onderneming heeft ingericht. Er zijn verschillende manieren om de netto-omvang van het risico vast te stellen, waarbij verschillende schalen bruikbaar zijn. De meest gebruikte schalen zijn om zowel de kans als de impact van het risico op de organisatie in te schatten. Hierbij wordt kans gedefinieerd als de mogelijkheid dat een risico zich voordoet (in termen van bijvoorbeeld aantallen per jaar) en de impact (in termen van negatieve impact op gedrag of klant). Op basis van de inschatting van het risico (kans en impact) en de waarderingsschalen, wordt een eindscore bereikt door de schalen met elkaar te confronteren. De score leidt er uiteindelijk toe dat de risico s ten opzichte van elkaar kunnen worden ingeschaald en de grootste risico s voor de onderneming kunnen worden bepaald Stap 5: Bepalen maatregelen en procedures om risico s te mitigeren of beheersen Op basis van de risicoscore in de analyse en de risicobereidheid van de onderneming dienen concrete acties te worden geformuleerd. De maatregelen en procedures zorgen ervoor dat extra beheersing plaatsvindt op beleidsmatig niveau of per functie. Het gaat er hier om dat de financiële instelling, waar de risico-omvang in haar ogen te hoog is, besluit passende maatregelen te treffen die de risico-omvang naar beneden brengt (dus de kans en/of de impact van het risico). Het is van groot belang om de acties in gezamenlijkheid met alle betrokken partijen te definiëren en af te stemmen, waarbij een actie-eigenaar en deadlines worden vastgelegd. Dit om te zorgen dat het risico tijdig wordt gemitigeerd. Uiteindelijk zal de uitvoering van bovenstaande analyse impact hebben op het beleid en de procedures rondom beloning voor de financiële onderneming. Deze wijzigingen dienen tijdig te worden doorgevoerd, zodat de risico s die de onderneming loopt eveneens tijdig worden gemitigeerd Aanpassingen in het beloningsbeleid Na afloop van de analyse kunnen er risico s bijkomen, afvallen, anders worden van omvang en kunnen alternatieven beschikbaar komen om de risico s te beheersen. De analyse dient daarom ook niet als statisch document te worden beschouwd, maar als een levend document dat al naar gelang de ontwikkelingen binnen de onderneming en op de markt periodiek dient te worden besproken en aangepast. Daar waar in de praktijk blijkt dat de genomen beheersmaatregelen onvoldoende zijn en dit leidt tot een ongewenst risico, dient te worden bekeken of het beloningsbeleid van de onderneming wellicht aangepast dient te worden, zodat de aanpassing leidt tot een beheerster beloningsbeleid. 20. Gangbare schalen voor de risico-inschatting zijn bijvoorbeeld: Hoog, Midden, Laag of varianten hierop. 100 Tijdschrift voor Compliance Nr. 2 mei 2012

8 4. Praktische aanbevelingen voor risicoanalyse Afgelopen jaar is voor het eerst aan financiële ondernemingen gevraagd een risicoanalyse op te stellen. Hierbij werd aangegeven dat er geen verplichte methode was en dat financiële ondernemingen zelf een werkbare methode moesten ontwikkelen. Uit de praktijk blijkt dat de risicoanalyse voor de DNB over het algemeen als eenvoudiger wordt ervaren. Dit is te verklaren vanuit het feit dat financiële ondernemingen in de afgelopen jaren belangrijke stappen hebben gezet in het inschatten van financiële risico s in het algemeen. De gedragsrisico s blijken echter weerbarstiger. Financiële ondernemingen dienen middels een eenduidig proces en methodiek te zorgen dat op constructieve manier de risico s in kaart worden gebracht. Op grond van onze ervaringen in het afgelopen jaar en om bij te dragen aan de informatie-uitwisseling en kennisdeling op dit vlak, zijn hieronder de vier belangrijkste lessen opgenomen. 1. Verricht de risicoanalyse vanuit het stakeholdermodel. Door het in kaart brengen van de risico s vanuit meerdere perspectieven (relevante stakeholder invalshoeken), leidt dit tot een kwalitatief betere en volledige set van risico s. Op basis van deze risico s is de onderneming beter in staat de huidige beheersing en mogelijke verbeteringen in kaart te brengen. 2. Betrek verschillende functies bij het uitvoeren van de risicoanalyse. Door samenwerking tussen HR, Compliance, Internal Audit, Risicomanagement en de business wordt een integraal beeld geschetst van de risicopositie van de onderneming. Tevens ontstaat begrip en consensus over de opzet, het proces en de monitoring van de risicoanalyse voor het beloningsonderwerp. Dit leidt tot enerzijds kennisdeling over afdelingen heen omtrent het onderwerp beloningsbeleid en verhoogt anderzijds de kwaliteit en diepte van de analyse. 3. Leid de business op. In het afgelopen jaar hebben wij gezien dat de selectie van de Identified Staff en de risicoanalyse vaak door Risicomanagement en HR zelf is uitgevoerd. Vaak als gevolg van tijdgebrek en onbekendheid met het proces en de inhoud. Om de risicoanalyse echt als effectief stuurmiddel te gebruiken en recht te doen aan de scheiding tussen de lijn en ondersteunende functies, dient de input ons inziens meer vanuit de business zelf te worden gegenereerd dan tot nu toe het geval is. Hierbij speelt het definiëren van verantwoordelijkheden ten aanzien van de uiteindelijke beslissingen een grote rol. 4. Gebruik de uitkomsten van de risicoanalyse als stuurmiddel door integratie in managementrapportagesystemen. Indien wordt vastgelegd wat er met de uitkomsten van de risicoanalyse gebeurt, met wie dit wordt gedeeld (bijvoorbeeld de Raad van Bestuur en Remuneratiecommissie) en hoe vaak deze informatie wordt gedeeld, kunnen de uitkomsten (bijvoorbeeld middels een dashboard) door de betrokkenen worden gebruikt als sturingsmiddel. Het gebruik hiervan verhoogt de kans dat er tijdig wordt bijgestuurd, bij onvoorziene omstandigheden en strategische heroriëntaties. Kortom, de risicoanalyse, die door beide toezichthouders wordt gevraagd, dient geen eenmalige exercitie te zijn, maar dient idealiter geborgd te zijn in de processen van de organisatie. Het periodiek onderhouden, uitvoeren en vaststellen van nieuwe maatregelen en procedures is nodig om het beloningsbeleid van de financiële onderneming te allen tijde up to date te houden en de belangrijkste risico s op een juiste manier te mitigeren. Nr. 2 mei 2012 Tijdschrift voor Compliance 101