Monitoren van Compliance Risk

Transcriptie

1 Monitoren van Compliance Risk ACHMEA Zeist, 21 april 2016 Even voorstellen: Peter Steenwijk Bedrijfskunde, Ondernemingsrecht en Internal Auditor Docent en onderzoeker Haagse Hogeschool Risk Management, Compliance, Corporate Governance, Ondernemingsrecht en Ethiek. Research: Risicogericht bestrijden van witwassen en Terrorisme Financiering Programma 1. Opening en voorstellen 2. Update Compliance Risico Analyse 3. Belang van compliance monitoring 4. Het Monitor plan 5. Aan de slag met het Compliance Risico Monitoring 6. Follow-up van monitoring 7. Issues en ontwikkelingen 8. Wrap-up 1

2 Stellingen: 1. Ik maak elk jaar een compliance risico analyse 2. De compliance risico analyse wordt alleen door de CO uitgevoerd Terugblik Risico management Wat is risico Kansen en bedreigingen 4 dimensies van risico Heatmaps en beheersmaatregelen Risks & Opportunities Risk Negative Positive Threat Opportunity 2

3 Risk versus Return De 4 Kernvragen 1. Risk Appetite: hoeveel risico WIL de organisatie nemen ik nemen om de doelen te bereiken? 2. Risk Tolerance: hoeveel risico is de organisatie bereid te accepteren? 3. Risk Capacity: hoeveel risico KAN de organisatie dragen? 4. Risk Exposure: wat is nu de feitelijke blootstelling aan risico? 8 Heatmap: Risico is kans maal gevolg 3

4 Impact 10 (2;6) (3) 10 (2;6) 9 (14) (1) (7) (11) 9 8 (16) (4;5;9;1 3) (10) (12) 8 (16) (10) (5) 7 (18) (17) 7 (14;18) (17) 6 (8) 6 (13) (8) 5 5 (4) (9) 4 (15) 4 (7;11) 3 3 (12;15) 2 2 (3) 1 1 (1) Impact Van Bruto naar Netto Risico Bruto= inherent risico Voor beheers maatregelen Netto risico = residu risico Na beheers maatregelen De 4 T s : Wat doen w e met de risico s Treat Transfer Terminate Take Heatmap Voor de invoering van beheersmaatregelen Na de invoering van beheersmaatregelen Kans Kans 4

5 Wat is Compliance Risico* Het risico op juridische- and sancties van toezichthouders, financiele- en reputatieschade schade als gevolg van het niet voldoen aan weten regelgeving * Basel Committee on Banking Supervision Waarom Compliance Risico Management Compliance meer dan voldoen aan regelgeving Integriteit en respect als kernwaarden van de organisatie Fatsoenlijk en professioneel ondernemersschap Vertrouwen van stakeholders en beschermen reputatie License to operate Waarom Compliance Risico Management Compliance: meer dan voldoen aan regelgeving Begint bij aard en identiteit van de organisatie Integriteit en respect als kernwaarden van de organisatie Fatsoenlijk en professioneel ondernemersschap Vertrouwen van stakeholders en beschermen reputatie Belangrijk: cultuur, gedrag en regels License to operate 5

6 Scope Compliance Risico Buiten de reikwijdte van Compliance Risk 6

7 Onderdelen Compliance risicoanalyse Kwantificeren van de inherente compliance risico s a) Kans b) Impact Benoemen risk appetite (past het inherente compliance risico binnen de risk appetite) Kiezen van beheersmaatregelen Beoordeling beheersing (effectiviteit van de beheersingsmaatregelen) Kwantificeren van de residue (netto) compliance risico s Identificeren en aanpakken van GAP s Rollen en Verantwoordelijkheden Rollen en verantwoordelijkheden 1e lijn: eigenaar en manager van de compliance risico s implementeren, beheersen. rapporteren en tracking 2e lijn: toezichthouden, adviseren, uitdagen, monitoren, rapporteren, escaleren, ontwikkelen, vertalen nieuwe wetgeving en incidentmanagement 3e Lijn: onafhankelijke, objectieve assurance over effectiviteit van monitoring en beheersing van risico s door 1e en de 2e lijn. Rapporteren en monitoren. 7

8 Three lines of defense: meer uitgewerkt Case Integriteits Risico Analyse Het Monitoring van Compliance Risico s 8

9 Monitoren 1. Element van het compliance risico proces 2. Doel en noodzaak 3. Control, monitoren en audit 4. Rollen en verantwoordelijkheden 5. Scope 6. Het Monitoring Plan 7. Rapportage en Frequentie 8. Follow-up en action tracking 9. Scorecard en maturity 10. Trends 4 Stellingen 1. Bij ons is de compliance monitoring goed ingericht 2. De compliance officer monitoort wel maar controleert niet 3. Compliance monitoring is saai 4. Monitoring is een taak voor compliance officer en Internal Auditor Monitoren stap 7 in het COSO Framework 9

10 Compliance Risico Framework ING Compliance Levenscyclus Het Waarom van Compliance Monitoring COSO: periodiek testen van de effectiviteit van de controls Wft: Artikel 31C BGFO/21 Bpr Solvency II Quality assurance van de dagelijkse activiteiten van de lijn Zekerheid verschaffen aan het management 1e en 2 e lijns verantwoordelijkheid 10

11 Waarom (2) Business test of risico beheersing werkt Ontwikkelingen bijhouden Profileren t.o.v. andere bedrijven in de sector Medewerkers en management bij de les houden Organisatie blijvend uitdagen, scherp houden Agenda van voortdurende verbetering Controleren en monitoren (1) Controleren Activiteit of proces met als doel de tijdige identificatie en bijstelling van fouten Monitoren Activiteit of proces met als doel de tijdige identificatie en bijstelling van de oorzaak (rootcause) van fouten COSO Guidance on Monitoring September 2007 Monitoring versus Audit Monitoring en Compliance audits volgen logisch na uitvoeren risk assessment Werken de interne control maatregelen? Monitoring faciliteert compliance met interne en externe regelgeving, door: Tijdig signaleren van ongewenst en onwettig gedrag Verzamelen en analyseren van informatie zoals: Incident rapportages (lessons learnt) Trends in klachten van klanten Rapportages van de toezichthouder Meldingen hotline door medewerkers Overschrijding drempelwaarden van belangrijke risico indicatoren Op zoek naar de root cause van een risico 11

12 Compliance Auditing Volgt na identificatie, beoordeling key compliance risico s en en monitoring van de controls. Volgende stap, na monitoring, in het beheersingsproces Onafhankelijk oordeel over compliance met in- en externe regelgeving Steun management voor continue compliance en identificatie van compliance risico s Check op bias of overrulen door operationeel management Aanvulling op interne monitoringssysteem Compliance auditing: Reikwijdte Risico assessments Eisen van toezichthouders Resultaten eerdere compliance audits Zwakke plekken in de organisatie en klachten van klanten Incident rapportages Overname nieuwe organisatie(onderdelen) Introductie nieuwe diensten Majeure Beleidswijzigingen Rapportages internal audit Overall oordeel over de mate van risicobeheersing Per bevinding; a) Risicokwalificatie (H/M/L) b) Aanbeveling c) Management respons d) Deadline Summary 12

13 Elkaar aanvullen: Monitoren en Audit Output van controles = input ten behoeve van monitoring Output van monitoring= input ten behoeve van controles Compliance Monitoring en Compliance Audit Doel Vervolgacties Onderlinge relaties Compliance monitoring Overall inzicht in de beheersing Inhoudelijke ondersteuning bij follow up/voorstellen voor inrichting beleid Audit uitkomsten kunnen mede inzicht geven in beheersing Compliance Audit Assurance omtrent beheersing Uitsluitend voortgangsbewaking en follow up audits Audit beoordeelt tevens functioneren tweede lijn Compliance rapportages zijn input voor Audit. Monitoren door de CO Het op systematische wijze verzamelen van overtuigende informatie over de naleving van (interne) wet- en regelgeving om vast te stellen in hoeverre de organisatie voldoet aan (interne) wet- en regelgeving om over de naleving te rapporteren en adviseren aan het management. 13

14 Wat wil je vaststellen met compliance monitoring Werking van beheersingsmaatregelen; wordt beleid nageleefd Zijn er afdoende maatregelen geformuleerd of is er behoefte aan aanvullende maatregelen/beleid Uitgangspunten monitoring plan Focus op kritische en hoge compliance risico s (inherent en netto) Tijdig identificeren root cause van non-compliance Belangrijke compliance risico mitigeringsactiviteiten Routine business transacties met compliance risico of eisen Implementatie en borging van compliance beleid en borging Compliance met wet- en regelgeving, gedragsregels en business principes Ontwerp variabelen Complexiteit en en schaal van de business Risico profiel en eisen toezichthouder Rollen (wie doet wat), frequentie, infrastructuur en kennis Voor, gedurende of na een business activiteit High level (kritieke risico s) of detail monitoring (minor risks) Waar zitten de key risico s Wat wil de top? 14

15 Variabelen (2) Aantal transacties in een bepaald proces Kosten van monitoring Uitvoeringsaspecten (automatiseren/handmatig) Risico van non-compliance (hoog/laag) Motieven voor medewerkers om niet compliant te werken Wel of geen zelf-monitoring Inhoud monitoring plan 1. Beschrijving relevante compliance verplichtingen en risico s 2. De business processen die daardoor worden geraakt 3. Beschrijving beheersactiviteiten voor de risico s 4. Eerstelijns tracking activiteiten, tweedelijns monitoring (health check) en derdelijns assurance audits 5. Frequentie van tracking en monitoring 6. Ontvangers van tracking en monitoring informatie 7. PTA (persons to act) Onderwerpen voor monitoring Risicoanalyse vormt uitgangspunt, maar.. Voorwetenschap: Privétransacties & transacties onderneming Wwft & CDD, TM: Transacties klanten Prioriteiten toezichthouder Vormgeving: thema/risico/wetgeving 15

16 Onderwerpen: Thematisch Monitoren Consumentenbescherming Financie le verslaglegging/investor relations Marktbescherming Kapitaaleisen Mededinging Privacy Fraude. Interne waarden en integriteit Onderwerpen: Risicogericht Monitoren Mededinging Reputatie Ondernemingsklimaat Operationele risico s Acceptatie/transactie Verwerking Uitkering/betaling/settlement Informatie Productontwikkeling Kosten Fraudegevoeligheid Etc. Onderwerpen: Wet- en regelgevingsgericht Monitoren Wft WwFT SoX Gedragscode Incidentenregeling Klokkenluidersregeling Regeling ongewenst gedrag Nederlande CG Code Statuten en andere reglementen 16

17 Intensiteit en diepgang Continue monitoring (continue monitoring op sancties, voorwetenschap) Periodieke evaluatie (jaarlijkse monitoring van gedragscode). Elke transactie/steekproef/hele/gedeelte van een proces COSO Guidance on Monitoring September 2007 Overtuigende informatie Geschikte informatie: Relevant Betrouwbaar (correct, te verifiëren en afkomstig van een objectieve bron) Tijdig Juiste statistieken Objectieve bron: Self review -> peer review -> supervisory review -> impartial monitoring COSO Guidance on Monitoring September 2007 Input en Informatiebronnen Lijnmanagement Interne controle (afdeling) Internal Audit Risico asssessment en risico profiel Personeelszaken Klachten Prestatie informatie (CDD. WiD, TM etc.) Toezichthouderss correspondentie Etc. 17

18 Compliance Risk Monitoring Rapportage Cyclisch rapporteren en incident gericht rapporteren 1. Kritische incidenten en near misses direct rapporteren 2. Periodieke rapportage van materiele compliance incidenten Non-compliance kernwaarden Overtreden wet- en regelgeving Reputatie schade Sancties toezichthouder Overschrijding drempelwaarden (early warning indicators) Klokkeluiders meldingen Overige near misses Opdracht Compliance Monitoring Bespreek met elkaar wat er in elk geval in een monitoringplan voor jouw organisatie zou moeten zijn opgenomen. Neem in elk geval de punten 1-5 op 1. Beoordeling werking en effectiviteit van de complianceafdeling en organisatie 2. Inzicht ontwikkelingen op het gebied van wet- en regelgeving 3. Inzicht in compliance-incidenten 4. Inzicht in de relatie en contacten met de toezichthouders 5. Inzicht beheersing van de belangrijkste compliancethema s en -risico s. 53 Voorbeeld Compliance Rapportage 18

19 Voorbeeld Compliance Rapportage (2) Monitoring en status rapportage Coso example KRI s 19

20 Voorbeeld: Compliance rapportage lijnen (Aegon) Review en Follow Up Action tracking: 1. vastleggen, 2.mitigeren, 3.actieigenaar en 4.due date Root cause analyse Assurance management Aanpassen risico framework Emerging risks Early warning en drempelwaarden Effectiviteit controls Compliance Scorecard 20

21 Compliance Risk Management: Volwassenheid ) Aandachtspunten en issues Ontwikkelen concrete criteria om de compliance effectiviteit te meten Uitdaging: real-time en pro-actieve monitoring Gebrek aan harde criteria, meetstandaarden en scoping Zo goed als geen base line data Gebrek aan standaard evaluatie en meetmethodes Cultuur en consequenties mbt non-compliance Integratie binnen 3 lines of defence Risico van de tick the box en passiviteit lijn?? Trends en ontwikkelingen Beter kwantificeren en evalueren van controls Effectiviteit en doelmatigheid van monitoring Actuele en single source inventarisatie van wet- en regelgeving Niet alleen fraude en privacy maar ook aandacht voor product en proces compliance risico s Beter benutten van technologie voor monitoring 21

22 Samenvatting en terugblik 22