LCP module 5 / Monitoring

Transcriptie

1 LCP module 5 / Monitoring Rafael Fructuoso van der Veen MBA EMIA RO CCP

2 Programma Opening update CRA Monitoring Monitoringstechnieken

3 Kort voorstellen Rafael Fructuoso van der Veen MBA EMIA RO CCP 43 jaar, Getrouwd, 3 kinderen Bedrijfseconomie

4 Update CRA

5 Stelling Compliance is het feestje van de afdeling Compliance

6 Stelling Dankzij lijnmanagement is de organisatie Compliant

7 Wie zijn betrokkenen bij Compliant zijn Compliant (risk) management Wat zijn de belangen? Tone at the Top is key

8 Compliance proces wat is de reikwijdte? Wet en regelgeving? Risk management / Juridische zaken? gedegen Compliance risicoanalyse (identificatie en kwalificatie) Doorvertaling van de risicoanalyse (SIRA) naar monitoring Verbetering / actiemanagement

9 Onderdelen Compliance risicoanalyse Kwantificeren van de compliance risico s Kans x Impact Risk appetite Beheermaatregelen Beoordeling beheersing (effectiviteit van de beheersingsmaatregelen) monitoring Aanpassing CRA / aanpassen proces

10 Compliance risicoanalyse

11 Monitoring

12 Monitoring Risicomanagement Monitoring

13 Stelling Wij hebben compliance monitoring goed ingericht.

14 Stelling De compliance officer staat buiten de managementcyclus

15 Stelling Monitoring wordt zowel door de Compliance Officer als door de Internal Auditor uitgevoerd

16 Compliancecyclus Regels handhaven Vaststellen reikwijdte Regels monitoren Uitvoeren risicoanalyse Regels uitleggen Regels maken

17 Monitoring doel, aanpak, wat heb je nodig, resultaten, hard/soft controls, rapportages etc.

18 Monitoren Monitoren (volgens de Van Dale): Controleren Toezicht houden op

19 Waarom monitoren? COSO Handhaving artikel 31c bgfo / 21 Bpr

20 Controleren en monitoren (1) Controleren Activiteit of proces met als doel de tijdige identificatie en bijstelling van fouten Monitoren Activiteit of proces met als doel de tijdige identificatie en bijstelling van de oorzaak van fouten COSO Guidance on Monitoring September 2007

21 Controleren en monitoren (2) Output van controles of audits = input ten behoeve van monitoring Output van monitoring= input ten behoeve van controles en audits Scan van de actuele situatie (onderdeel van de methodologie)

22 Internal Auditing Internal Auditing (IIA 2000) is an independent, objective assurance and consultin activity designed to add value and improve an organization s operations. It helps an organization accomplish its objectives by bringing a systematic disciplined approach to evaluate and improve the effectiveness of risk management, control and governance processes.

23 Activiteiten Internal Audit Audit charter Jaarlijks risicoanalyse als input voor het auditplan Auditplan Audit rapporten Periodieke rapportages voor het Audit Comité/Raad van Bestuur Follow up audits

24 Rapportages internal audit Overall oordeel over de mate van risicobeheersing Per bevinding; a) Risicokwalificatie (H/M/L) b) Aanbeveling c) Management respons d) Deadline Summary

25 Compliance Monitoring en Compliance Audit Doel Vervolgacties Onderlinge relaties Compliance monitoring Overall inzicht in de beheersing Inhoudelijke ondersteuning bij follow up/voorstellen voor inrichting beleid Audit uitkomsten kunnen mede inzicht geven in beheersing Compliance Audit Assurance omtrent beheersing Uitsluitend voortgangsbewaking en follow up audits Audit beoordeelt tevens functioneren tweede lijn Compliance rapportages zijn input voor Audit.

26 Monitoren door de CO Het op systematische wijze verzamelen van overtuigende informatie over de naleving van (interne) wet- en regelgeving om vast te stellen in hoeverre de organisatie voldoet aan (interne) wet- en regelgeving om over de naleving te rapporteren en adviseren aan het management.

27 Monitoren door de CO

28 Wat wil je vaststellen met compliance monitoring Werking van beheersingsmaatregelen; wordt wet en regelgeving nageleefd Zijn er afdoende maatregelen geformuleerd of is er behoefte aan aanvullende maatregelen/beleid

29 Wat monitoor je? Risicoanalyse vormt uitgangspunt, maar.. Voorwetenschap: Privétransacties & transacties onderneming Wwft & CDD: Transacties klanten Prioriteiten toezichthouder

30 Overtuigende informatie Geschikte informatie: Relevant Betrouwbaar (correct, te verifiëren en afkomstig van een objectieve bron) Tijdig COSO Guidance on Monitoring September 2007

31 Informatiebronnen Lijnmanagement Interne controle (afdeling) Internal Audit Risicomanagement Personeelszaken etc. Belangrijk bronnen triangulatie en methodentriangulatie

32 Intensiteit monitoren Continue monitoring (continue monitoring op sancties, voorwetenschap) Periodieke evaluatie (jaarlijkse monitoring van gedragscode) COSO Guidance on Monitoring September 2007

33 Uitgangspunten Monitoringsplan Wet- en regelgeving Risicogebaseerd Processen Controle uitkomsten Thema s Actualiteiten Prioriteiten toezichthouder Incident gedreven Of: een combinatie van de hierboven beschreven uitgangspunten

34 Opdracht Welke onderwerpen kun je terug zien op het MP?

35 Voorbeelden indelingen / onderwerpen Organisatie-integriteit Medewerkersintegriteit Klant-ketenintegriteit Data-integriteit Gedragstoezicht Prudentieel toezicht Bazel, Solvency, FTK Namiddag: Vaststellen monitoringsplan o.b.v. een risicoanalyse

36 Monitoring Methodologisch verantwoord Start is de risicoanalyse (SIRA)

37 Opdracht Waarom monitoren aan de hand van een model?

38 Waarom een model? Het dwingt om kennis en opvattingen van tevoren te expliciteren Het vormt het interpretatiekader voor de resultaten die worden verkregen Het maakt een zinvolle selectie mogelijk en is een leidraad bij het kiezen van relevante aspecten uit de complexe werkelijkheid Het biedt de mogelijkheid verantwoording af te leggen over de inhoudelijke benadering Het voorkomt miscommunicatie tussen CO, opdrachtgever, en audittee Het voorkomt miscommunicatie tussen de leden van het auditteam Het is de basis voor de adviesfunctie van de auditor...

39 Waarom een model? Berperking van een model: Het model vormt de basis om te onderzoeken en te komen tot een beoordeling, maar vormt tegelijkertijd een stel mentale oogkleppen. Zolang die beperking echter duidelijk is voor zowel de onderzoeker als de opdrachtgever en diegenen die object van onderzoek zijn, is er weinig aan de hand. Jonker (1990)

40 Opdracht Welke competenties heeft de compliance officer nodig voor monitoring?

41 Enkele competenties Onafhankelijkheid Methodologisch werken en verantwoorden Kennis van hard en soft controls Luisteren Ontsluiten van informatie Analyseren Overtuigen Communicatief vaardig Stijlflexibiliteit Adviseur Klantgerichtheid Moderator etc

42 Monitoring PvA Waar sta je praktisch bij stil bij het opstellen van het PvA? Analyse actuele situatie

43 Monitoring PvA Aanleiding (context) Scope (is gelijk de afbakening) Doelstelling (wat wil de opdrachtgever bereiken?) Onderzoeksmethodiek / Onderzoeksvragen Normering (vooraf) Onderzoeksperiode / onderzoekers Afstemming Hiernaast: logboek tbv verantwoordingsdocument

44 Monitoring: toetsing werking BM Risiso X beheermaatregel 1 toetsvraag a toetsvraag b toetsvraag c beheermaatregel 2 toetsvraag m toetsvraag n beheermaatregel 3 toetsvraag x toetsvraag y toetsvraag z

45 Monitoringstechnieken

46 Monitoringstechnieken Vergroten betrouwbaarheid: - Gebruik diverse methoden en databronnen (triangulatie) - Meerdere casussen - Noteer observaties zo snel mogelijk

47 Monitoringstechnieken - Werk zo mogelijk met verschillende onderzoekers, train deze tevoren op gemeenschappelijke betekenisverlening - Leg interpretaties voor aan lokale informanten (hwh) - Vergelijk met wat anderen hebben gevonden en laat je werk door anderen beoordelen.

48 Monitoringstechnieken

49 Monitoringstechnieken Documentanalyse (beleid / proces / werkinstructies) Walkthrough Interview Enquête Deelwaarneming / steekproef Gedragsobservatie Voor iedere techniek geldt: koppeling met de risicoanalyse Keuze methode: afhankelijk van het doel

50 Documentanalyse De insteek van deze methodologie is gericht op oordeelsvorming over de wijze waarop het proces/beleid theoretisch is ingericht. Er wordt een uitspraak gedaan over de inrichting / opzet. Beheer en inhoud Wanneer je bevindingen op de opzet hebt, is het zinloos door te toetsen naar bestaan en werking.

51 Opdracht Hoe pak je een bestandsanalyse aan?

52 Bestandsanalyse Rekening houden met: - baken het proces af dat je aan het beoordelen bent. - verzamel de stukken die je voor je beoordeling nodig hebt en archiveer ze ter onderbouwing van je controle. - maak een koppeling tussen de inrichting, de meest actuele IRA en de actualiteit van wet en regelgeving.

53 Walkthrough De insteek van deze methodologie is gericht op oordeelsvorming over de wijze waarop het beschrevene overeenkomt met de praktijk. Het gaat over toetsing op het bestaan.

54 Opdracht Hoe pak je een walkthrough aan?

55 Walkthrough Rekening houden met: - Intern proces of afdeling overstijgend; - Te toetsen documentatie; procesbeschrijvingen, beleidsstukken en werkinstructies) - Procesverantwoordelijkheid: stel vast wie verantwoordelijk is voor de correcte uitvoer van het proces. medewerkers gelijk is.

56 Ondervraging Dit betreft de registratie van percepties, meningen, gevoelens, motivaties en houdingen ( het wereldbeeld van de onderzochte ) - Interviews: geringe mate van voorstructurering en open wijze van vragenstelling - Enquêtes: hoge mate van voorstructurering, gesloten vragen

57 Ondervraging Functies van vragen: - Metende functie: over welke informatie beschikt de respondent - Motiverende functie: is de respondent bereid de informatie te verstrekken? Let op: motiverende functie mag metende functie (de inhoud) niet beïnvloeden. Let ook op verbaal / non verbaal (bijv. congruent aan elkaar)

58 Interview Interview toetsing is een intensieve onderzoeksmethode. In sommige onderzoeken naar werking kan het handig zijn om te starten met een aantal interviews om vraagstelling in bijvoorbeeld dossiercontroles scherper te krijgen. Betreft bestaan en werking. Interviews zijn met name geschikt wanneer de vraagstelling open is en de verwachte respons divers. Risico: eigen interpretatie maar ook sociaal gewenste antwoorden

59 Opdracht Hoe pak je een interview aan?

60 Interview Rekening houden met: - Keuze onderzoek: het is voor de vraagstelling van belang om vast te leggen welk doel je met het onderzoek hebt. - Beschrijving onderzoekspopulatie: Beschrijf de onderzoekspopulatie om vast te kunnen stellen of het een relatief homogene populatie betreft, of dat mogelijk de populatie opgedeeld moet worden in deelpopulaties (bijvoorbeeld het interviewen van leidinggevenden en medewerkers of juist van bepaalde afdelingen.)

61 Interview - Omvang totale populatie: hoeveel en wie te interviewen. - Hoe geselecteerd en waarom

62 Interview Voordelen: feitelijk kun je nog bijstellen tijdens het interview, er is flexibiliteit om aan te sluiten bij het referentiekader van de interviewee Nadeel: het stelt hogere eisen aan de vaardigheden van de interviewer

63 Enquête Een systematische ondervraging van personen op een groot aantal punten met als doel conclusies te generaliseren naar een populatie. Het betreft meer breedte dan diepte itt het interview - Kwantitatieve gegevens en analyse - Een gesloten waarneming op afstand - De compliance context moet meer bekend zijn

64 Opdracht Hoe pak je een enquête aan?

65 Enquête Goed vooraf nadenken over juist ontwerp enquête vragen. Eénmaal uitgestuurd, is de enquête niet meer corrigeerbaar. Het kan daarom ook verstandig zijn om de enquête eerst bij een zeer beperkt aantal mensen te testen. Ja / nee of meerpuntenschaal

66 Enquête Houd rekening met de volgende aspecten: - Vraagstelling dient duidelijk en voor één uitleg vatbaar te zijn - Vraagstelling dient niet suggestief te zijn - Voorkom vragen die irritatie kunnen opleveren of pijnlijk zijn - Gebruik alleen open vragen wanneer onzekerheid over de antwoordmogelijkheden bestaat - Antwoord categorieën moeten logisch op de vraag volgen en in geval van een schaal logisch opeenvolgend zijn

67 Enquête - Beschrijving onderzoekspopulatie. - Vaststellen klassen: Ook wanneer je ervoor kiest de enquête naar de gehele onderzoekspopulatie te sturen, kan het handig zijn de populatie op te delen in deelpopulaties, om zo in de concludering verschillen tussen deelpopulaties te kunnen onderkennen. - Selectiewijze: Wordt de enquête aan de gehele populatie verzonden of aan een gedeelte?

68 Enquête - Hoe wordt respons gemonitord?; door respons te monitoren kun je actief herkennen dat de respons tegenvalt en daarop actie ondernemen. - Hoe worden naar aanleiding van respons monitoring reminders ingezet?; vaak valt respons in geval van een enquête in eerste instantie tegen. Eén of meerdere reminders kan de respons vaak positief verhogen. - Keuze voor vraagstelling; kies voor een open, gesloten of schaalvraagstelling.

69 Deelwaarneming / steekproef Toetsing op werking Vaste norm Kwantitatieve insteek; in mindere mate eigen interpretatie Veelal formeel en soms materieel beoordelen

70 Deelwaarneming / steekproef Wat is het verschil? Deelwaarneming: Risicogericht onderzoek zonder generalisatie intentie naar populatie - generalisatie is niet mogelijk op basis van een deelwaarneming. Steekproef: Statistisch verantwoord onderzoek tbv uitspraak over populatie - generalisatie naar populatie is mogelijk op basis van een steekproef. datamining

71

72 Deelwaarneming In de meeste gevallen kan op basis van een deelwaarneming met redelijke zekerheid (zij het niet statistisch verantwoord) verkregen worden over de kwaliteit van de beheersing van het risico. In bepaalde gevallen zijn uitkomsten dermate diffuus, dat een aanvullende deelwaarneming noodzakelijk is. Of anders onderzoeksresultaten niet meenemen?

73 Opdracht Hoe pak je de deelwaarneming aan?

74 Deelwaarneming Rekening houden met: - Ook hier teruggrijpen op risicoanalyse en PvA - Keuze voor het type onderzoek - Beschrijving onderzoekspopulatie - Omvang populatie versus omvang steekproef/deelwaarneming

75 Deelwaarneming doel voor ogen: kun je op basis van de deelwaarneming een uitspraak doen over de actuele beheersing van het compliance risico? Soms kun je met minder dossiers volstaan, en soms heb je er meer nodig. Maak zorgvuldig je eigen afweging en leg dit vast.

76 Deelwaarneming Stoppen met toetsen indien eerste uitkomsten negatief beeld geven? - Selectiewijze: aselect onderzoek (willekeurige dossierselectie) of een select onderzoek (risicogerichte dossierselectie). Dit voorzien van argumentatie (waarom wat; welke hoeveelheden etc). Ook hier teruggrijpen op risicoanalyse en PvA

77 Deelwaarneming - Over welke periode kies je je deelwaarneming?

78 Deelwaarneming - Verschillende toetsvragen: standaard, kritisch, zero tolerance.

79 Deelwaarneming - Steunen op audits / controles?

80 Stelling Softcontrols kun je meten

81 Gedragsobservatie

82 Gedragsobservatie Observeren: dit betreft vooral ook werking - Als het gaat om gedrag of processen zelf van individuen of kleine groepen / cultuur - Gestructureerd met geclassificeerd observatieschema en ongestructureerd - Positie / rol van de onderzoeker

83 Gedragsobservatie Observeren: - Juist bij soft controls; - Communicerende vaten - Observatie zodra het proces start - Observatie tijdens het proces - Observatie bij management respons

84 Vragen?