Compliance risicoanalyse Leergang Compliance Professional 10 januari 2018 dr. mr. ir. Richard Hoff 1
2
3
4
Organisatie - een geheel van mensen en middelen dat bepaalde doelen wenst te bereiken doelen stellen grenzen stellen maatregelen nemen interne beheersing meten en bijsturen 5
klassiek uitgangspunt: Verantwoording 6
Interne controle 7
Wanneer in control? 8
Beheersingskader: structuur - organisatiestructuur: leiding geven, uitvoeren, controleren - beschrijving processen met taken, verantwoordelijkheden en bevoegdheden - processen, procedures en activiteiten t.a.v. informatieverzorging, controle en toezicht - kwaliteitstoetsing en verbetering, voortgangsbewaking - autorisaties, limieten, functiescheiding, 4-ogen etc. - interne verantwoording: managementrapportages rondom processen, risico s en IC - betrouwbare AO: op juiste wijze financiële verantwoording kunnen afleggen, goedkeurende accountantsverklaring 9
Beheersingskader: structuur 10
Beheersingskader: cultuur - interne beheersingscultuur - belang dat organisatieleden hechten aan het behalen van de organisatiedoelen en hun individuele doelen - de mate waarin organisatieleden zich willen en moeten verantwoorden omtrent taakuitoefening - instrumenten in balans - belonen & straffen - rapporteren 11
12
- kader stellen gedrag organisatie - stimuleren ondernemerschap Managementcontrolsysteem (Simons) 13
COSO 14
ERM - risico s bedreigen behalen organisatiedoelen - interne beheersing - een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel - ontworpen om potentiële gebeurtenissen te identificeren en om risico s te beheren - zodat deze binnen de risicoacceptatiegraad vallen - en om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen 15
Typen beheersing - strategische beheersing: (strategic control) - operationele beheersing (operational control) - verantwoordingsbeheersing (reporting control) - normbeheersing (value control) value control als object van beheersing: borgen dat normen worden nageleefd 16
Managementcyclus, COSO risico: accepteren beperken overdragen vermijden 17
ERM en compliance - value control als object van beheersing: borgen dat normen worden nageleefd - compliance integraal onderdeel van ERM - hoe vindt borging plaats? - compliance risk management - risk based benadering verankerd in jurisprudentie en in wetgeving 18
wat wordt er van je verwacht? Ontwikkeling jurisprudentie ijzerdraad Slavenburg pinda drijfmest 19
Wetgeving ontwikkeling Wft voorkomen ambtenarenwet voorkomen UK Bribery Act adequate procedures in overtreding als er geen bedrijfsvoering is ingericht die onoorbare gedragingen voorkomt: integere bedrijfsvoering 20
Risico 1. wat is de kans op een bepaalde gebeurtenis 2. als het gebeurt: hoe erg is dat (impact) 3. waar kan het fout gaan: kwetsbaarheden 21
22
23
24
Bruto/ netto risico kans risico beheersing risico: accepteren beperken overdragen vermijden impact restrisico 25
wetgever: Risico s en beheersing 26
SIRA - het begint bij de risico s 27
ISO 19600 28
kans Periodiek proces impact 29
Integrity Risk Appetite - financiële instellingen hebben moeite hun integrity risk appetite te expliciteren en te laten functioneren reikwijdte management: vaststellen, uitdragen, monitoren inbedding 30
Betrokkenheid - eerste lijn - primaire, secundaire, tertiaire processen - tweede lijn - risk, compliance - derde lijn - IAD - vierde lijn - raad van commissarissen - vijfde lijn - externe accountant - externe toezichthouder 31
Welke risico s onder aandacht? sector banken zorg vastgoed defensie-industrie farmaceutische industrie universiteit handel/ export voorbeelden integriteitsrisico s witwassen, financieren terrorisme patiëntveiligheid, inkoop- en declaratiefraude belangenverstrengeling, fraude proliferatie goederen en kennis, corruptie productveiligheid, ongeoorloofde reclame onafhankelijkheid, proliferatie nationale en internationale sancties scenario s voor de organisatie: hoe kan risico zich voltrekken hoe groot is de kans daarop wat is de impact daarvan let op: specifieke wetgeving met voorgeschreven beheersing omdat risico te hoog is 32
Voorbeelden integriteitrisico s in de financiële sector 1. witwassen 2. terrorismefinanciering 3. proliferatiefinanciering 4. schending sanctieregelgeving 5. fraude 6. (fiscaal) onoirbare handelingen 7. corruptie, omkoping 8. belangenverstrengeling 9. maatschappelijk onbetamelijk gedrag factoren: klanten producten landen omgeving scenario s: hoe kan instelling betrokken raken hoe groot is de kans wat is de impact 33
Een aantal risico s, maatregelen - witwassen - terrorismefinanciering - overtreding sanctieregels - fraude - belangenverstrengeling - belastingontduiking - oneerlijke verkooppraktijken - - cliëntenonderzoek - screening transacties - integriteitbeleid vastgoed - opleiding medewerkers - screening van medewerkers - beoordelen nevenfuncties - beheersmaatregelen in wet- en regelgeving risk-based 34
Casus Investeringsmaatschappij Traan 35
Risico s en toezicht risk drivers: - externe omgeving - bedrijfsmodel & strategie - gedrag, cultuur & governance - infrastructuur & IT prudentiële en integriteitrisico s 36
samenhang in wetgeving: Integriteit - risico & beheersing 1 bedreiging tweeledig: niet naleven normen gebruikt worden 2 zwakke plekken: personen organisatie relatie positie 3 gevolgen: reputatieschade financiële schade juridische perikelen beheersing op 4 typen integriteit 37
Integriteit en preventie integere bedrijfsvoering richt zich op beheersing integriteitsrisico s integriteit geen kwestie van goede wil: omdat het hoort, moet en loont integriteit geen kwestie van goede wil: je moet het doen (vereist beleid, procedures en maatregelen) 4 persoonlijke integriteit organisatorische integriteit relationele integriteit marktintegriteit 38
4 typen integriteit - persoonlijke integriteit - organisatorische integriteit - relationele integriteit - marktintegriteit 39
risicofactoren: Waar zitten kwetsbaarheden? toegang tot informatie toegang tot geld relaties governance op afstand inkoop controle en handhaving druk van burgers/ klanten 40
Maatregelen voorbeelden persoonlijke integriteit screening training & bewustwording organisatorische integriteit oversight & compliance functie procedures, monitoring & handhaving relationele integriteit due diligence 41
Afgeleid integriteitrisico 42
afgeleid integriteitrisico: Voorbeelden - trade finance/ export controls - zakelijk vastgoed 43
Risicoanalyse Raad van Bestuur? 44