Navigeren met compliance Ron van Loon
Navigeren met compliance Ofwel: Nieuwe wielen uitvinden met GRC Rotterdam, 22 juni 2010
Even voorstellen Ron van Loon 46 jaar Economie, accountancy Organisatie-adviseur en Trainer Compliance, Risk management en AO Docent bij o.a.: Universiteit van Amsterdam Universiteit van Maastricht Universiteit Utrecht
Het motto: Hetzelfde maar dan anders Met GRC zijn we vooral bezig om nieuwe wielen uit te vinden … Dit is trouwens iets anders het wiel opnieuw uitvinden
Agenda Een korte geschiedenis van Compliance Compliance, risk en audit, het blijft wennen aan elkaar De uitvinding van GRC GRC-pakketten, de heruitvinding van Easyflow?
Control missers m.b.t. Compliance Barings bank ABNAMRO Bank Worldcom Allied Irish Bank Ahold Societe Generale Enron Parmalat Shell Rabo
Voorbeelden van compliance missers Gevoelige tik voor LegioLease (update) Aandelenleasers hoeven een deel van hun restschuld aan LegioLease niet terug te betalen. Dat heeft de Klachtencommissie DSI donderdag bekendgemaakt. “ABN Amro also admits that its officers falsified documents connected to billions of dollars in transactions with Iran and Libya, which are the target of U.S. sanctions. Last week, ABN Amro entered into a settlement with U.S. and Dutch regulators calling for $80 million in fines addressing both the failure to report suspicious transactions and the illegal business with Iran and Libya” (Wall Street Journal).
Wikipedia zegt... Compliance is een term die de afgelopen jaren met name in het bank- en verzekeringswezen wordt gebezigd en in de (van De Nederlandsche Bank afkomstige) Regeling organisatie en beheersing (Rob) wordt gedefinieerd als de naleving van wet- en regelgeving, alsmede het werken volgens de normen en regels die een instelling zelf heeft opgesteld
Compliance kan gedefinieerd worden.. Heel breed Compliance with laws and regulations (bv. COSO) Dus ook ARBOwet, Bouwbesluit, Warenwet, ...... Verschil met Juridische Zaken? Smaller Gerelateerd aan besturing en financiële regelgeving SOx, Tabaksblat, IFRS, ... Specifiek Financiële sector: Wetgeving gericht op financiële integriteit
Compliance m.b.t. financiële integriteit Naar klanten Klantenacceptatie / Client Due Dilligence, KYC Privacy Naar produkten Zorgplicht Transparantie Naar personeel Effectentransacties Integriteit Naar werkwijze Dossieropbouw Volgen van procedures en voorschriften
Het compliance-proces Norm-extractie Norm- Risico- Toetsing vertaling afdekking Wet- en regelgeving Interne regels artikel voorschrift Norm 2 Norm 1 Produkt W Procedure Y Systeem X Op. audit Medewerker Z Produkt audit Examen
De explosie van compliance officers Oorzaak 1 Explosie van wetgeving Oorzaak 2 Incidenten, conflicten met de toezichthouder Het resultaat: Toename van Compliance-afdelingen van soms 1000% Overkill?
De rol van de compliance officer Van partttimer ….. Naar (meerdere) full timers Van effectenchecker….. Naar mede- beleidsbepaler Van veilige, administratieve funktie….. Naar Kop van Jut?
De organisatorische positie Onder RvB / directie? Gelaagd stelsel van CO’s Stafafdeling met directe bevoegdheden tot uitschrijven van regels Relaties met: HR-funktie Juridische Zaken Inrichtende afdelingen: AO, IT, … Audit!
De CO: Externe en interne druk Externe druk Veelheid aan wetgeving Forse toename in hoeveelheid toezicht Steeds meer “Telegraaf-effect” Interne druk Afschuifmentaliteit van management “Laat de Compliance Officer het maar afschieten als het niet goed is” Squeeze tussen grote verantwoordelijkheid en (soms) beperkte bevoegdheid Is het wel leuk om CO te zijn?
Voor ieder probleem een nieuw committee Opkomst van het Compliance Committee Op niveau directie Verschil met audit committee? Is er een principieel bezwaar tegen integratie? Audit (risk- ) en compliance committee
Iedereen zijn eigen charter Audit charter Risk charter Compliance charter Noodzaak tot formele vastlegging positie, bevoegdheden, verantwoordelijkheden Overdreven juridisering?
Compliance is een nieuw wiel Verschil met Legal afdeling? Compliance begint normaal te worden in andere sectoren Industrie, telecom Gezondheidszorg Goede taakafbakening met Legal essentieel
“10 jaar compliance” 1995 Wet Toezicht Effectenverkeer 1999 Nadere regeling toezicht effectenverkeer Compliance in de financiële sector begint volwassen te worden Krimp: Van kwantiteit naar kwaliteit De weg omhoog is gevonden Compliance committee Rechtstreekse lijn naar CEO en/of commissaris
De issues in compliance anno 2010 De risico-reflex regel beheersen Nog meer regels? Hoe succesvol is principle based eigenlijk? Creative compliance Hoe tegengaan? De scope van Compliance: Puur regelgeving of Compliance plus? De plus staat voor soft compliance, normen en waarden, ethiek, …… GRC lijkt niet op de agenda te staan
Agenda Een korte geschiedenis van Compliance Compliance, risk en audit: Het blijft wennen aan elkaar De uitvinding van GRC GRC-pakketten, de heruitvinding van Easyflow?
Een leger auditors .... Operatio nal Belasting ISO 9000 ARBO Mgt. Control ARBO Financial DNB- eisen Verzek. kamer Milieu- audit Belasting Operatio nal 3
De 4 Lines of Defense 4. External audit / toezichthouders 3. Internal audit 2. Staven Risk management, Compliance) 1. Lijnmanagement
Kan Audit wel toetsen op compliance? Logische taak? Ja, operational audit toetst de kwaliteit van beheersing” Deel van compliance direct gerelateerd aan jaarrekening Solvabiliteitseisen, voldoen aan eisen financiële verslaggeving Wat is additioneel? Additionele wetgeving, bv: SHE (Safety Health Environment) WFT
Kenmerken van het Compliance-risico Is (nog veel meer dan andere risico’s) altijd latent aanwezig Kan bij ontdekking enorme omvang hebben aangenomen Potentiële schade is onbeperkt Continuïteit van de onderneming, license to operate Wordt soms met terugwerkende kracht een risico! Door wijziging in normen, waarden en wat maatschappelijk acceptabel wordt gevonden
Specifieke kenmerken van compliance auditing Noodzaak tot gedetailleerde kennis geldende wetgeving Afbreukrisico = groot Toezicht, sanctiemogelijkheden, publiciteit Controletolerantie = 0? Als bij een controle door de toezichthouder één dossier wordt gevonden dat niet compliant is dan is men dus niet compliant (de wet van slootwater) Theoretisch en praktisch onmogelijk
Integratie van compliance in audits Organisatorisch: Gespecialiseerde medewerkers in auditafdeling “Trekkingsrechten” op interne of externe specialisten door Audit Werkwijze: Specifieke compliance audits Integratie in IEDERE audit als standaard onderdeel
Agenda Een korte geschiedenis van Compliance Compliance, risk en audit, het blijft wennen aan elkaar De uitvinding van GRC GRC-pakketten, de heruitvinding van Easyflow?
Het silodenken in de 2e en 3e lijn Stelling “Sommige organisaties maken er een hobby van om voor ieder aspect een aparte afdeling op te richten Geen wonder dat er nog steeds een fragmentarische benadering is van alle aspecten van control”
Het perfecte silodenken Controller Information security officer Afdeling Veiligheidszaken Risk management Compliance officer Afdeling AO / proces management Afdeling Interne Controle Afdeling Internal Audit Juridische zaken ………………………….
Het begrip afdeling Een afdeling leidt tot een deling van Personen Taken, bevoegdheden, verantwoordelijkheden Focus van leidinggevenden Een afdeling leidt tot een toename van Noodzaak tot meer interne informatie Noodzaak tot interne coördinatie Noodzaak tot meer communicatie met de eerste LoD Duur en complexiteit van besluitvorming en feedbackmechanismen
De mate waarin de functies zijn samengevoegd Allereerst is het van belang om te zeggen dat we met drie-eenheid niet bedoelen dat de functies persé moeten worden samengevoegd. Maar deze slide maakt duidelijk dat daarvan in de praktijk nauwelijks sprake was bij al die klanten waar we langsgingen. Bron: onderzoek Auditmatch
De mate waarin men synergie ervaart tussen de functies Volledig Aanzienlijk Nauwelijks Geen N.v.t. Audit en Compliance 0% 54% 34% 4% 8% Audit en Risk 13% 25% Compliance en Risk 59% 29% Het is positief om te zien dat vrijwel 2/3e tenminste aanzienlijke synergie ervaart (bij audit/risk en compliance/risk). Bij audit en compliance is het net iets meer dan de helft van de ondervraagden. Anderzijds kun je zeggen dat vrijwel 1/3e van de ondervraagden nog nauwelijks tot geen synergie ervaart. Overigens lijkt het goed dat er geen volledige synergie wordt ervaren, want er moet altijd sprake zijn van een natuurlijke spanning (elkaar scherp houden!). Iemand in de zaal die iets wil zeggen over synergie tussen functies Audit en Risk? Iets waar je trots op bent? Bron: onderzoek Auditmatch
Governance, risk en control compliance Het lijkt zo logisch Integraal denken Co-ordinatie naar de eerste LoD Eenduidig, geen dubbelingen, beperking tijd Maar is het meer dan alleen een efficiency-actie?
Agenda Een korte geschiedenis van Compliance Compliance, risk en audit, het blijft wennen aan elkaar De uitvinding van GRC GRC-pakketten, de heruitvinding van Easyflow?
Gaan we weer procedures krassen? Jaren 80 Beschrijven van de AO Easyflow, SDW-AO Jaren 90 Kwaliteitshandboeken ISO 9000 2000 Protocollisering Specifieke branche-normen
Wat moet een GRC-pakket meer kunnen? Norm-extractie Norm- Risico- Toetsing vertaling afdekking Wet- en regelgeving Interne regels artikel voorschrift Norm 2 Norm 1 Produkt W Procedure Y Systeem X Op. audit Medewerker Z Produkt audit Examen
Wat moet een GRC-pakket meer kunnen? Integrale ondersteuning Van wet tot auditrapport Externe voeding met regels Automatische impactanalyse, van wet naar produkt, procedure, systeem en medewerker Van organisatie naar auditplan Van auditplan naar auditdossier
Zal IT de hefboom zijn om afdelingen samen te laten werken? Introductie van één gezamenlijke tool dwingt tot samenwerking Stroomlijnen definitie van processen, produkten tussen 2e LoD afdelingen en tussen 2e en 3e LoD Zoveel mogelijk gebruik maken van ready-mades in plaats van eigen wielen…
Afsluitende stellingen Er is niets mis mee om een wiel opnieuw uit te vinden, als het dan ook maar een beter wiel is
Afsluitende stellingen GRC is niets nieuws, maar hopelijk leidt het tot het einde van het Silo-denken tussen de betrokken afdelingen
Afsluitende stellingen Ook voor GRC-pakketten geldt: “Been there Seen this Done that Got the T-shirt..” Tenzij ze echt integratie ondersteunen van externe regelgeving, interne processen en audits
Dank u voor uw aandacht