navigeren met compliance ron van loon. navigeren met compliance ofwel: nieuwe wielen uitvinden met...

Navigeren met compliance Ron van Loon

Navigeren met compliance

Ofwel:

Nieuwe wielen uitvinden met GRC

Rotterdam, 22 juni 2010

Even voorstellen

• Ron van Loon• 46 jaar• Economie, accountancy

• Organisatie-adviseur en Trainer Compliance, Risk management en AO

• Docent bij o.a.:– Universiteit van Amsterdam– Universiteit van Maastricht– Universiteit Utrecht

Het motto: Hetzelfde maar dan anders

• Met GRC zijn we vooral bezig om nieuwe wielen uit te vinden

• … Dit is trouwens iets anders het wiel opnieuw uitvinden

Agenda

Een korte geschiedenis van Compliance

• Compliance, risk en audit, het blijft wennen aan elkaar

• De uitvinding van GRC

• GRC-pakketten, de heruitvinding van Easyflow?

Control missers m.b.t. Compliance

Barings bank

ABNAMRO

Bank

WorldcomAllied Irish Bank

Ahold

Societe Generale EnronParmalat

ShellRabo

Voorbeelden van compliance missers

Gevoelige tik voor LegioLease (update) Aandelenleasers hoeven een deel van hun restschuld aan

LegioLease niet terug te betalen. Dat heeft de Klachtencommissie DSI donderdag bekendgemaakt.

“ABN Amro also admits that its officers falsified documents connected to billions of dollars in

transactions with Iran and Libya, which are the target of U.S. sanctions. Last week, ABN Amro entered into a

settlement with U.S. and Dutch regulators calling for $80 million in fines addressing both the failure to report

suspicious transactions and the illegal business with Iran and Libya” (Wall Street Journal).

Wikipedia zegt...

• Compliance is een term die de afgelopen jaren met name in het bank- en verzekeringswezen wordt gebezigd en in de (van De Nederlandsche Bank afkomstige) Regeling organisatie en beheersing (Rob) wordt gedefinieerd als de naleving van wet- en regelgeving, alsmede het werken volgens de normen en regels die een instelling zelf heeft opgesteld

Compliance kan gedefinieerd worden..

• Heel breed

– Compliance with laws and regulations (bv. COSO)

– Dus ook ARBOwet, Bouwbesluit, Warenwet, ......

– Verschil met Juridische Zaken?

• Smaller

– Gerelateerd aan besturing en financiële regelgeving

– SOx, Tabaksblat, IFRS, ...

• Specifiek

– Financiële sector: Wetgeving gericht op financiële integriteit

Compliance m.b.t. financiële integriteit

• Naar klanten– Klantenacceptatie / Client Due Dilligence, KYC– Privacy

• Naar produkten– Zorgplicht– Transparantie

• Naar personeel– Effectentransacties– Integriteit

• Naar werkwijze– Dossieropbouw– Volgen van procedures en voorschriften

Het compliance-proces

Norm-extractie Norm- Risico- Toetsing

vertaling afdekking

Wet- en regelgeving

Interne regels

artikel

artikel

voorschrift

Norm 2

Norm 1

Produkt W

Procedure Y

Systeem X

Op. audit

Medewerker Z

Produkt audit

Examen

De explosie van compliance officers

• Oorzaak 1

– Explosie van wetgeving

• Oorzaak 2

– Incidenten, conflicten met de toezichthouder

• Het resultaat:

– Toename van Compliance-afdelingen van soms 1000%

– Overkill?

De rol van de compliance officer

• Van partttimer …..

– Naar (meerdere) full timers

• Van effectenchecker…..

– Naar mede-beleidsbepaler

• Van veilige, administratieve funktie…..

– Naar Kop van Jut?

De organisatorische positie

• Onder RvB / directie?

• Gelaagd stelsel van CO’s

• Stafafdeling met directe bevoegdheden tot uitschrijven van regels

• Relaties met:

– HR-funktie

– Juridische Zaken

– Inrichtende afdelingen: AO, IT, …

– Audit!

De CO: Externe en interne druk

• Externe druk

– Veelheid aan wetgeving

– Forse toename in hoeveelheid toezicht

– Steeds meer “Telegraaf-effect”

• Interne druk

– Afschuifmentaliteit van management• “Laat de Compliance Officer het maar afschieten als

het niet goed is”

– Squeeze tussen grote verantwoordelijkheid en (soms) beperkte bevoegdheid

Is het wel leuk om CO te zijn?

Voor ieder probleem een nieuw committee

• Opkomst van het Compliance Committee

• Op niveau directie

• Verschil met audit committee?

• Is er een principieel bezwaar tegen integratie?

– Audit (risk- ) en compliance committee

Iedereen zijn eigen charter

• Audit charter

• Risk charter

• Compliance charter

• Noodzaak tot formele vastlegging positie, bevoegdheden, verantwoordelijkheden

• Overdreven juridisering?

Compliance is een nieuw wiel

• Verschil met Legal afdeling?

• Compliance begint normaal te worden in andere sectoren

– Industrie, telecom

– Gezondheidszorg

– Goede taakafbakening met Legal essentieel

“10 jaar compliance”

• 1995 Wet Toezicht Effectenverkeer

• 1999 Nadere regeling toezicht effectenverkeer

• Compliance in de financiële sector begint volwassen te worden

• Krimp: Van kwantiteit naar kwaliteit

• De weg omhoog is gevonden

– Compliance committee

– Rechtstreekse lijn naar CEO en/of commissaris

De issues in compliance anno 2010

• De risico-reflex regel beheersen

– Nog meer regels?

– Hoe succesvol is principle based eigenlijk?

• Creative compliance

– Hoe tegengaan?

• De scope van Compliance:

– Puur regelgeving of Compliance plus?• De plus staat voor soft compliance,

normen en waarden, ethiek, ……

• GRC lijkt niet op de agenda te staan

Agenda

• Een korte geschiedenis van Compliance

Compliance, risk en audit: Het blijft wennen aan elkaar



ISO 9000

Mgt. Control

ARBO

Financial

DNB-eisen

Verzek.kamer

Milieu-audit

Belasting

Operatio nal

Een leger auditors ....Een leger auditors ....

De 4 Lines of Defense

1. Lijnmanagement

4. External audit / toezichthouders

3. Internal audit

2. Staven Risk management, Compliance)

Kan Audit wel toetsen op compliance?

• Logische taak?

– Ja, operational audit toetst de kwaliteit van beheersing”

– Deel van compliance direct gerelateerd aan jaarrekening

• Solvabiliteitseisen, voldoen aan eisen financiële verslaggeving

• Wat is additioneel?

– Additionele wetgeving, bv:• SHE (Safety Health Environment)

• WFT

Kenmerken van het Compliance-risico

• Is (nog veel meer dan andere risico’s) altijd latent aanwezig

• Kan bij ontdekking enorme omvang hebben aangenomen

• Potentiële schade is onbeperkt

– Continuïteit van de onderneming, license to operate

• Wordt soms met terugwerkende kracht een risico!

– Door wijziging in normen, waarden en wat maatschappelijk acceptabel wordt gevonden

Specifieke kenmerken van compliance auditing

• Noodzaak tot gedetailleerde kennis geldende wetgeving

• Afbreukrisico = groot

– Toezicht, sanctiemogelijkheden, publiciteit

• Controletolerantie = 0?

– Als bij een controle door de toezichthouder één dossier wordt gevonden dat niet compliant is dan is men dus niet compliant(de wet van slootwater)

– Theoretisch en praktisch onmogelijk

Integratie van compliance in audits

• Organisatorisch:

– Gespecialiseerde medewerkers in auditafdeling

– “Trekkingsrechten” op interne of externe specialisten door Audit

• Werkwijze:

– Specifieke compliance audits

– Integratie in IEDERE audit als standaard onderdeel

Agenda



De uitvinding van GRC


Het silodenken in de 2e en 3e lijn

• Stelling

“Sommige organisaties maken er een hobby van om voor ieder aspect een aparte afdeling op te richten

Geen wonder dat er nog steeds een fragmentarische benadering is van alle aspecten van control”

Het perfecte silodenken

• Controller• Information security officer• Afdeling Veiligheidszaken• Risk management• Compliance officer• Afdeling AO / proces management• Afdeling Interne Controle• Afdeling Internal Audit• Juridische zaken• ………………………….

Het begrip afdeling

• Een afdeling leidt tot een deling van

– Personen

– Taken, bevoegdheden, verantwoordelijkheden

– Focus van leidinggevenden

• Een afdeling leidt tot een toename van

– Noodzaak tot meer interne informatie

– Noodzaak tot interne coördinatie

– Noodzaak tot meer communicatie met de eerste LoD

– Duur en complexiteit van besluitvorming en feedbackmechanismen

De mate waarin de functies zijn samengevoegd

0 2 4 6 8 10 12 14 16 18

Audit- enCompliancefunctie

Audit- enRiskmanagementfunctie

Compliance- enRiskmanagementfunctie

Geen van de 3 functies

Bron: onderzoek Auditmatch

De mate waarin men synergie ervaart tussen de functies

Volledig Aanzienlijk Nauwelijks Geen N.v.t.

Audit en Compliance 0% 54% 34% 4% 8%

Audit en

Risk13% 54% 25% 4% 4%

Compliance en Risk 4% 59% 29% 0% 8%

Bron: onderzoek Auditmatch

Governance, risk en control compliance

• Het lijkt zo logisch

• Integraal denken

• Co-ordinatie naar de eerste LoD

– Eenduidig, geen dubbelingen, beperking tijd

• Maar is het meer dan alleen een efficiency-actie?

Agenda




GRC-pakketten, de heruitvinding van Easyflow?

Gaan we weer procedures krassen?

• Jaren 80

– Beschrijven van de AO

– Easyflow, SDW-AO

• Jaren 90

– Kwaliteitshandboeken

– ISO 9000

• 2000

– Protocollisering

– Specifieke branche-normen

Wat moet een GRC-pakket meer kunnen?

Norm-extractie Norm- Risico- Toetsing

vertaling afdekking

Wet- en regelgeving

Interne regels

artikel

artikel

voorschrift

Norm 2

Norm 1

Produkt W

Procedure Y

Systeem X

Op. audit

Medewerker Z

Produkt audit

Examen

Wat moet een GRC-pakketmeer kunnen?

• Integrale ondersteuning

• Van wet tot auditrapport

• Externe voeding met regels

• Automatische impactanalyse, van wet naar produkt, procedure, systeem en medewerker

• Van organisatie naar auditplan

• Van auditplan naar auditdossier

Zal IT de hefboom zijn om afdelingen samen te laten werken?

• Introductie van één gezamenlijke tool dwingt tot samenwerking

• Stroomlijnen definitie van processen, produkten tussen 2e LoD afdelingen en tussen 2e en 3e LoD

• Zoveel mogelijk gebruik maken van ready-mades in plaats van eigen wielen…

Afsluitende stellingen

• Er is niets mis mee om een wiel opnieuw uit te vinden,

als het dan ook maar een beter wiel is


• GRC is niets nieuws, maar hopelijk leidt het tot het einde van het Silo-denken tussen de betrokken afdelingen


• Ook voor GRC-pakketten geldt:“Been there Seen thisDone that Got the T-shirt..”

Tenzij ze echt integratie ondersteunen van externe regelgeving, interne processen en audits

Dank u voor uw aandacht

navigeren met compliance ron van loon. navigeren met compliance ofwel: nieuwe wielen uitvinden met...

Documents