430 likes | 754 Views
Navigeren met compliance Ron van Loon. Navigeren met compliance Ofwel: Nieuwe wielen uitvinden met GRC Rotterdam, 22 juni 2010. Even voorstellen. Ron van Loon 46 jaar Economie, accountancy Organisatie-adviseur en Trainer Compliance, Risk management en AO Docent bij o.a.:
E N D
Navigeren met complianceOfwel:Nieuwe wielen uitvinden met GRCRotterdam, 22 juni 2010
Even voorstellen • Ron van Loon • 46 jaar • Economie, accountancy • Organisatie-adviseur en Trainer Compliance, Risk management en AO • Docent bij o.a.: • Universiteit van Amsterdam • Universiteit van Maastricht • Universiteit Utrecht
Het motto: Hetzelfde maar dan anders • Met GRC zijn we vooral bezig om nieuwe wielen uit te vinden • … Dit is trouwens iets anders het wiel opnieuw uitvinden
Agenda • Een korte geschiedenis van Compliance • Compliance, risk en audit, het blijft wennen aan elkaar • De uitvinding van GRC • GRC-pakketten, de heruitvinding van Easyflow?
Rabo Barings bank Shell Allied Irish Bank Worldcom ABNAMRO Bank Societe Generale Enron Ahold Parmalat Control missers m.b.t. Compliance
Voorbeelden van compliance missers Gevoelige tik voor LegioLease (update) Aandelenleasers hoeven een deel van hun restschuld aan LegioLease niet terug te betalen. Dat heeft de Klachtencommissie DSI donderdag bekendgemaakt. • “ABN Amro also admits that its officers falsified documents connected to billions of dollars in transactions with Iran and Libya, which are the target of U.S. sanctions. Last week, ABN Amro entered into a settlement with U.S. and Dutch regulators calling for $80 million in fines addressing both the failure to report suspicious transactions and the illegal business with Iran and Libya” (Wall Street Journal).
Wikipedia zegt... • Compliance is een term die de afgelopen jaren met name in het bank- en verzekeringswezen wordt gebezigd en in de (van De Nederlandsche Bank afkomstige) Regeling organisatie en beheersing (Rob) wordt gedefinieerd als de naleving van wet- en regelgeving, alsmede het werken volgens de normen en regels die een instelling zelf heeft opgesteld
Compliance kan gedefinieerd worden.. • Heel breed • Compliance with laws and regulations (bv. COSO) • Dus ook ARBOwet, Bouwbesluit, Warenwet, ...... • Verschil met Juridische Zaken? • Smaller • Gerelateerd aan besturing en financiële regelgeving • SOx, Tabaksblat, IFRS, ... • Specifiek • Financiële sector: Wetgeving gericht op financiële integriteit
Compliance m.b.t. financiële integriteit • Naar klanten • Klantenacceptatie / Client Due Dilligence, KYC • Privacy • Naar produkten • Zorgplicht • Transparantie • Naar personeel • Effectentransacties • Integriteit • Naar werkwijze • Dossieropbouw • Volgen van procedures en voorschriften
Norm-extractie Norm- Risico- Toetsing vertaling afdekking Produkt W Produkt audit Wet- en regelgeving Norm 1 artikel Systeem X Op. audit artikel Norm 2 Procedure Y Interne regels Examen voorschrift Medewerker Z Het compliance-proces
De explosie van compliance officers • Oorzaak 1 • Explosie van wetgeving • Oorzaak 2 • Incidenten, conflicten met de toezichthouder • Het resultaat: • Toename van Compliance-afdelingen van soms 1000% • Overkill?
De rol van de compliance officer • Van partttimer ….. • Naar (meerdere) full timers • Van effectenchecker….. • Naar mede-beleidsbepaler • Van veilige, administratieve funktie….. • Naar Kop van Jut?
De organisatorische positie • Onder RvB / directie? • Gelaagd stelsel van CO’s • Stafafdeling met directe bevoegdheden tot uitschrijven van regels • Relaties met: • HR-funktie • Juridische Zaken • Inrichtende afdelingen: AO, IT, … • Audit!
De CO: Externe en interne druk • Externe druk • Veelheid aan wetgeving • Forse toename in hoeveelheid toezicht • Steeds meer “Telegraaf-effect” • Interne druk • Afschuifmentaliteit van management • “Laat de Compliance Officer het maar afschieten als het niet goed is” • Squeeze tussen grote verantwoordelijkheid en (soms) beperkte bevoegdheid Is het wel leuk om CO te zijn?
Voor ieder probleem een nieuw committee • Opkomst van het Compliance Committee • Op niveau directie • Verschil met audit committee? • Is er een principieel bezwaar tegen integratie? • Audit (risk- ) en compliance committee
Iedereen zijn eigen charter • Audit charter • Risk charter • Compliance charter • Noodzaak tot formele vastlegging positie, bevoegdheden, verantwoordelijkheden • Overdreven juridisering?
Compliance is een nieuw wiel • Verschil met Legal afdeling? • Compliance begint normaal te worden in andere sectoren • Industrie, telecom • Gezondheidszorg • Goede taakafbakening met Legal essentieel
“10 jaar compliance” • 1995 Wet Toezicht Effectenverkeer • 1999 Nadere regeling toezicht effectenverkeer • Compliance in de financiële sector begint volwassen te worden • Krimp: Van kwantiteit naar kwaliteit • De weg omhoog is gevonden • Compliance committee • Rechtstreekse lijn naar CEO en/of commissaris
De issues in compliance anno 2010 • De risico-reflex regel beheersen • Nog meer regels? • Hoe succesvol is principle based eigenlijk? • Creative compliance • Hoe tegengaan? • De scope van Compliance: • Puur regelgeving of Compliance plus? • De plus staat voor soft compliance, normen en waarden, ethiek, …… • GRC lijkt niet op de agenda te staan
Agenda • Een korte geschiedenis van Compliance • Compliance, risk en audit: Het blijft wennen aan elkaar • De uitvinding van GRC • GRC-pakketten, de heruitvinding van Easyflow?
Operatio nal ISO 9000 Belasting ARBO DNB-eisen Mgt. Control Milieu-audit Verzek. kamer Financial Een leger auditors ....
De 4 Lines of Defense 4. External audit / toezichthouders 3. Internal audit 2. Staven Risk management, Compliance) 1. Lijnmanagement
Kan Audit wel toetsen op compliance? • Logische taak? • Ja, operational audit toetst de kwaliteit van beheersing” • Deel van compliance direct gerelateerd aan jaarrekening • Solvabiliteitseisen, voldoen aan eisen financiële verslaggeving • Wat is additioneel? • Additionele wetgeving, bv: • SHE (Safety Health Environment) • WFT
Kenmerken van het Compliance-risico • Is (nog veel meer dan andere risico’s) altijd latent aanwezig • Kan bij ontdekking enorme omvang hebben aangenomen • Potentiële schade is onbeperkt • Continuïteit van de onderneming, license to operate • Wordt soms met terugwerkende kracht een risico! • Door wijziging in normen, waarden en wat maatschappelijk acceptabel wordt gevonden
Specifieke kenmerken van compliance auditing • Noodzaak tot gedetailleerde kennis geldende wetgeving • Afbreukrisico = groot • Toezicht, sanctiemogelijkheden, publiciteit • Controletolerantie = 0? • Als bij een controle door de toezichthouder één dossier wordt gevonden dat niet compliant is dan is men dus niet compliant(de wet van slootwater) • Theoretisch en praktisch onmogelijk
Integratie van compliance in audits • Organisatorisch: • Gespecialiseerde medewerkers in auditafdeling • “Trekkingsrechten” op interne of externe specialisten door Audit • Werkwijze: • Specifieke compliance audits • Integratie in IEDERE audit als standaard onderdeel
Agenda • Een korte geschiedenis van Compliance • Compliance, risk en audit, het blijft wennen aan elkaar • De uitvinding van GRC • GRC-pakketten, de heruitvinding van Easyflow?
Het silodenken in de 2e en 3e lijn • Stelling“Sommige organisaties maken er een hobby van om voor ieder aspect een aparte afdeling op te richtenGeen wonder dat er nog steeds een fragmentarische benadering is van alle aspecten van control”
Het perfecte silodenken • Controller • Information security officer • Afdeling Veiligheidszaken • Risk management • Compliance officer • Afdeling AO / proces management • Afdeling Interne Controle • Afdeling Internal Audit • Juridische zaken • ………………………….
Het begrip afdeling • Een afdeling leidt tot een deling van • Personen • Taken, bevoegdheden, verantwoordelijkheden • Focus van leidinggevenden • Een afdeling leidt tot een toename van • Noodzaak tot meer interne informatie • Noodzaak tot interne coördinatie • Noodzaak tot meer communicatie met de eerste LoD • Duur en complexiteit van besluitvorming en feedbackmechanismen
De mate waarin de functies zijn samengevoegd Bron: onderzoek Auditmatch
De mate waarin men synergie ervaart tussen de functies Bron: onderzoek Auditmatch
Governance, risk en control compliance • Het lijkt zo logisch • Integraal denken • Co-ordinatie naar de eerste LoD • Eenduidig, geen dubbelingen, beperking tijd • Maar is het meer dan alleen een efficiency-actie?
Agenda • Een korte geschiedenis van Compliance • Compliance, risk en audit, het blijft wennen aan elkaar • De uitvinding van GRC • GRC-pakketten, de heruitvinding van Easyflow?
Gaan we weer procedures krassen? • Jaren 80 • Beschrijven van de AO • Easyflow, SDW-AO • Jaren 90 • Kwaliteitshandboeken • ISO 9000 • 2000 • Protocollisering • Specifieke branche-normen
Norm-extractie Norm- Risico- Toetsing vertaling afdekking Produkt W Produkt audit Wet- en regelgeving Norm 1 artikel Systeem X Op. audit artikel Norm 2 Procedure Y Interne regels Examen voorschrift Medewerker Z Wat moet een GRC-pakket meer kunnen?
Wat moet een GRC-pakketmeer kunnen? • Integrale ondersteuning • Van wet tot auditrapport • Externe voeding met regels • Automatische impactanalyse, van wet naar produkt, procedure, systeem en medewerker • Van organisatie naar auditplan • Van auditplan naar auditdossier
Zal IT de hefboom zijn om afdelingen samen te laten werken? • Introductie van één gezamenlijke tool dwingt tot samenwerking • Stroomlijnen definitie van processen, produkten tussen 2e LoD afdelingen en tussen 2e en 3e LoD • Zoveel mogelijk gebruik maken van ready-mades in plaats van eigen wielen…
Afsluitende stellingen • Er is niets mis mee om een wiel opnieuw uit te vinden,als het dan ook maar een beter wiel is
Afsluitende stellingen • GRC is niets nieuws, maar hopelijk leidt het tot het einde van het Silo-denken tussen de betrokken afdelingen
Afsluitende stellingen • Ook voor GRC-pakketten geldt:“Been there Seen thisDone that Got the T-shirt..”Tenzij ze echt integratie ondersteunen van externe regelgeving, interne processen en audits