LCOZ M2 Monitoring & handhaving. Cora Wielenga, 8 februari 2018

Transcriptie

1 LCOZ M2 Monitoring & handhaving Cora Wielenga, 8 februari 2018

2 Programma Compliancecyclus: terugblik op CRM Compliancecyclus: Monitoring Compliancecyclus :Handhaving Casuïstiek

3 Compliancecyclus Regels handhaven Vaststellen reikwijdte Regels monitoren Uitvoeren risicoanalyse Regels uitleggen Adviseren over regels

4 Compliancerisicomanagement

5 Compliancecyclus (2) Regels handhaven Vaststellen reikwijdte Regels monitoren Uitvoeren risicoanalyse Regels uitleggen Adviseren over regels

6 Uitvoeren risicoanalyse (1) 1. Bepaal de uitgangspunten voor de risicoanalyse Reikwijdte Definitie risico s, schades, periodiciteit Werkwijze Functionarissen 2. Vaststellen uitgangspunten door bestuur/directie 3. Voer de risicoanalyse uit 4. Periodieke revisie

7 Uitvoeren risicoanalyse (2) Analyse (kans * impact) versus H, M, L Inherent risico Beheersmaatregelen Nettorisico Adviseren over restrisico s Accepteren Aanvullend mitigeren Stoppen

8 Risicoclassificatie Impact KANS Laag Gemiddeld Hoog Zeer Hoog

9 Compliancecyclus: monitoring

10 Compliancecyclus: monitoring Regels handhaven Vaststellen reikwijdte Regels monitoren Uitvoeren risicoanalyse Regels uitleggen Adviseren over regels

11 Stelling De compliance officer monitoort wel maar controleert niet.

12 Stelling Monitoring vind ik één van de leukste activiteiten van het compliancevak.

13 Monitoren Monitoren (volgens de Van Dale): Controleren Toezicht houden op

14 Monitoren door de CO Het op systematische wijze verzamelen van overtuigende informatie over de naleving van wet- en regelgeving om vast te stellen in hoeverre de organisatie voldoet aan (interne) wet- en regelgeving om over de naleving te rapporteren en adviseren aan het management.

15 Monitoren door de CO Het op systematische wijze verzamelen van overtuigende informatie over de naleving van (interne) wet- en regelgeving om vast te stellen in hoeverre de organisatie voldoet aan (interne) wet- en regelgeving om over de naleving te rapporteren en adviseren aan het management.

16 Monitoren door de CO Kijken of er gekeken wordt

17 Controleren en monitoren (1) Controleren Activiteit of proces met als doel de tijdige identificatie en bijstelling van fouten Monitoren Activiteit of proces met als doel de tijdige identificatie en bijstelling van de oorzaak van fouten COSO Guidance on Monitoring September 2007

18 Controleren en monitoren (2) Output van controles = input ten behoeve van monitoring Output van monitoring= input ten behoeve van controles

19 Overtuigende informatie Geschikte informatie: Relevant Betrouwbaar (correct, te verifiëren en afkomstig van een objectieve bron) Tijdig Objectieve bron: Self review -> peer review -> supervisory review -> impartial monitoring COSO Guidance on Monitoring September 2007

20 Informatiebronnen Lijnmanagement Kwaliteitscoördinator Interne controle (afdeling) Interne accountantsdienst Risicomanagement Personeelszaken etc.

21 Intensiteit monitoren Continue monitoring (continue monitoring op kwaliteit) -> Periodieke evaluatie (jaarlijkse monitoring van gedragscode) COSO Guidance on Monitoring September 2007

22 Uitgangspunten MP (1) Wet- en regelgeving Risicogebaseerd Processen Thema s Actualiteiten Prioriteiten toezichthouder Incident gedreven Of: een combinatie van de hierboven beschreven uitgangspunten

23 Uitgangspunten MP (2) Integriteitsthema s Klant/patiënt-keten-integriteit Medewerkersintegriteit Organisatie-integriteit Data-integriteit Integriteitsrisicoanalyse Differentiatie in monitoring o.b.v. netto risicoclassificatie

24 Inhoud risico & monitoringsplan Compliancerisicoanalyse: Uitgeschreven compliancerisico (of integriteitsrisico) Kwantificering van het bruto compliancerisico Beheersmaatregelen Kwantificering van het netto compliancerisico Monitoringplan: Periodiciteit van het monitoren Informatie dat iets zegt over de mate van beheersing Informatiebron

25 Inhoud monitoringsplan (2) Monitoringplan: wanneer, krijg ik welke informatie, van welke functionaris, om iets te kunnen zeggen over de mate van beheersing van een bepaald compliancerisico.

26 Casuïstiek Van CRA naar monitoren

27 Monitoren van gedrag en cultuur

28 Het DNB Cultuurhuis

29 7 elementen, oftewel soft controls 1. Evenwichtig handelen: alle relevante belangen onderkennen en zichtbaar maken 2. Consistent handelen: handelen in lijn met doelstellingen 3. Bespreekbaarheid 4. Voorbeeldgedrag: tone at the top 5. Uitvoerbaarheid: realistische targets 6. Transparantie: communiceren over doelstellingen 7. Handhaving: aan niet-naleving worden consequenties verbonden

30 Soft controls 1. Helderheid 2. Voorbeeldgedrag 3. Betrokkenheid 4. Uitvoerbaarheid 5. Transparantie 6. Bespreekbaarheid 7. Aanspreekbaarheid 8. Handhaving

31 Soft controls, een definitie Soft controls zijn sturings- en beheersingsmaatregelen die erop gericht zijn om gewenst, integer, gedrag bij medewerkers en management te bevorderen. Bron: M. Lückerath-Rovers, Soft controls in governance, in Jaarboek Compliance 2010.

32 Soft controls, een definitie Een soft control is een (beheersings)maatregel welke meer dan hard controls ingrijpt op c.q. appelleert aan het persoonlijk functioneren van medewerkers (overtuiging, persoonlijkheid). Soft controls zijn op te vatten als maatregelen die van invloed zijn op bijvoorbeeld de motivatie, loyaliteit, integriteit, inspiratie en normen en waarden van medewerkers. Bron: R.S. de Heus, M.T.L. Stremmelaar, Auditen van Soft Controls, Kluwer 2000.

33 Soft controls, een definitie Soft controls are elements of the corporate culture. All the soft controls together constitute the corporate culture. Hard controls are like a map that tells what should be there, soft controls are what s really there within people Bron: Interview James Roth in Auditmagazine, nummer 4, december 2009.

34 Soft controls, of anders gezegd 1. Social controls 2. Conduct drivers / gedragsbeïnvloedende factoren

35 Cultuurhuis als meetinstrument

36 Het DNB Cultuurhuis

37 7 elementen oftewel soft controls 1. Evenwichtig handelen: alle relevante belangen onderkennen en zichtbaar maken 2. Consistent handelen: handelen in lijn met doelstellingen 3. Bespreekbaarheid 4. Voorbeeldgedrag: tone at the top 5. Uitvoerbaarheid: realistische targets 6. Transparantie: communiceren over doelstellingen 7. Handhaving: aan niet-naleving worden consequenties verbonden

38 Rol van de compliance officers t.a.v. soft controls

39 Gebruik van soft controls voor compliance officers 1. Identificeren soft controls tijdens CRA/SIRA 2. Structureel inzetten bij monitoring 3. Inzetten bij negatieve output hard controls 4. Inzetten bij oorzaakanalyse 5. Themagericht inzetten (per waarde of element uit het DNB huis) 6. Organisatiebrede cultuuranalyse + integratie in de compliancecyclus

40 Starten met soft controls 1. Opdracht vanuit bestuur benodigd? 2. Samenwerking met andere staffuncties? 3. Werk in duo s bij observatie & interview. 4. Aansluiten bij andere initiatieven? 5. Doorloop eerst één soft control helemaal t/m de rapportage voordat de integrale aanpak wordt opgestart. 6. Angst versus moed. 7. Geduld.

41 Achtergrondinformatie voor compliance officers DNB: 7 elementen van een integere cultuur (2009) DNB: Leading by example, 19 maart 2013 DNB: Toezichtsmethodieken gedrag en cultuur, augustus 2013 DNB: Supervision of behaviour and culture, HvK: Integriteit in de praktijk. Werken aan cultuur, Databank NCI, thema gedrag en cultuur

42 Casuïstiek Gedragsbeïnvloedende factoren

43 Compliancecyclus: handhaving

44 Compliancecyclus: handhaving Regels handhaven Vaststellen reikwijdte Regels monitoren Uitvoeren risicoanalyse Regels uitleggen Adviseren over regels

45 Handhaven Santioneren Rapporteren

46 Handhaven: sanctioneren Stel sanctiebeleid op In geval van sanctie: Onderzoek naar feiten uitvoeren Zorgvuldigheid Hoor wederhoor Conclusie formuleren Schriftelijk rapport aan directie Wie legt sancties op?

47 Sancties (1) Waarschuwing Schorsing Overplaatsing Ontslag Ontneming voordeel Etc etc

48

49 Sancties (2) Angst voor sanctioneren Roep op meer sancties Leren aanspreken Zichtbaar sanctioneren Bij herhaling: Vastlegging van aanspreken

50 Handhaven: rapporteren RvB RvT Periodieke gesprekken zonder aanwezigheid van de RvB Externe toezichthouder? Periodiciteit Inhoud rapportage

51 2018 Nederlands Compliance Instituut