DNB heeft in december 2018 een aantal eerste bevindingen gepubliceerd naar aanleiding van hun onderzoek naar de compliancefunctie bij verzekeraars. DNB heeft in het najaar van 2018 onderzoek verricht bij vijf verzekeraars. Bij vier van deze verzekeraars gaan zijn in 2019 opnieuw onderzoek doen. De belangrijkste kritieken zien op het onvoldoende monitoren van de risicobeheersing door de eerste lijn en het meer structureel verhogen van de bewustwording van de risico’s.
Ik onderschrijf de eerste bevinding van DNB ten aanzien van het monitoren op basis van wat wij zien bij een aantal verzekeraars, en ook bij andere ondernemingen in de financiële sector. Veel compliance officers komen niet toe aan monitoring. Ik onderschrijf ook dat er bij sommige financiële ondernemingen meer structurele aandacht mag komen voor het vergroten van de bewustwording ten aanzien van de risico’s. Alleen vraag ik me af of dit een taak van compliance moet blijven. Zou dit niet een eerstelijnstaak mogen zijn? Daar ligt immers de verantwoordelijkheid, de compliancefunctie heeft een adviserende functie daarin. Compliance officers mogen er wat mij betreft beter voor waken om te veel de eerste lijn te faciliteren, terwijl ze op datzelfde moment vaak wensen dat de eerste lijn meer haar verantwoordelijkheid zouden pakken.
DNB geeft in deze eerste set van bevindingen ook aan dat verzekeraars onvoldoende onderbouwen hoeveel capaciteit nodig is voor de compliancefunctie. Het is wat mij betreft overigens raadzaam om niet alleen de capaciteit van de compliancefunctie goed te beramen, maar ook direct de capaciteit die vanuit de eerste lijn benodigd is om complianceprojecten goed te implementeren. Het gebeurt mijn inziens nog te vaak dat de eerste lijn wordt overdonderd door de compliancefunctie wanneer er sprake is van nieuwe wet- en regelgeving. Terwijl we de meeste nieuwe regels toch een tijd van te voren zien aankomen.
DNB heeft toegezegd om in de eerste helft van 2019 de conclusies en de best practices te delen met de markt. Hoewel ik uitkijk naar de onderzoeksresultaten en de best practices, hoop ik dat de aanbevelingen van DNB niet alleen zien op de compliancefunctie, maar op het gehele compliancesysteem. De compliance officers staan immers niet alleen. Met het compliancesysteem bedoel ik het systeem dat binnen de organisatie bestaat om compliance en integriteit te kunnen waarborgen en versterken. Het compliancesysteem omvat zodoende meer dan alleen de compliancefunctie. Met het compliancesysteem bedoelen we alle drie de lijnen uit het 3 LoD systeem. Het zou compliance officers en onder toezicht staande instellingen helpen om de verbeteringen in het compliancesysteem door te voeren en niet alleen op de compliancefunctie.