I’ll be back

AFM komt in 2021 terug op professionalisering compliancefunctie 

I’ll be back…Focus AFM ook in 2021 op inrichting compliancefunctie, integere en beheerste bedrijfsvoering beleggingsondernemingen en beleggingsinstellingen. 

De AFM geeft als Arnold Schwarzenegger in de Terminator in haar Toezichtagenda voor 2021 aan “I’ll be back…”. Niet letterlijk, maar het ademt wel die sfeer: “we komen terug om te zien of de onderzochte ondernemingen hun compliancefunctie hebben verbeterd”. De AFM geeft daarmee aan dat de feedback die zij in 2020 gaf aan deze onderzochte beleggingsinstellingen en beleggingsondernemingen niet vrijblijvend is en benadrukt dat professionalisering van de compliancefunctie niet alleen wenselijk maar ook nodig is om te versterken.   

Eind 2020 publiceerde de AFM ‘Handvatten voor het verbeteren van de compliancefunctie’ met als statement ‘verdere professionalisering van de compliancefunctie is wenselijk’. De uitkomsten van het onderzoek waren dusdanig dat de centrale boodschap vanuit de AFM luidde: wacht niet tot wij de compliancefunctie ook bij u komen toetsen, onderzoek zelf hoe het er voor staat, maar een ding is zeker: verbetering is nodig. De AFM sloot deze publicatie af met de mededeling dat zij de compliancefunctie ook bij andere financiële ondernemingen gaat toetsen. En niet alleen de inrichting compliancefunctie heeft de aandacht van de AFM. De toezichtagenda voor 2021 laat ook zien dat er een (thematisch) onderzoek komt naar de wijze waarop beleggingsinstellingen en –ondernemingen voldoen aan de eisen van integere en beheerste bedrijfsvoering. Mocht de AFM in het eerste kwartaal nog niet bij u langs zijn geweest, dan kunt u maar beter het advies van de AFM ter harte nemen en alvast onderzoeken hoe uw compliancefunctie ervoor staat. Kortom, er is werk aan de winkel! 

Spiegeltje spiegeltje aan de wand….

Goed dat de AFM de noodzaak van professionalisering van de compliancefunctie en de integere en beheerste bedrijfsvoering onder de aandacht brengt. Uit de adviesvragen die wij van onze opdrachtgevers ontvangen, bemerken wij ook verschillen in hoe compliance is ingericht. De AFM gebruikt het Risico Management Volwassenheid Model als spiegel voor (de compliancefunctie van) beleggingsondernemingen en beleggingsinstellingen. Dit volwassenheidsmodel is ook heel geschikt voor andere financiële ondernemingen.  Daarbij zijn er vijf stadia van volwassenheid die een organisatie doorloopt, waarbij een organisatie die in bijvoorbeeld niveau twee zit ook kenmerken kan vertonen van niveau één of drie. Uit adviezen in de publicatie als ‘leg vast in beleid en monitor de uitvoering’ en de algemene oproep naar de financiële sector om naar de compliancefunctie te kijken, blijkt dat een groot aantal ondernemingen op het volwassenheidsniveau één of twee zit en dat we nog een lange weg naar volwassenheid hebben te gaan.  

Risico Management Volwassenheid Model  

De AFM onderscheidt de volgende 5 volwassenheidsniveaus: 

1. Ad hoc (Er is geen beleid. Situaties worden opgelost als zij zich voordoen). 
2. Belegd (Er is geen beleid. Verantwoordelijkheid van compliance is wel belegd). 
3. Ontworpen (Er is beleid dat ook gemonitord wordt en er wordt over gerapporteerd).  
4. Geëvalueerd (Beleid en processen worden structureel geëvalueerd om te verbeteren). 
5. Geoptimaliseerd (beleid en processen worden doorlopend geëvalueerd en verbeterd. Er is sprake van een meerjarenstrategie en externe benchmarks zijn beschikbaar). 

…. wat is er in onze organisatie aan de hand?  

Misschien als u in deze spiegel kijkt, herkent u in uw organisatie ook kenmerken uit de volgende beschrijving van zo’n volwassenheidsniveau één of twee. ‘Compliance kenmerkt zich door een vrij operationele, reactieve aanpak. Situaties worden opgelost als ze zich voordoen zonder een vaste aanpak. Compliance is en rule-based moeten, waarbij mogelijk niet alle wet- en regelgeving in het vizier zijn.’ In andere organisaties is de compliancestructuur al verder ingericht: beleid, doelen en processen zijn al grotendeels vastgelegd en compliance ligt bij een compliance officer die verantwoordelijk is voor het voldoen aan de wet- en regelgeving. De organisatie maakt (compliance) risicoanalyses, de aanpak is alleen nog niet systematisch. Compliance en de risico’s zijn iets van de compliance officer. Vaak zien we dat de compliance officer zijn eigen beleid opstelt, nieuwe regels uitlegt aan de business en de naleving monitort (controleert). Ook in zo’n organisatie betekent compliance nog veel moeten: moeten voldoen aan wet- en regelgeving, een ICAAP en/of SIRA uitvoeren, toezichthouders tevreden houden. De focus ligt op wet en regelgeving, daar moet aan worden gewerkt door (met name) de compliance officer: compliance is het feestje van compliance.   

Dat wil niet zeggen dat ondernemingen waarbij de compliancefunctie een volwassenheidsniveau kent van niveau 1 of 2 niet voldoen aan wet en regelgeving of een rapportage aan DNB of AFM niet tijdig aanleveren. Dat kan nog steeds, wellicht met een compliance officer die als persoon vele ballen goed hoog weet te houden maar hoeveel extra ballen (nieuwe wetten en regels) kan hij of zij hoog houden? Er komt nogal wat op zo’n compliance officer af. Niet alleen in kleinere maar ook bij grotere financiële ondernemingen zien we dat in de dagelijkse praktijk het soms vallen en opstaan is, zeker in het geval van een nieuwe wet of regel. Als Nederlands Compliance Instituut krijgen we dan ook regelmatig de vraag om te zorgen voor een lijstje met wet- en regelgeving om alles in het vizier hebben. Dat doet mij denken aan de vragen die ik soms van mijn puberdochters krijg bij hun huiswerk. Snel een antwoord en volgende week een soortelijke vraag. ‘In control’ zijn gaat verder dan het nu op de hoogte zijn en voldoen aan wet- en regelgeving. Het gaat om het begrijpen en dus ook zelf een volgend nieuw onderwerp of wettelijke eis kunnen tackelen. Volwassen worden betekent immers ook zelfredzaam worden. 

De spiegel van de AFM 

In de AFM-publicatie ziet u de vijf niveaus van volwassenheid met hun kenmerken als spiegel om voor u zelf te zien waar uw organisatie staat met compliance. Daarbij reikt de AFM u handvatten aan om uw compliancefunctie te versterken zodat u effectiever compliancerisico’s kan beheersen en effectief kan (blijven) voldoen aan de vereisten uit de wet en regelgeving. In het kort komen deze op het volgende neer: 

1. Leg expliciet de verantwoordelijkheden en taken van de compliancefunctie en bestuur vast.  
2. Leg in beleid vast hoe deze taken (werkwijze, processen) moeten worden uitgevoerd.  
3. Monitor periodiek of het beleid daadwerkelijk wordt uitgevoerd zoals beoogd.  
4. Evalueer of de uitvoering van het beleid ook helpt bij het realiseren van het beoogde doel.  

Als u op de uitnodiging van de AFM ingaat en de compliance-inrichting binnen uw organisatie evalueert, dan adviseer ik u ook eens de volgende vragen te doorlopen: 

• Welke bouwstenen hebben we al? Meestal blijkt er binnen organisaties al veel te zijn (werkwijze) maar nog niet volledig vastgelegd in geschreven beleid of versnipperd bij HR, compliance, en juridische zaken. 
• Zijn onze (compliance) doelen en kernwaarden, effectief en efficiënt vertaald naar operationele processen en procedures? Welke voorbeelden kunt u hiervan noemen? 
• Hoe is de huidige inrichting van de compliancefunctie en hoe is daarbij de samenwerking met 1e, 2e en 3e lijn georganiseerd? Hoe is de borging van informatievoorziening, onafhankelijkheid en escalatie geregeld? Zijn er medewerkers betrokken in zowel de uitvoering als in toezicht? Als dit wel het geval is vanwege de schaal van de onderneming, is er dan nog een ander controlemechanisme? 
• Hoe identificeren we integriteitsrisico’s, welke maatregelen hebben we en hoe monitoren we de processen adequaat, en borgen we risico’s als witwassen en belangenverstrengeling? 
• Hoe effectief is de opvolging van actiepunten die voortvloeien uit de evaluatie/monitoring?  
• Hoe en in welke mate is de integere en beheerste bedrijfsvoering in de organisatie verankerd? Deze laatste vraag vooruitlopend op het komende thematische onderzoek van de AFM heeft bij beleggingsondernemingen naar de wijze waarop zij aan de eisen van de integere en beheerste bedrijfsvoering voldoen. 

Door compliance binnen de organisatie adequaat in te richten kunt u effectief voldoen aan wet- en regelgeving en veranderingen (zoals nieuwe vereisten of gewijzigde wet- en regelgeving) effectief opvolgen. 

Compliant moeten of willen zijn? 

Poetsen we de spiegel van het Volwassenheidsmodel die de AFM ons voorhoudt nog eens op dan zien we dat er meer nodig is om als volwassen professionele organisatie te worden gezien. Een volwassen organisatie ziet wettelijke bepalingen niet als een ‘moetje’ maar wil uit zichzelf een beheerste en  integere bedrijfsvoering, en ziet wettelijke bepalingen als een hulpmiddel. Zo’n organisatie voert een SIRA of ICAAP niet uit omdat het alweer een jaar geleden is en omdat het moet van DNB of AFM maar omdat zij inzicht wil in de (niet-) financiële risico’s, zodat zij deze al kent voordat ze zich voordoen. Wat een rust zal dat geven. 

De groei naar volwassenheid en een professionele organisatie zit in de verschuiving van interne naar externe motivatie om compliant te willen zijn: ‘in control’ zijn door te voldoen aan de geldende wet- en regelgeving, veranderingen adequaat kunnen opvolgen door een beheerste bedrijfsvoering en door te voldoen aan de eigen kernwaarden. Daarbij zijn deze kernwaarden het vertrekpunt: ‘wat vinden wij zelf belangrijk’, ‘wat leggen we onszelf op aan regels’ en ‘hoe kunnen we laten zien dat we ook daadwerkelijk zo opereren. Deze kernwaarden maken waarom medewerkers bij uw organisatie willen werken en maken waarom klanten graag met u zaken doen. Een kijkje op verschillende websites van beleggingsondernemingen laat zien waar de meeste van u voor staan en wat u wilt waarmaken in de dagelijkse praktijk: vakkundig, integer, onafhankelijk, betrouwbaar, klant centraal. Een van de doelstellingen van compliance is om aantoonbaar te maken naar stakeholders en de klant dat u ook op deze manier zaken doet. Een professionele, volwassen organisatie ziet compliance niet als die ene compliance officer of afdeling die beter in beeld moet staan, maar compliance als een onderwerp waar de hele organisatie mee dealt. In een volwassen(er) organisatie zien we zulke termen als ‘vakkundig, integer, onafhankelijk, betrouwbaar, klant centraal’ terug in de bedrijfsvoering zoals bij productontwikkeling of bij het uitvoeren van best execution (is het product passend, hebben we de meest optimale uitkomst, staat de klant echt centraal, een zorg voor de klant niet ingegeven vanuit een wettelijke (MiFID II) plicht maar vanuit een wens het juiste voor de klant te willen doen. Dit zien we ook terug in hoe medewerkers met elkaar omgaan en dilemma’s met elkaar (kunnen) bespreken (zoals vakkundig overleg, fouten bespreken om te leren). In zo’n volwassen organisatie is compliance van iedereen en raakt iedereen.  

Zolang we compliance louter vanuit een externe motivatie blijven zien als voldoen aan wet- en regelgeving, dan zal iedereen zodra die de kans krijgt, zoeken naar een escape om te ontsnappen uit het keurslijf dat compliance daarmee blijft: een beknellend pak aan regels. Een ‘moetje’. Het is de minimale ondergrens en ergens oogt het ook als puberaal gedrag. Het lijkt alsof nog steeds de compliance officer de slingers moet ophangen en zijn feestje viert. Want met de titel ‘professionalisering compliancefunctie is wenselijk’ voelt de rest van de organisatie nog geen verwantschap. De toonzetting “we komen terug…” zal een volwassen reactie waarschijnlijk niet ontlokken. Sterker nog, als compliance in de dagelijkse praktijk vallen en opstaan is, dan denkt u vast dat zien we wel als het zover is. Volwassen worden is natuurlijk ook daar boven staan en AFM zien als een leraar die soms controleert of het huiswerk wel gemaakt is, strafwerk kan uitdelen, maar vooral je helpt te groeien en te versterken.  

Benieuwd naar hoe compliance binnen uw organisatie verder kan versterken? 

Is uw organisatie op zoek naar richting op het gebied van compliance & integriteit? Heeft u vragen of wilt u eens sparren over het versterken van compliance binnen uw organisatie? Neem dan gerust eens contact op.