COMPLIANCE-RISICO

De onderneming is van mening dat goed compliance-beheer in het belang is van haar klanten, aandeelhouders en medewerkers en essentieel is voor de manier waarop zij zakendoet. In aanvulling hierop leidt effectief toezicht en beheersing van operationele risico’s tot stabielere bedrijfsprocessen en lagere operationele risicokosten.

Integer handelen en zodanig haar reputatie behouden is van het grootste belang. Het naleven van relevante regelgeving en ethische en interne normen, zowel naar de letter als naar de geest, is een voorwaarde hiervoor. Reputatierisico is gedefinieerd als de huidige en toekomstige invloed van negatieve publiciteit op opbrengsten en kapitaal. Dit kan de mogelijkheid op nieuwe relaties of diensten of de relatie met bestaande klanten beïnvloeden. Dit risico kan een bedrijf blootstellen aan

rechtszaken, financiële verliezen of daling van consumentenvertrouwen. Het beheersen van reputatierisico’s is een essentieel onderdeel van de bedrijfsstrategie, rekening houdend met alle

belanghebbenden wier beeld de reputatie van de onderneming bepaalt. Risico’s of onzekerheden, zowel positief als negatief, worden zorgvuldig beheerd omdat reputatierisico niet gescheiden bekeken moet worden, alle risico’s kunnen de reputatie beïnvloeden.

Binnen de onderneming draait alles om mensen en vertrouwen. De Raad van Bestuur en het senior management hebben een duidelijke visie op reputatie-management die de compliance-functie ver voorbij gaat. Zij vormen de stuwende kracht achter de verwezenlijking van die visie. Ter bescherming van haar reputatie verwacht de onderneming derhalve van alle medewerkers onberispelijk persoonlijk gedrag en de hoogste mate van integriteit.

COMPLIANCE-RISICO

Compliance-risico wordt gedefinieerd als het risico dat de reputatie wordt aangetast, doordat toepasselijke wet- en regelgeving, intern beleid en procedures en ethische standaarden niet worden nageleefd. Wanneer een financiële instelling compliance-risico niet effectief beheerst kan dit naast reputatieschade ook andere consequenties hebben, zoals (bestuurlijke) boetes, strafmaatregelen, schadevergoedingen, gerechtelijke bevelen en opschorting of intrekking van vergunningen. Het (schijnbaar) niet naleven van deze regels kan nadelige effecten hebben voor klanten, medewerkers en aandeelhouders.

Compliance-management vormt de basis voor het creëren van waarde. De organisatie zet zich in voor duurzaam en verantwoord ondernemen wat alleen mogelijk is als zakelijke beslissingen onlosmakelijk zijn verbonden aan de Business Principles die een hoge bedrijfsethiek reflecteren. Deze principes zijn niet alleen een afspiegeling van wet- en regelgeving maar bouwen tevens voort op de kernwaarden van de onderneming: integriteit, ondernemerschap, professionaliteit, responsiviteit en samenwerking. Duidelijk en toegankelijk beleid en procedures zijn verankerd in de bedrijfsprocessen van de

organisatie in alle divisies. Dankzij een goede compliance- infrastructuur kan het management lopende en opkomende compliance kwesties traceren en hierover met interne en externe stakeholders

communiceren. Een uitgebreid systeem van interne beheersing en controle zorgt ervoor dat compliance-risico steeds beter beheerst wordt. De onderneming is ervan doordrongen dat effectief compliance management staat of valt met inzicht in en voldoen aan de verwachtingen van klanten en andere stakeholders. Hierdoor vormen eerlijkheid, integriteit en betrouwbaarheid de fundamenten van relaties, die van belang zijn voor de organisatie

De reikwijdte van de compliance-functie

Compliance richt zich op ’management van risico’s die voortvloeien uit de wet- en regelgeving en standaarden die specifiek samenhangen met de sector financiële dienstverlening, die worden uitgevaardigd door de wetgever en toezichthouder en die relevant zijn voor de divisies

, dan wel voor Group Compliance. Compliance vervult een actieve scholings- en ondersteunende functie bij de aanpak van witwaspraktijken, Counter-Terrorist Financing, beheersing van belangenverstrengelingen, verkoop- en handelsgedrag en klantenbelangen en -bescherming.

De volgende compliance-risico’s zijn gedefinieerd en aangemerkt als bijzondere aandachtsgebieden: Klantgerelateerde integriteitsrisico’s (waaronder ook financieel-economische criminaliteit): het witwassen van geld, het financieren van terroristen, andere externe misdrijven en fraude. Volgen van de Due Diligence-processen van klanten en derden en de bewaking van zakelijke transacties spelen een belangrijke rol in de beheersing van deze risico’s.

Integriteitsrisico’s die voortvloeien uit het gedrag van personen, zoals marktmanipulatie en handel met voorkennis. De beheersing van deze risico’s wordt gedragen door de business principles en de (lokale) gedragscodes en specifieke beleidslijnen inzake externe functies van functionarissen en financiële prikkels (waaronder ook geschenken en entertainment). Integriteitsrisico’s gerelateerd aan financiële dienstverleningsactiviteiten, waarbij de nadruk vooral ligt op marketing-, verkoop- en

handelsgedrag, gedrag bij adviesactiviteiten, transparantie van het productaanbod, belangen en bescherming van klanten. Voor de beheersing van deze risico’s hanteert de onderneming duidelijke procedures voor de afhandeling van klachten, zijn er interne standaarden voor de goedkeuring van nieuwe producten en de evaluatie van bestaande producten zowel als beleid voor gegevensbescherming en privacy. Integriteitsrisico’s gerelateerd aan het gedrag van de organisatie, zoals

belangenverstrengeling, kartelvorming en relaties met derden en tussenpersonen. De organisatie heeft maatregelen genomen om dit risico te beheersen, waaronder beleid en procedures tegen

belangenverstrengelingen zoals Chinese Walls, registratievereisten van de toezichthouder, beleid inzake outsourcing en fusies en overnames, alsmede Due Diligence-processen.

De organisatie heeft een klokkenluidersregeling die medewerkers aanmoedigt melding te maken van (een vermoeden van) eventuele schendingen van externe regelgeving of intern beleid of de Business Principles. Onder de Klokkenluidersregeling genieten medewerkers bescherming als zij misstanden aankaarten.

De internationale activiteiten bestrijken de hele wereld en de onderneming heeft

dochterondernemingen en vestigingen in een groot aantal landen. De wet- en regelgeving en de zakelijke en commerciële behoeften die Compliance bepalen, verschillen hierdoor binnen de organisatie, per divisie.

De Compliance-organisatie

De Chief Compliance Officer (Group Compliance) rapporteert direct aan de CRO en is

verantwoordelijk voor de ontwikkeling en inrichting van het organisatiebrede compliance-beleid. Daarnaast stelt de Chief Compliance Officer minimumstandaarden voor Compliance op (en/of keurt deze goed) en assisteert en ondersteunt de Raad van Bestuur bij de beheersing van de compliance-risico’s. Compliance is georganiseerd op basis van functionele rapportagelijnen. De Compliance-organisatie bestaat uit Corporate Compliance en Compliance op het niveau van bedrijfsonderdelen. Corporate Compliance is verantwoordelijk voor het ontwikkelen en communiceren van informatie over het internationale compliance-framework, beleid en richtlijnen voor de

belangrijkste gebieden van compliance-risico en advisering van Compliance-medewerkers op het niveau van de bedrijfsonderdelen over beleidszaken die op ondernemingsniveau spelen.

De onderneming gebruikt een gelaagde, functionele aanpak binnen Compliance op bedrijsonderdeel niveau, waardoor het ondernemingsbrede compliancebeleid, de minimumstandaarden en het

compliance-framework systematisch en consequent worden geïmplementeerd. De lokale Compliance Officer ondersteunt het lokale management bij de beheersing van compliance-risico’s binnen dat bedrijfsonderdeel. De Compliance Officer op regio- of divisieniveau heeft daarnaast een

toezichthoudende rol in het compliance-risicobeheerproces. Hij of zij verzorgt de leiding van en het toezicht op alle functionele activiteiten van de Compliance Officers die onder zijn of haar regio of divisie ressorteren. De Compliance Officer van de business line doet hetzelfde voor zijn of haar business line en geeft daarnaast leiding en algehele richting aan de Compliance Officers op regio- en divisieniveau.

Om eventuele belangenverstrengelingen te voorkomen is het van groot belang dat de Compliance Officer onpartijdig en objectief compliance-advies kan geven aan het management van het bedrijfsonderdeel, de regio, divisie of business line. Ter verzekering van die onpartijdigheid en objectiviteit is sprake van een sterke functionele rapportagelijn naar de naasthogere Compliance Officer. Die functionele rapportagelijn gaat gepaard met duidelijk afgebakende verantwoordelijkheden inzake objectieve bezoldiging, performance-management en de benoeming van nieuwe Compliance-medewerkers.

Beleid voor compliance-management en -instrumenten

- signaleren, beoordelen en monitoren van de compliance-risico’s waarmee de organistie zich geconfronteerd ziet;

- assisteren, ondersteunen en adviseren van het management bij het voldoen aan de compliance-verantwoordelijkheden;

- adviseren van medewerkers over (persoonlijke) compliance verplichtingen.

Voor solide compliance-management heeft Corporate Compliance in nauwe samenwerking met de Compliance-functie in de business lines en de bedrijfsonderdelen beleid, processen en instrumenten ontwikkelt ter ondersteuning van de beheersing van compliancerisico’s. Deze verzameling processen en instrumenten voor compliance-beheer bestaat uit de volgende onderdelen:

- Compliance-chart (met relevante compliance wet- en regelgeving en standaarden) - Signalering en beoordeling van compliance-risico’s

- Vermindering compliance-risico’s (inclusief de implementatie van standaarden, procedures en richtlijnen)

- Monitoring van compliance-risico’s (naleving compliance-beleid, de minimumstandaarden en toepasselijke wet- en regelgeving; kwartaalrapportages)

- Incidentenmanagement - Training & opleiding - Action Tracking

- Advies inzake compliance - Compliance governance Ontwikkelingen in 2007

Financiële instellingen worden nog steeds nauwlettend in de gaten gehouden door toezichthouders, overheidsinstellingen, aandeelhouders, rating agencies, klanten en andere belanghebbenden om er voor te zorgen dat zij de van toepassing zijnde wet- en regelgeving en standaarden nageleefd worden en aan de verwachtingen wordt voldaan. Toezichthouders van banken en verzekeraars en andere

toezichthoudende instellingen in Europa, de Verenigde Staten en elders zien erop toe dat financiële instellingen integer, efficiënt, geordend en transparant werken. Het streven is om aan de standaarden en verwachtingen van toezichthoudende instanties en andere belanghebbenden te voldoen middels diverse initiatieven waaronder het bestuderen van informatie betreffende rekeninghouders, betalingsverwerking en andere transacties, zodat deze activiteiten voldoen aan de eisen die gesteld worden in wet- en regelgeving betreffende witwaspraktijken, niet-toegestane transacties met landen onderhevig aan sancties, omkoping en andere corrupte praktijken.

Bij ontoereikend compliance management hebben toezichthouders en andere organen de mogelijkheid een juridische procedure aan te spannen tegen de onderneming, wat kan leiden tot o.a. opschorting of totale intrekking van de vergunningen, strafmaatregelen en andere disciplinaire maatregelen wat de reputatie van de onderneming en de financiële conditie kan schaden, maar dat is niet de reden waarom ze hieraan wil voldoen. De onderneming heeft eerlijk zakendoen hoog in het vaandel en verwerkt deze doelstelling in gemeenschappelijke waarden en organisatiebreed beleid.

De financiële instelling is in gesprek met haar Nederlandse toezichthouder, De Nederlandsche Bank (DNB) aangaande transacties met personen in landen die onderhevig zijn aan sancties opgelegd door de EU, de Verenigde Staten en andere autoriteiten. Deze gesprekken hebben Bank er toe aangezet om transacties met partijen die onderhevig zijn aan deze sancties te evalueren. In verband met deze evaluatie en daarmee samenhangende gesprekken heeft Bank op zich genomen om een mondiale implementatie van versterkte compliance en risicobeheerprocedures te voltooien en de implementatie van dergelijke procedures op een voortdurende basis te controleren, zoals opgedragen door DNB. Bank blijft ook in gesprek met de autoriteiten in de Verenigde Staten en in andere jurisdicties

betreffende deze aangelegenheden en het is op dit moment niet mogelijk een voorspelling te doen over de uitkomst hiervan.

Samenwerken met de bedrijfsonderdelen om het internationale beleid betreffende financieel-economische criminaliteit verder te verankeren had hoge prioriteit gedurende 2007. Het verbeterde beleid is wereldwijd uitgerold die bedrijfsonderdelen er toe verplichtte om stricte Ken-Uw-Klant-procedures, Customer Due Diligence procedures en het gebruik van technologie om klanten en transacties te screenen te implementeren.

Als gevolg van onze frequente beoordeling van alle ondernemingen vanuit economisch, strategisch en risico perspectief, heeft de organisatie haar representative office op Cuba gesloten en wordt de Netherlands Caribbean Bank, die nu een 100% dochteronderneming is, opgeheven. Bovendien is er besloten dat wegens zakelijke redenen het zaken doen met nader omschreven landen dient te worden beëindigd, hetgeen inhoudt dat de onderneming geen nieuwe relaties met klanten uit deze landen zal aangaan terwijl we zijn begonnen om bestaande relaties met deze landen te beëindigen. Momenteel worden Myanmar, Noord-Korea, Soedan, Syrië, Iran en Cuba tot deze landen gerekend.

Daarnaast is er in 2007 een speciale Sanctions desk ingericht op ondernemingsniveau om de business te assisteren met de groeiende hoeveelheid sanctiewetgeving, zoals de US en EU regelgeving inzake het witwassen en financiering van terrorisme.

Voor de onderneming was 2007 tevens een jaar van toenemende compliance-bewustwording en een groeiend besef van effectief compliancebeheer. De Raad van Bestuur gaf als belangrijke boodschap af dat duurzame en winstgevende groei alleen kunnen worden bereikt met effectief

compliance-management. Compliance ondersteuningsteams zijn opgezet om de divisies te helpen om compliance te integreren in hun activiteiten. Uitgebreide programma’s zijn opgestart om de kennis en het begrip van compliance te vergroten. Deze teams dienen als kanaal voor training, communicatie en het delen van goede compliance-procedures.

Het aantal fte’s bij Corporate Compliance is met 55% toegenomen en de organisatie is verder geprofessionaliseerd. Tevens is er op organisatieniveau een team opgezet dat zich concentreert op financieel-economische criminaliteit en anti-witwasbeleid en -procedures.

Verder is er een compliance projectorganisatie ingericht om ervoor te zorgen dat er verder gebouwd wordt aan een cultuur waarin compliance onlosmakelijk verbonden is correct zakendoen. Om compliance bewustwording verder te versterken is er een internationaal communicatieproject opgezet die start met belangrijke boodschappen vanuit de Raad van Bestuur. In 2008 en 2009 zullen managers een internationaal compliance risk management programma volgen met workshops en trainingen. OPERATIONEEL RISICO

Effectief toezicht en beheersen van operationele risico’s leidt tot stabielere bedrijfsprocessen en lagere operationele risicokosten.

Effectief risicomanagement omvat het vergroten van het risicobewustzijn, verbeterd inzicht in operationele risico’s, het verbeteren van communicatie over ‘early warnings’ , het benoemen van een eigenaar van het risico en het toewijzen van verantwoordelijkheden. Het behoort tot de

verantwoordelijkheid van Operational Information & Security Risk Management (OISRM) op lokaal en ondernemingsniveau om het management te ondersteunen bij het beheersen van de operationele, informatiebeveiliging en veligheidsrisico’s (hierna operationele risico’s genoemd).

Besturing Risicomanagement

OISRM is, langs functionele lijnen, georganiseerd op drie niveaus: groep, divisies en

bedrijfsonderdelen. De directeur COISRM (Corporate OISRM), stuurt langs deze functionele lijnen aan en rapporteert aan de CRO. Elk bedrijfsonderdeel heeft een hoofd OISRM die rapporteert aan het divisiehoofd OISRM. Door deze gelaagde functionele aanpak is de onderneming verzekerd van een consequente toepassing van richtlijnen en procedures, regelmatige rapportages en de juiste

communicatie, evenals de continue ondersteuning van de bedrijfsonderdelen. De besturingsstructuur is geïmplementeerd conform de vereisten van Basel II. Het mandaat, de rol en de verantwoordelijkheden van OISRM

op de verschillende niveaus zijn duidelijk omschreven in de OISRM beleidsrichtlijnen. Toelichting risicotypes

De onderneming heeft het operationele risico omschreven als het risico van directe of indirecte verliezen als gevolg van ontoereikende of tekortschietende interne processen, mensen en systemen of door externe gebeurtenissen. Ook het reputatieverlies en het juridisch risico worden tot de operationele risico’s gerekend; strategische risico’s daarentegen niet. De volgende acht risicocategorieën worden onderscheiden:

- Het risico m.b.t. control betreft het risico van verliezen als gevolg van de niet-naleving van bedrijfsbeleid of richtlijnen.

- Het risico op ongeautoriseerde activiteiten betreft het risico van verliezen als gevolg van

ongeautoriseerde handel door medewerkers, ongeautoriseerde handelingen of handelingen buiten het eigen autoriteitsgebied.

- Het procesrisico betreft het risico van verliezen als gevolg van onbedoelde menselijke fouten bij de (transactie)verwerking.

- Het arbeidsomstandigheden- en veilige werkplekrisico betreft het risico op verliezen als gevolg van handelingen die niet stroken met de arbowetten of -overeenkomsten, letselschadeuitkeringen of ongelijke behandeling/discriminatie-voorvallen.

- Het persoonlijke veiligheids- en fysieke beveiligingsrisico betreft het risico van criminele en milieudreiging die de veiligheid van het personeel, van locaties of activa in gevaar brengt of van invloed kan zijn op de organisatie.

- Het IT-risico betreft het risico van verliezen als gevolg van tekortschietende gegevens- of informatiebeveiliging van systemen.

- Het crisisbeheer- en BCP (bedrijfscontinuïteitsplannen)/DRP (rampenplannen)-risico betreft het risico van verliezen als gevolg van externe gebeurtenissen (natuurlijke catastrofes en criminele of

terroristische aanslagen; bijvoorbeeld bomaanslagen) die de veiligheid van de mensen binnen de onderneming of de continuïteit van de activiteiten in gevaar kunnen brengen.

- Het interne en externe frauderisico betreft het risico van verliezen als gevolg van handelingen met de intentie te benadelen verduistering danwel wet- of regelgeving te ontduiken.

In 2007 heeft de onderneming intern een Niet-Financieel Risico Dashboard geïntroduceerd waarmee geïntegreerde risico-informatie wordt verzorgd over compliance-, operationele, informatiebeveiligings- en veiligheidsrisico’s op basis van een consistente aanpak en in één risicotaal. Behalve de hierboven genoemde risicocategorieën voegt het Niet-Financiële Risico Dashboard ook het compliance-risico toe, oftewel het risico dat weten regelgeving, normen en verwachtingen niet door de onderneming worden nageleefd, wat onder andere zou kunnen resulteren in het opschorten of intrekken van de vergunning, het opschorten of beëindigen van orders, (bestuurlijke) boetes, strafmaatregelen of andere disciplinaire maatregelen, die een belangrijke negatieve invloed kunnen hebben op de resultaten en financiële positie.

Beheer

De onderneming stimuleert de effectieve beheersing van operationele, informatie- en

beveiligingsrisico’s door van bedrijfsonderdelen te verlangen dat zij bewijzen dat de juiste stappen zijn gezet voor de beheersing van operationele risico’s. De organisatie maakt gebruik van scorekaarten om de kwaliteit van de operationele, informatiebeveiligings- en veiligheidsprocessen binnen een

bedrijfsonderdeel te meten. Scores hangen samen met de aantoonbare aanwezigheid van de vereiste risicobeheerprocessen in de bedrijfsonderdelen (risicobouwwerk, signalering, meting, bewaking en vermindering). Uit de scorekaarten blijkt de mate van beheersing door de bedrijfsonderdelen. De uitkomst leidt tot een daling of toename van het operationele risicokapitaal, afhankelijk van de volwassenheid van de geïmplementeerde maatregelen ter beheersing van de operationele, informatiebeveiliging en veiligheidsrisico’s.

Uit de scorekaartuitkomsten blijkt dat de organisatie met de inbedding van het risicobeheerraamwerk voldoet aan de vereisten van Basel II.

Persoonlijke veiligheid en fysieke beveiliging

De organisatie heeft beleid ontwikkeld voor de persoonlijke veiligheid en de fysieke beveiliging. Het management van de onderdelen moet waarborgen dat deze beleidsrichtlijnen nageleefd worden. Het beleid voorziet in de minimale functionele eisen ten aanzien van toegangsbeveiliging, bescherming tegen diefstal en brand, beveiliging van contant geld en waardepapieren, van voorzieningen en infrastructuur en ondersteunende beveiligingshulpmiddelen. Beveiligingsplannen per locatie zijn gebaseerd op een beoordeling van de risico’s. Voor alle (belangrijke) activa (gebouwen, informatie, apparatuur en kostbaarheden) is een zogenoemde ‘activa-eigenaar’ aangewezen, die verantwoordelijk is voor de afdoende bescherming van de toevertrouwde activa. Iedere locatie wordt onderverdeeld in geclassificeerde veiligheidszones, om geclassificeerde activa terug te vinden. Voor elke entiteit wordt een fysieke beveiligingsmanager aangesteld, die verantwoordelijk is voor de implementatie van de fysieke beveiliging binnen de betreffende locatie(s).

In het concernbeleid voor persoonlijke veiligheid worden richtlijnen gegeven voor de bescherming van medewerkers tegen de risico’s of consequenties van criminaliteit en milieudelicten. In het beleid zijn

onder andere minimumvoorwaarden en richtlijnen opgenomen voor zakenreizen, expatriates,

evenementen en -projecten. Dit alles om een veilige omgeving te handhaven voor personeel, bezoekers binnen de locaties en de beschikbaarheid, integriteit en betrouwbaarheid van activa binnen en buiten de locaties.

Crisismanagement

Crisismanagement omvat het onderkennen, beoordelen, oplossen en evalueren van een crisis. In het beleid voor crisismanagement wordt een coherent overzicht gegeven hoe het crisismanagement is ingericht, welke rol de crisismanagementfunctionaris vervult en wat de verantwoordelijkheden zijn binnen de hele onderneming. In het beleid wordt echter niet ingegaan op de rol ten opzichte van de klanten of andere derden.

In het beleid zijn vereisten vastgelegd voor de planning en het testen van de

crisismanagementorganisatie, de communicatie tijdens een crisis, evacuatie van gebouwen, noodmaatregelen en continuïteit van de bedrijfsvoering en uitwijkplannen.

Informatiebeveiliging

De OISRM functie heeft als missie de vertrouwelijkheid, integriteit en beschikbaarheid van informatie en de daarmee samenhangende informatieverwerkende activa te bewaren en te bewaken door het gedisciplineerd gebruik van risicomanagement. De OISRM functie bestaat uit

informatiebeveiligingsdeskundigen in alle bedrijfsonderdelen en divisies en wordt centraal gecoördineerd op het niveau van de onderneming.

In document Transparantie in de Nederlandse risicoparagraaf (pagina 93-99)