Download - Compliance i praksis: §§ Rollefordeling og
![Page 1: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/1.jpg)
Are Jansrud, Chief Compliance Officer – SpareBank 1 Østlandet
Complianceseminaret 2018 - 25.09.2018
Compliance i praksis:Rollefordeling og arbeidsfordeling mellom operasjonell risikostyring (nivå 1) og compliancefunksjonen (nivå 2) i bank§§
![Page 2: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/2.jpg)
Rollefordeling og arbeidsfordeling mellom operasjonell risikostyring og compliancefunksjonen i bank
• Compliancefunksjonen kontra andre (kontroll)funksjoner
• Forsvarslinjene
• Ansvarsforhold og avgrensninger
• «Posisjoneringstrekanten»
• Samarbeid og dialog
02.10.20182
Fra teori til praksis ….
![Page 3: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/3.jpg)
Compliancefunksjonen (1)
Verdipapirforskriften §9-8 (2):
Verdipapirforetak skal ha en effektiv og uavhengig kontrollfunksjon, som skal:
a) kontrollere at foretaket oppfyller sine forpliktelser etter første ledd, b) regelmessig vurdere om de nevnte retningslinjer, prosedyrer og tiltak er
tilstrekkelig effektive, c) vurdere eventuelle tiltak som iverksettes for å avhjelpe manglende
etterlevelse av regelverket, og d) gi råd og veiledning om verdipapirforetakets forpliktelser etter
verdipapirhandelloven til foretakets ledelse, ansatte og andre som yter investeringstjenester på vegne av foretaket.
3 02.10.2018
![Page 4: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/4.jpg)
Compliancefunksjonen (2)
CRR/CRD IV-forskriften §30, 2. ledd:
Foretaket skal ha en uavhengig kontrollfunksjon med tilstrekkelig kompetanse og ressurser, som skal:a) kontrollere at foretaket oppfyller sine forpliktelser etter første
ledd, b) regelmessig vurdere om de nevnte retningslinjer, prosedyrer og
tiltak er tilstrekkelig effektive, c) vurdere eventuelle tiltak som iverksettes for å avhjelpe
manglende etterlevelse av regelverket.
4 02.10.2018
![Page 5: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/5.jpg)
Fra de tre forsvarslinjene …
5
Første forsvarslinje:Forretningsområdene (operativ driftsorganisasjon)
Andre forsvarslinje:Risikostyring & Compliance
Tredje forsvarslinje:Internrevisjonen
02.10.2018
![Page 6: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/6.jpg)
… til fem forsvarslinjer!
6
Første forsvarslinje:Forretningsområdene (operativ driftsorganisasjon)
Andre forsvarslinje:Risikostyring & Compliance
Fjerde forsvarslinje:Internrevisjonen
Tredje forsvarslinje:Ledelsen
Femte forsvarslinje:Styret
02.10.2018
![Page 7: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/7.jpg)
Fotball og compliance …
Fotball handler om å score flere mål enn motstanderen!
Hvor er det farligst at motstanderen har ballen?
Hvor scorer vi flest mål fra?
Hvor bør vi da gjenvinne ballen når vi har mistet den?
![Page 8: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/8.jpg)
Ansvarsforhold
Styret og ledelsen
1. linje
Compliance
Compliance-funksjonen
02.10.20188
Fastsette policy og retningslinjerPåse etterlevelse
Vurdere og teste etterlevelseGi råd
Operativt ansvarlig for etterlevelse
![Page 9: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/9.jpg)
Compliance-funksjonen og ledelsen (1)
Borgermester
Konsernsjef Chief Compliance Officer
Politimester
Bestemmer hvordan vi skal ha det i «byen» vår !
Passer på hvordan vi faktisk har det i «byen» vår !
«Byens» befolkning
Organisasjonen
02.10.20189
![Page 10: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/10.jpg)
Compliance-funksjonen og ledelsen (2)
Men vi vil helst være politimester for forebyggende
avdeling !
02.10.201810
![Page 11: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/11.jpg)
Compliance-funksjonen og ledelsen (3)
… selv om det selvsagt også må kontrolleres!
02.10.201811
![Page 12: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/12.jpg)
Strategisk og forretningsmessig risiko
Risikoenes sammenheng
02.10.201812
Operasjonell risiko
CompliancerisikoForretningsskikk-risiko
(«conduct risk»)
![Page 13: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/13.jpg)
Viktige avklaringer og avgrensninger
Intern-revisjon
Juridisk
Compliance
Op risk
02.10.201813
3. linjefunksjon
2. linjefunksjon
2. linjefunksjon1. linjefunksjon
![Page 14: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/14.jpg)
Posisjoneringstrekanten
Intern-revisjon
Juridisk
Compliance
Førstelinje-kontroller
02.10.201814
Hva skiller oss?• Vi er en andrelinje-funksjon.
Juridisk er en førstelinje-funksjon.
• Vi utfører etterlevelses-kontroller
Hva er likt?• Vi følger begge med på
regelverksutviklingen, vurderer konsekvenser for banken og informerer organisasjonen.
• Vi skal begge være pådrivere for at banken endrer rutiner, mv for å sikre etterlevelse av regelverk.
Hva skiller oss?• Vi er en andrelinje-funksjon.
Disse er en førstelinje-funksjon.
• Vi tester «testeren» så langt mulig.
• Vi utfører stikkprøvetester, mens førstelinjen normalt kontrollerer fortløpende.
Hva er likt?• Vi tester begge etterlevelse.
Hva skiller oss?• Vi er en andrelinje-funksjon. Internrevisjon er en
tredjelinje-funksjon.• Vi utfører regelmessige, løpende etterlevelses-
kontroller. Internrevisjonen utfører «engangstester».• Vi er ikke uavhengige av adm direktør.
Hva er likt?• Vi vurderer og tester begge rutiner og retningslinjer for
regelverksetterlevelse.
![Page 15: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/15.jpg)
Compliance vs Operasjonell risiko
COMPLIANCE
• Etterlevelse av lover og forskrifter
• Etterlevelse av myndighetenes rundskriv og retningslinjer
• Etterlevelse av eksterne, anerkjente standarder
OPERASJONELL RISIKO
• Etterlevelse av interne rutiner, prosedyrer og retningslinjer‒ Eksklusive de som skal
sikre etterlevelse av eksternt regelverk … ?
• Internkontroll-bekreftelsene
• Taps- og hendelses-database
• Kundeklager
02.10.201815
Nye produkter
Conduct risk
Felles / koordinerte
risiko-vurderinger ?
![Page 16: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/16.jpg)
Compliance vs Operasjonell risiko
• Denne arbeidsdelingen gir noen OBS-punkter hva gjelder verdipapirforetaksvirksomheten sett opp mot MiFID II-kravene:‒ Delegert kommisjonsforordning C(2016) 2398 sier bl.a. følgende om
ansvaret til compliance-funksjonen:‒ “to report to the management body, on at least an annual basis, on the
implementation and effectiveness of the overall control environment for investment services and activities, on the risks that have been identified and on the complaints-handling reporting as well as remedies undertaken or to be undertaken;”
‒ Dette krever innsikt i internkontrollbekreftelsene, men ikke nødvendigvis ansvaret for den samlede administrasjonen av de
‒ Samme kommisjonsforordning krever også bl.a. at:‒ “to monitor the operations of the complaints-handling process and consider
complaints as a source of relevant information in the context of its general monitoring responsibilities.”
‒ Tilsvarende som ovenfor så krever dette innsikt i kundeklagene, men ikke nødvendigvis ansvaret for den samlede administrasjonen av de
02.10.201816
![Page 17: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/17.jpg)
Compliance vs Juridisk
COMPLIANCE
• Andrelinjefunksjon: ‒ Identifisere og vurdere
compliance-risiko
‒ Vurdere foretakets prosedyrer, rutiner og systemer for å sikre regelverksetterlevelse
‒ Teste og kontrollere regelverksetterlevelse
‒ Gi anbefalinger til forbedringer
‒ Overvåke regelverksutviklingen og vurdere konsekvenser for banken
JURIDISK
• Førstelinjefunksjon
• Overordnet juridisk fagansvar
• Være pådriver for et løpende vedlikehold av rutiner og dokumenter
• Bistå medarbeidere i forbindelse med løpende juridiske problemstillinger
02.10.201817
“…the compliance function should also verify, in close cooperation with the RMF and the legal unit, that new products and new procedures comply with the current legal framework and, where appropriate, with any known forthcoming changes to legislation, regulations and supervisory requirements.”EBA guideline
«En sammenblanding av juridisk avdeling og compliance-enheten vil kunne ha uheldig innvirkning på compliancefunksjonensuavhengige stilling.»Finanstilsynets rundskriv 5/2015
Informere om nytt regelverk
Opplæring i nytt regelverk
Nye produkter
![Page 18: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/18.jpg)
Compliance: rolleavklaring ifht internrevisjon
• Klar rolledeling, men …
• … de årlige kontrollplanene bør avstemmes slik at man unngår unødvendige dobbeltkontroller og sikrer optimal utnyttelse av de samlede kontrollressursene.
02.10.201818
![Page 19: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/19.jpg)
1. linjens regelmessige
risikovurderinger
1. linjens internkontroll-
tiltak
Compliance-funksjonens årlige risikovurderinger og stresstesting
Compliance-funksjonens
årsplan
Compliance-funksjonens testing
Compliance-funksjonens rapportering
1. linjens lederbekreftelser
Taps- og hendelsesregistrering
Kundeklager
Varslingskanal
Etiske retningslinjer
Kompetansevedlikehold
Ny lov / forskrift / guideline / standard
1. linjens gap-analyse Tiltak
Compliance-funksjonens overvåking og
konsekvensvurderingerOpplæring
Nye produkter, tjenester, systemer,
etc.
Integrerte compliancerisiko-vurderinger
Tiltak
Compliance-funksjonen involvert i prosessen
Opplæring
02.10.201819
![Page 20: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/20.jpg)
Compliancefunksjonen: arbeidsoppgaver
• Identifisere og vurdere compliance-risiko• Vurdere bankens prosedyrer, rutiner og systemer for å sikre
regelverksetterlevelse• Teste og kontrollere regelverksetterlevelse• Gi anbefalinger til forbedringer• Overvåke regelverksutviklingen, samt analysere og gi råd om
konsekvenser – i nært samråd med Juridisk avdeling• Delta i godkjennelsesprosessen for vesentlige nye produkter,
tjenester, mv.
02.10.201820
![Page 21: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/21.jpg)
Compliance: Overordnet arbeidsform
Rapportering
Styre- og ledelsesrapporter Kontroll-rapporter
Løpende compliance-arbeid
Overvåking og testing «Compliance-besøk» Dybdeanalyser & Ad hoc
Årsplan
«Regelverksdatabase» Risikovurderingsmetodikk
Styrende dokumenter
Policy for compliance-risiko Strategi for compliance-risiko
02.10.201821
![Page 22: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/22.jpg)
Compliance: risikovurderingsprosessen
02.10.201822
«Regelverks-database»
Compliance-funksjonens initielle
risikovurdering
Workshops med forretningsområder
og stab/støtteenheter
Endelig risikovurdering
«Virksomhets-kartlegging»
«Endringer»:- Regulatorisk- Forretnings-
messig
Formål:• Forbedre våre egne risikovurderinger gjennom å få innspill
fra «de som har skoa på»
• Forankre vårt eget risikobilde på compliance-området med ansvarlige enheter
• Bidra til å øke ansvarlige enheters oppmerksomhet omkring eget ansvar for compliance og regelverks-etterlevelse
![Page 23: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/23.jpg)
Complianceplan ForbedringstiltakOperativ kontrollgjennomføring
Prosess-skisse
23
Uønskede hendelser
Ad hoc-sak på compliance
Internkontrollbekreftelser
Definerte førstelinjekontroller mht å sikre regelverksetterlevelse (compliance)
Risikovurderinger Årsplan Compliancekontroll CompliancerapportAvvik og tiltak
registreresTiltaksoppfølging
02.10.2018
![Page 24: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/24.jpg)
Compliance-kontrollene
• Kartlegge og vurdere internkontrollen: gir den rimelig sikkerhet for etterlevelse av regelverket‒ «COSO-kuben»
• Compliancetesting (etterlevelsestesting):‒ Kontroll av førstelinjekontrolløren («teste testeren»)‒ Direkte compliancekontroller
• Gjennomgang og vurdering av:‒ Internkontrollbekreftelser / Kundeklager / Tap og uønskede hendelser
02.10.201824
![Page 25: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/25.jpg)
Compliance-dialogen
• Svakheter i rutiner, retningslinjer, systemer, etc.:‒ Dialogen tas med ansvarlig stabs-/fagenhet
• Manglende etterlevelse av gjeldende rutiner, retningslinjer:‒ Dialogen tas med aktuelt forretningsområde/avdeling
• Regelmessig (faste kvartalsmøter) med sentrale controllerfunksjoner i første forsvarslinje
02.10.201825
![Page 26: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/26.jpg)
Utfordringer ….
02.10.201826
Kilde: «Coping with Compliance: The effects of regulatory requirements on employees in the Nordic financial sectors», Nordic Financial Unions, 31.01.2018
![Page 27: Compliance i praksis: §§ Rollefordeling og](https://reader034.vdocuments.site/reader034/viewer/2022042421/625fef50af9d413c12459c01/html5/thumbnails/27.jpg)
Takk for oppmerksomheten !
27