Compliance funksjonen – utøvelse og praktisk angrepsvinkel¸tereferater/Complianceutvalget... ·...

Compliance funksjonen – utøvelse og praktisk angrepsvinkel

Presentasjon i Complianceutvalget i VFF den 10. april 2013

Kate A. Pauli

Lovpålagt funksjon Verdipapirforetak og forvaltningsselskaper for verdipapirfond er pålagt gjennom lov og forskrift å ha en effektiv og uavhengig kontrollfunksjon.

• «Forskrift til verdipapirhandelloven § 9-8. regulerer - Kontroll av etterlevelse (compliance)

• «Forskrift til verdipapirfondloven § 2-10. regulerer - Kontroll av etterlevelse (compliance)

• ESMA 2012/388 Retningslinjer vedrørende kravene til kontrollfunksjonen (compliance) etter MiFID. • Esma retningslinjene gjelder kravene som stilles til Compliancefunksjonen i verdipapirforetak og

forvaltningsselskaper for verdipapirfond som har tillatelse til å yte investeringstjenestene aktiv forvaltning eller investeringsrådgivning.

• Finanstilsynet har uttalt at de legger retningslinjene til grunn i sin praksis og viser til at tilsynet allerede har etablert en praksis som anses i tråd med retningslinjene.

• Retningslinjene kan i norsk rett utledes av verdipapirhandelloven med tilhørende forskrift. De mest relevante bestemmelsene er vphl § 9-11 femte ledd og vpf § 9-8, § 9-11 og § 9-12.

2 •

Finanstilsynets fokus på Compliance rollen

Gjennom flere stedlige tilsyn har vi sett at Finanstilsynet har fokus på Compliancerollen og utøvelsen av den.

Hovedfokus har ofte vært:

• Organisering, styring og kontroll; • Ledelsen • Compliancefunksjonen og

• God forretningsskikk

3 •

Noen rettslige utgangspunkter

Gjennom ulike merknader til markedet har Finanstilsynet påpeker det rettslige utgangspunktet for Compliancefunksjonen.

• «Verdipapirforetak skal ha gode kontroll- og sikkerhetsordninger (Vphl. § 9-11, 1 ledd nr. 5)»

• «Foretaket plikter å ha en effektiv og uavhengig kontrollfunksjon med nødvendig autoritet, ekspertise og ressurser, jf Vpf. § 9-8.»

• «Kontrollfunksjonen skal gjennom løpende kontroll, regelmessige vurderinger og iverksetting av eventuelle tiltak sikre at foretaket oppfyller sine forpliktelser etter verdipapirhandelloven og forskrifter, jf. Vphl. § 9-11, jf. Vpf. § 9-8.»

• «Compliancearbeidet må være av en slik art i form og innhold at det er mulig for Finanstilsynet å føre tilsyn med foretaket, jf. Vpf. § 9-8, 1. ledd.»

• «Foretaket skal tilpasse kravene til kontroll av etterlevelse til art, omfanget og kompleksiteten i virksomheten, jf. Vpf. § 9-11, 1. ledd.»

• «Foretaket skal ha et effektivt system for rapportering og formidling av relevant informasjon innad i foretaket, og at den øverste ledelse og styre skal motta skriftlige rapporter om foretakets etterlevelse av lover og regler, risikostyring og internrevisjon på regelmessig basis, jf. Vpf. § 9-7 og Vpf .9-12.»

4 •

Strenge krav til Compliancerollen

• Compliance rollen møter stadig større utfordringer

• Lovregulerte krav og fokus fra Finanstilsynet viser at Compliance rollen har et stort ansvar

• Det settes omfattende og strenge krav til utøvelse av rollen, både når det gjelder struktur, formalisering, effektivitet, ressurser, rapportering og dokumentasjon av arbeidet

• Den som utøver Compliancerollen skal også ha nødvendig autoritet, kompetanse og skal være uavhengig

• Compliance må være presis og tydelig i sin rapportering

• Compliance arbeidet må være tilpasset virksomhetens art, omfang og kompleksitet

5 •

Hva må Compliance gjøre?

• På bakgrunn av lovpålagte krav og stadig fokus på Compliancerollen må arbeidet formaliseres og dokumenters.

• Med utgangspunkt i lovregulerte krav, finanstilsynets merknader og egen erfaring viser presentasjonen hvordan utøvelsen av Compliancerollen kan utøves.

• En god struktur, aktiv bruk av hensiktsmessige logger og måten aktiviteter dokumenteres på, bidrar til god oversikt over de compliance aktiviteter Compliance har utført, samt at alt blir dokumentert og etterprøvbart.

6 •

Compliance må være bevist på egen rolle

Har compliance;

• Tilstrekkelige ressurser for å ivareta sine arbeidsoppgaver på en effektiv måte?

• Tilstrekkelig kompetanse på alle områder Compliance er ansvarlig for?

• Nødvendig autoritet?

• Tilgang til relevant informasjon?

Blir compliance;

• Pålagt oppgaver eller involvert i funksjoner som Compliance skal kontrollere?

• Pålagt oppgaver eller involvert i funksjoner som påvirker muligheten til å utøve tilstrekkelige kontrollaktiviteter og Compliance oppgaver?

Dersom Compliance opplever at det er vanskelig eller ikke kan utøve kontrollfunksjonen på en effektiv og uavhengig måte må Compliance påse at foretakets ledelse blir kjent med problemstillingen. Vesentlige forhold må fremkomme i den skriftlige rapporteringen til foretakets ledelse/styre.

7 •

Hvordan kan Compliance strukturere og formalisere arbeidet for å ivareta de krav som stilles?

• Fastsette en Compliance plan som dekker hele virksomheten/området

• Fastsette rapporteringsform og frekvens

• Vurdere virksomhetens risiko og tilpasse aktiviteter og ad hoc oppgaver etter en risikobasert tilnærming

• Virksomhetens kompleksitet, art og omfang må hensyntas i planleggingen og angrepsvinkel

• Jobbe strukturert og dokumentere alle compliance aktiviteter

• Bruk av hensiktsmessige logger og standardiserte skjemaer

• Viktig at Compliances rolle og arbeid er forankret i virksomhetens ledelse/styre

• Viktig at Compliance mottar løpende og tidsriktig informasjon

8 •

Plan for Compliancearbeidet

Compliance må ha en plan for compliance arbeidet.

• Strukturert, oversiktlig og hensiktsmessig plan

• Må dekke hele virksomheten og vise at alle deler blir kontrollert over en periode

• Planen må være tilstrekkelig konkretisert og må kun omfatte Compliances oppgaver

• En god plan er et godt verktøy for å få et overordnet bilde over nødvendige aktiviteter som skal gjennomføres og sikrer at hele virksomheten blir dekket over en periode

• Finanstilsynet har ved flere anledninger påpekt viktigheten av at det foreligger planer for Complaincearbeidet

9 •

Plan for Compliancearbeidet

Complianceplanen kan/eller bør inneholde informasjon om:

• Organisasjon, ledelse og compliance

• Rapporteringslinjer, rapporteringsform og frekvens

• Art, omfang og kompleksitet – Risikobasert tilnærming

• Complianceaktiviteter

• Krav til dokumentasjon

10 •

Organisasjon, ledelsen og compliance

• Oversikt over organisasjonen, ledelse og compliance er viktig for å vise virksomhetens organisasjonsstruktur og kompleksiteten i virksomheten, samt hvem som er leder og/eller innehar de ulike roller i virksomheten

• Faste data som bør opplyses i planen kan være; • Virksomhet/område planen gjelder for • Periode • Organisasjonskart • Ledelsen - navn • Compliance - navn

Ledelsens ansvar Det er den øverste ledelse som er ansvarlig for at virksomheten overholder forpliktelser eller lov og forskrifter. Ledelsen skal vurdere og regelmessig gjennomgå de ordninger og prosedyrer som er iverksatt for å oppfylle foretakets forpliktelser, samt iverksette tiltak for å avhjelpe eventuelle mangler.

11 •

Rapporteringslinjer, rapporteringsform og frekvens

• Rapporteringslinjer • Rapporteringslinjene må være klart definert • Dekke lovkrav til rapporteringslinjer

• Krav til skriftlige rapporter • Den øverste ledelse og styre skal motta skriftlige rapporter om etterlevelse av lover og

regler, risikostyring og internrevisjonen på regimessig basis, og minst en gang per år

• Slike rapporter skal blant annet angi om det er iverksatt forebyggende tiltak for å avhjelpe eventuelle mangler

12 •

Rapporteringslinjer, rapporteringsform og frekvens – forts.

Finanstilsynet Finanstilsynet har gjennom ulike merknader fra stedlige tilsyn påpekt kravene til effektivt system for rapportering og formidling av relevant informasjon i foretaket, hvor FSA har bemerket følgende;

«Med "hensiktsmessig intern rapportering" menes her rapportering hvor man har tilpasset rapporteringslinjer, detaljnivå og hyppigheten til virksomhetene art, omfang og kompleksitet. Dette vil for det første være nødvendig for å gi ledelsen og styret regelmessig overordnet bilde av situasjonen i foretaket på det området compliance har ansvar for. For det annet vil rapportene gi grunnlag for eventuelt å iverksette nødvendig tiltak fra overordnet nivå – som kan omfatte både akutte ad hoc-inngrep, og mer planmessig og langsiktig arbeid innenfor Compliance. Rapportering er også viktig som et bidrag til å skape notoritet internt, og eksternt ovenfor Finanstilsynet, over hvilket arbeid som er utført av compliance".

13 •


Compliance rapporteringen må være formalisert, systematisk, konkret og presis.

• All rapportering må alltid være dokumentert skriftlig • Hvem det rapporteres til, dato for rapporteringen og hvilket område

rapporteringen gjelder for må fremkomme • Rapporteringen må være strukturert og systematisk • Rapporteringen må være tilstrekkelig detaljert i forhold til de observasjoner

Compliance har gjort • Presis kommunikasjon er viktig • Rapporteringen må inneholde oppsummerende konklusjon og en beskrivelse av

situasjonen i selskapet/området slik at den kan gi et overordnet bilde • Rapporteringen må være så konkret og presis at den kan fungere som et

hensiktsmessig styringsverktøy for ledelsen og styre

14 •


Ulike former for rapportering.

Løpende anbefalinger, faste møter med ledelsen, ad-hoc rapporter og faste ½ års rapporter er viktige former for rapportering for å gi ledelsen tidsriktig og løpende informasjon om compliance saker.

Løpende anbefalinger Når Compliance har gjennomført forebyggende eller kontrollerende aktiviteter kan det være behov for å gi virksomheten en anbefaling. Anbefalinger bør gis så snart som mulig slik at virksomheten blir oppmerksom på problemstillingen og kan settes i stand til å iverksette tiltak.

15 •


Faste møter med ledelsen Saker som kan tas opp: • Gjennomgang av stikkprøver – Kontroll av etterlevelse • Gjennomgang av anbefalinger som er gitt • Gjennomgang av feil som er oppstått • Gjennomførte aktiviteter • Råd og veiledning • Gjennomførte ansatte treninger • Oppfølgingssaker • Endringer/nyheter mht regelverk • Merknader til markedet fra Finanstilsynet • Aktuelle saker i media • Informasjon fra Compliance • Informasjon fra ledelsen • Eventuelt

Møte gjennomføres strukturert og formelt. Skriftlig referat utarbeides, dato og hvem som har deltatt må fremkommer. Referatet må være tilstrekkelig detaljert.

16 •


Ad-hoc rapporter når dette er nødvendig

• Compliance må sende skriftlige rapporter til ledelsen og styret når Compliance vurderer det som nødvendig eller hensiktsmessig, selv om dette er utenfor den faste planlagte rapporteringsfrekvens.

17 •


½ årlige Compliance rapporter – saker som kan/bør vær med:

• Oppsummere perioden rapporteringen gjelder for • Gi et overordnet bilde av situasjonen • Aktiviteter utført i perioden og resultatet av disse • Alle aktuelle logger må vedlegges (anbefalingslogg, incident logg, ansatte

trenings logg, aktivitets- og rådgivningslogg og rapporteringslogg mv) • Vesentlige og kritiske problemstillinger må beskrives ytterligere i rapporten • Behov for å iverksette tiltak må fremkomme klart • Manglende oppfølging fra ledelsen side hva gjelder Compliance saker må

fremkomme • Dersom Compliance ikke får løpende og tidsriktig informasjon må dette

fremkomme • Nye krav til virksomhet gjennom endringer eller nytt regelverket bør tas med • Har Compliance problemstillinger knyttet til utøvelsen av Complaincerollen må

dette tas med

18 •

Art, omfang og kompleksitet

Kravene som stilles til Compliance funksjonen skal være tilpasset virksomhetens art, omfang og kompleksitet.

Det er viktig at det er balanse mellom virksomhetens art, omfang og kompleksitet og de aktiviteter Compliance utfører.

19 •

Risikobasert tilnærming

• Gjennom en risikobasert tilnærming kan vi optimalisere og gjennomføre compliance aktivitetene på en strukturert og effektiv måte

• Compliance må sikre at risikovurderingen er så god at det er områder med høyest risiko får størst oppmerksomhet

• Risikovurderingen må gjennomføres strukturert og systematisk slik at hele virksomheten blir dekket

• Vurderingen må være basert på fakta og den reelle situasjonen som virksomheten er i

• Vurderingen må være dokumenterbar

20 •

Risikobasert tilnærming

Forhold som bør vurderes ved gjennomføring av en risikovurderingen;

• Virksomhetens kompleksitet, omfang og art

• Rammeverk

• Tjenester og Produkter etc

• Organisasjonsstruktur – Juridisk – funksjonell – matrise ol

• Har virksomheten nødvendige retningslinjer og rutiner?

• Har virksomheten god risikostyring og intern kontroll og hvordan får dette betydning for compliances kontroll?

• Kompetansen

• Ledelsens oppfølging av compliance observasjoner

21 •

Complianceaktiviteter

Complianceaktiviteter kan deles inn i;

• Forebyggende aktiviteter

• Kontrollerende funksjon - Kontroll av etterlevelse

• Ad-hoc aktiviteter

22 •


Forebyggende funksjon

Gjennom strukturert opplæring og forebyggende aktiviteter kan Compliance gi råd og veiledning om foretakets forpliktelser slik at ansatte og ledelse blir bevist på og får nødvendig kjennskap til foretakets forpliktelser etter lov og forskrifter.

Gjennom forebyggende aktiviteter kan Compliance bidra til at ansatte og ledelse har nødvendig fokus på viktige og risikofylte områder og har nødvendig kjennskap til instrukser og prosedyrer mv.

En kombinasjon av strukturert opplæring gjennom fysiske kurs, påminnelser, informasjon, råd og veiledning via mail, samt Compliances deltagelser i møter gjør at Compliance kan gjennomføre forebyggende aktiviteter effektivt og kan nå mange på en enkel måte.

23 •


Forebyggende funksjon

Alle forebyggende aktiviteter må dokumenteres og loggføres.

Compliances arbeid med forebyggende aktiviteter gir også Compliance en unik mulighet til å få oversikt over ansattes kunnskaper og hvor virksomheten har behov for forbedringer.

Forebyggende aktiviteter kan også gi Compliance en indikasjon på hvor Compliance må øke sin fokus når det gjelder råd og veiledning eller hvor det bør utføre flere kontroller.

Compliances arbeid med forebyggende aktiviteter vil også kunne bidra positivt til at ansatte og ledelsen får mer kjennskap til compliances arbeid og der igjen ser viktigheten av å gi Compliance nødvendig og løpende informasjon.

24 •


Forebyggende aktiviteter kan være

• Opplæring/kurs

• Påminnelser

• Informasjon og bevisstgjøring om instrukser og rutiner

• Informasjon og bevisstgjøring om regelverket

• Informasjon om uttalelser og merknader fra Finanstilsynet

• Informasjon om aktuelle nyheter – fokus i media, dommer etc.

• Løpende rådgivning – deltagelse i møter, besvare spørsmål, veiledning etc.

25 •


Kontrollerende funksjon – Kontroll av etterlevelse

• Virksomheten skal ha retningslinjer og prosedyrer for å avdekke risiko for at foretaket ikke oppfyller sine forpliktelser etter lov og forskrift

• Foretaket skal iverksette forebyggende tiltak og prosedyrer for å begrense slik risiko og gjøre det mulig for Finanstilsynet å føre tilsyn med foretaket

• Gjennom strukturerte kontroller og stikkprøver kan Compliance avdekke hendelser, brudd og avvik

• Overvåkingsprogrammet (en del av complianceplanen) må stå i forhold til virksomhetens art, omfang og kompleksitet og være basert på en risikobasert tilnærming

26 •

Complianceaktviteter

Kontrollerende funksjon – Kontroll av etterlevelse

Gjennom strukturert kontroller og stikkprøver skal Compliance løpende kunne vurdere;

Om foretaket har retningslinjer og prosedyrer for å avdekke risiko.

• Om foretaket har prosedyrer for å iverksette forebyggende tiltak og prosedyrer for å begrense slik risiko

• Regelmessig vurdere om ovennevnte retningslinjer og prosedyrer og tiltak er tilstrekkelige effektive

• Vurdere om eventuelle tiltak som iverksettes for å avhjelpe manglende etterlevelse er tilstrekkelige

• Alle kontroller og stikkprøver må dokumenteres og loggføres

• Compliance må påse at virksomheten har rutiner for å rapportere feil og mangler som oppstår. Alle feil og mangler må loggføres i egen logg

27 •

Complianceaktivteter

Ad-hoc aktiviteter

• Når Compliance opplever at det er hensiktsmessig og behovet er til stede må Compliance gjennomføre ad-hoc kontroller

• Dette kan være som følge av at Compliance har fått mistanke til noe gjennom sin planlagte kontrollaktivitet, eller at Compliance har fått informasjon om noe som tilsier at det er behov for kontroll

28 •

Dokumentasjon

Dokumentasjon av Compliance aktiviteter • Compliance må ha et formalisert opplegg for dokumentasjon og loggføring • Alle Compliance aktiviteter må dokumenteres og loggføres • All viktig informasjon og rapporteringer må loggføres • Dokumentasjonen må være tilstrekkelig, presis, klar og tydelig • Dokumentasjon og loggføring er en viktig forutsetning for at Compliance skal

kunne dokumentere de aktiviteter Compliance har utført • God dokumentasjon og bruk av logger gir en god oversikt og er en viktig

forutsetning for å kunne gi en oversiktlig og hensiktsmessig rapportering til ledelsen

• Gjennom loggføring kan Compliance se et mønster av eventuelle problemstillinger

• Bruk av standardiserte skjemaer for ulike compliance aktiviteter bidrar til å formalisere og dokumentere compliances arbeid

29 •

Dokumentasjon

Logger som bør/kan benyttes: • Aktivitetslogg • Anbefalingslogg • Stikkprøver/kontroll av etterlevelse logg • Incident logg/feil og mangler logg • Ansatte trening • Egentrening • Rapportlogg • Management – compliance møte logg • Kundeklage logg • Møtelogg med compliance temaer

30 •

Dokumentasjon

Standard skjemaer som bør/kan benyttes:

• Rapportering av anbefaling

• Dokumentasjon av Stikkprøve/kontroll av etterlevelse

• Rapportering av incident/feil og mangler

Notoritet Notoritetshensynet tilsier at det bør stilles store krav til skriftlighet

31 •

Compliance funksjonen – utøvelse og praktisk angrepsvinkel¸tereferater/Complianceutvalget... ·...

Documents

Transcript of Compliance funksjonen – utøvelse og praktisk angrepsvinkel¸tereferater/Complianceutvalget... ·...