COMPLIANCE VERSION 2.0? SKAL COMPLIANCE LÆNGERE FREM PÅ SLAGMARKEN - I FIRST LINE OF DEFENCE? EN PUBLIKATION AF FCG THE FINANCIAL COMPLIANCE GROUP A/S
Made simple: Den traditionelle compliancefunktion ligger i den såkaldte anden forsvarslinje sammen med den uafhængige risikostyringsfunktion. Den etablerede forståelse af compliancefunktionen har stærk indflydelse på, hvordan finansielle virksomheder arbejder med compliance en indflydelse som er både sund og vigtig. Det er imidlertid vigtigt at bemærke, at en stærk og uafhængig compliancefunktion ikke er den eneste faktor, som bidrager til at sikre god compliance. Den omfattende mængde af nye regler, som er affødt af den finansielle krise, betyder, at finansielle virksomheder med stadig større fordel kan rette fokus mod en styrket complianceindsats et nyt sted; i første forsvarslinje.
BAGGRUND Begrebet compliance er en fællesbetegnelse for overholdelsen af de love, bestemmelser, normer og etiske regler, som gælder for en virksomhed. Compliancerisiko kaldes undertiden integritetsrisiko, da en virksomheds omdømme (herunder evnen til at tiltrække den bedste arbejdskraft) er forbundet med virksomhedens evne til at overholde lovgivningen herunder regler om god forretningsskik. Med en kraftig stigning i mængden og kompleksiteten af den finansielle lovgivning er compliance de seneste 10 år gået fra at være en mindre kontrolfunktion til at være en central del af at drive finansiel virksomhed. I finansielle virksomheder kan arbejdet med compliance grundlæggende opdeles i to typer af risiko; (1) risici, som udspringer fra virksomhedens aktiviteter, og (2) risici, som udspringer fra virksomhedens drift. Risici, som stammer fra virksomhedens aktiviteter, vedrører typisk handlinger og undladelser hos kunder og konkurrenter samt udviklingen på markeder, virksomheden opererer på (udefrakommende risici). Risici, som stammer fra virksomhedens drift, vedrører typisk handlinger og undladelser, som virksomhedens ledelse, medarbejdere eller systemer skaber (indefrakommende risici). I finansielle virksomheder varetages compliance med aktivitetsmæssige risici primært af den uafhængige risikostyringsfunktion, som påser tilstrækkelighed og kvalitet af virksomhedens processer og styringsmekanismer for bl.a. kredit-, likviditets- og markedsrisici. Set i et samfundsmæssigt perspektiv handler mitigering af disse risici grundlæggende om at sikre virksomhedens overlevelse og, dermed, den finansielle stabilitet i samfundet. Som modvægt hertil varetages compliance med virksomhedens driftsmæssige risici primært af den uafhængige compliancefunktion. Disse regler er, set i et større perspektiv, centreret omkring sund ledelse og forbrugerbeskyttelse, herunder gennemsigtighed med priser, produkter og transaktioner samt forhindring af hvidvask og terrorfinansiering. THREE LINES OF DEFENCE Compliance varetages ud fra en teoretisk betragtning i tre forsvarslinjer, som samlet udgør virksomhedens værn mod manglende regelefterlevelse såkaldt noncompliance. Forsvarslinjerne giver virksomheden tre chancer for at fange non-compliance; (i) den udførende enhed, (ii) de klassiske kontrolfunktioner, (iii) intern revision. 1. forsvarslinje 2. forsvarslinje 3. forsvarslinje De tre forsvarslinjer Fælles for reglerne om compliance med driftsmæssige risici er, at de primært retter sig mod den uafhængige compliancefunktion. Der har i denne forbindelse sideløbende med udviklingen indenfor lovgivningsinitiativer og retningslinjer m.v. udviklet sig en markedspraksis for, hvorledes arbejdet med compliance håndteres på mest effektiv vis. COMPLIANCEFUNKTIONEN Forretningsenheder Compliance & RISK Intern Revision For aktørerne i den finansielle sektor har der i mange år været krav om en uafhængig compliancefunktion. I tillæg til generelle formuleringer om god virksomhedsledelse i bl.a. lov om finansiel virksomhed findes specifikke krav til compliancefunktionens indretning og metode i hhv. Ledelsesbekendtgørelsen 1 og 72-bekendtgørelsen 2. I en international kontekst har de danske regler en naturlig sammenhæng med den europæiske regulering om compliancefunktionen. De danske regler afspejler særligt MiFID-direktivet, som blev implementeret i 2007. Dernæst har ESMA (European Securities and Markets Association) udstedt retningslinjer for compliancefunktionen hos værdipapirhandle- 1 Bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 2 Bekendtgørelse om de organisatoriske krav til og betingelserne for drift af virksomhed som værdipapirhandler
re, og tilsvarende retningslinjer findes for banker fra bl.a. EBA (European Banking Authority). Med den forestående implementering af de europæiske Solvens 2- regler undergives også forsikrings- og pensionsselskaber regler for compliancefunktionens virke. Det grundlæggende motiv bag den uafhængige compliancefunktion er, at virksomheden skal være i stand til at foretage en uafhængig og objektiv kontrol af sine aktiviteter uden at blive påvirket af kommercielle incitamenter. Sådanne uønskede incitamenter vil typisk opstå i relation til virksomhedens drift, hvor selskabets tjenester, produkter og kunderelationer kan skabe en potentiel risikovillighed, som kan stå i modsætning til de interesser, lovgivningen netop søger at beskytte. Sammen repræsenterer første hhv. anden forsvarslinje således en dobbelthed, hvor der ideelt set bør være gensidig støtte og udveksling af (visse) oplysninger, og hvor samarbejde og ansvar bør udgøre en effektiv samlet kontrol af virksomheden som helhed. Compliancefunktionen er altid nødt til at afveje, hvor mange ressourcer, der skal afsættes til overvågning og kontrol hhv. støtte til forretning og forvaltning. Hvor hovedvægten bør ligge i det proaktive arbejde (identifikation og reduktion af risici), må det konkrete tilfælde altid vurderes ud fra virksomhedens modenhed herunder kulturen omkring styring, kontrol og regelefterlevelse. Det er FCG s erfaring, at vurderingen ofte udgør en vanskelig afvejning, når sparsomme ressourcer skal fordeles. Den grundlæggende årsag til dette problem er, efter FCGs vurdering, oftere end ikke, at virksomheden ikke har en tilstrækkelig stærk og konsekvent håndhævelse og forvaltning af lovgivningen i første forsvarslinje. Dette betyder, at compliancefunktionen ikke har et naturligt modstykke i første forsvarslinje. Dualitet opnås ikke i tilstrækkelig grad. UDFORDRINGER Udfordringen for finansielle virksomheder er, i FCG s optik, at etablere en enhed i første forsvarslinje, som nok har en anderledes profil, kompetence og specialisering end compliancefunktionen, men som stadig har regelefterlevelse som sin raison d etre. En selvstændig assistance til og udbygning af virksomhedens traditionelle compliancefunktion. Nogle finansielle virksomheder har allerede taget et stort skridt i denne integrationsproces ved også at have compliancefokuseret personale i første forsvarslinje. Compliancerelaterede opgaver varetages i disse tilfælde ofte af medarbejdere med et delvist operativt ansvar, som tildeles et ansvar for også at varetage bestemte compliancerelaterede opgaver, herunder en selvstændig identificering af problemer og afvigelser for virksomhedens compliance. FORDELE At have en stabil og struktureret styring af compliance i første forsvarslinje indebærer mange fordele. For det første skabes en større forståelse for arbejdet med compliance i virksomhedens operationelle afdelinger, som i højere grad oplever de operationelle fordele, som kan være forbundet hermed. Dernæst øges forretningens forståelse for vigtigheden af de opgaver, som udføres af compliancefunktionen. Det bliver således lettere og mere effektivt for den lovpligtige compliancefunktion at nå ud til operationelle dele af virksomheden med budskaber om nye regler, herunder krav og metoder som skal etableres for at sikre compliance uden at belaste den løbende drift unødigt. I tillæg til de mere åbenlyse fordele findes dernæst også erhvervsøkonomiske fordele. Ved mere proaktivt at inddrage kommende lovgivning i driften kan virksomheden foretage mere informerede og gennemarbejdede valg vedrørende kunder, produkter og tjenester. Videre kan virksomheden fokusere på at optimere forretningen mht. de lovmæssige rammer og minimere risikoen for negativ publicitet og påbud pga. bristende compliance. Virksomheden kan således bruge de opnåede fordele til at føre en mere stabil, ressourceeffektiv og fremadskuende strategi, som kan udgøre en reel konkurrencefordel ift. konkurrenterne. Endelig kan et effektivt arbejde med compliance i første forsvarslinje betyde, at virksomheden bliver mindre sårbar og afhængig af den lovpligtige compliancefunktion, som i bytte friholdes for at udføre og tage et større ansvar end den bør.
En forretningstilpasset og fokuseret tilgang til compliance i både første og anden forsvarslinje afføder efter FCGs erfaring en positiv effekt på både virksomhedens udvikling og lønsomhed. Finansielle virksomheder kan, med en kombineret complianceindsats i første og anden forsvarslinje, opnå en forbedret og langt mere målrettet og proaktiv virksomhedsførelse. METODER Der findes en række værktøjer og metoder, der kan bruges til at opnå et stærkere fokus på compliancearbejdet i første forsvarslinje. Valget mellem metoderne bør baseres på virksomhedens aktiviteter, størrelse, omfang, modenhed og risiko. En vigtig del af processen består i at udpege en person eller oprette en funktion, hvori arbejdet med compliancerelaterede opgaver i første forsvarslinje kan forankres; en First Line Compliance Officer". Til forskel fra virksomhedens lovpligtige compliancefunktion behøver complianceofficeren i første forsvarslinje ikke være afsondret fra de forretningsmæssige aktiviteter og beslutninger, og vedkommende kan således have en mere operationel tilgang til arbejdet med virksomhedens drift. En virksomhed bør starte med at etablere en organisation, proces og struktur omkring forpligtelserne i første linje, herunder en identificering af de mest centrale områder i den relevante lovgivning. Dernæst er det tilrådeligt at identificere en intern eller ekstern First Line Compliance Officer herunder sikre, at vedkommende er tilstrækkeligt kompetent, operativt såvel som fagligt, til at varetage sin rolle. OM FCG The Financial Compliance Group (FCG) er en konsulentvirksomhed, som er specialiseret i compliance, risikostyring og ledelse i virksomheder, som er under Finanstilsynets eller udenlandske tilsynsmyndigheders tilsyn. FCG er blandt de førende aktører indenfor compliance og risikostyring i Norden med kontorer i København og Stockholm. FCGs kunder omfatter flere af de største banker og forsikringsselskaber i Norden samt en række specialiserede aktører i den finansielle sektor. FCG hjælper finansielle virksomheder med at opnå deres langsigtede strategiske mål ved at identificere og afhjælpe de udfordringer, som virksomhederne står overfor. FCGs medarbejdere har tilsammen mere end 50 års erfaring med finansielt tilsynsarbejde og tilsvarende kompetence inden for risiko- og kapitalstyring. FCGs konsulenter har erfaring med både regulerings- og tilsynsarbejde hos myndigheder og ministerier. FCG har deltaget i Baselkomitéen og andre internationale fora, og vi har fra ledende positioner udviklet, gennemført og forvaltet risikostyrings- og complianceprocesser i alle typer af finansielle virksomheder. KONTAKT Ossian Nilsson, Partner Ossian.Nilsson@fcg.dk Direkte: +45 2682 8789 INTERESSERET? Hvis du er interesseret i at høre mere om, hvordan compliance i første linje kan organiseres, så kontakt FCG for yderligere drøftelser om, hvordan vi kan hjælpe med at finde et passende niveau.