Invulling compliancefunctie kan beter

Nieuwsbericht
Datum 20 december 2018

Compliance officers besteden nog te weinig tijd aan het monitoren van de risicobeheersing door de business en aan het structureel verhogen van de bewustwording van de risico’s binnen de organisatie.

Bril en nota

DNB heeft in het najaar van 2018 onderzoek gedaan naar de werking van de compliancefunctie bij een vijftal verzekeraars.

Sleutelfunctie

De compliancefunctie is een van de vier sleutelfuncties uit het Solvency II-raamwerk voor (her)verzekeraars en speelt een cruciale rol in de beheersing van operationele- en integriteitrisico’s. De eerste lijn, de business zelf, is primair verantwoordelijk voor de beheersing van de risico’s binnen haar processen. De compliancefunctie vervult als onafhankelijk gepositioneerde tweedelijnsfunctie een rol bij het ondersteunen en adviseren van de eerste lijn én is verantwoordelijk voor het monitoren en bewaken (continu toetsen) van de risicobeheersing door de eerste lijn binnen de organisatie.

Leemte

DNB constateert bij de onderzochte verzekeraars dat de compliance officers bij het uitvoeren van hun werkzaamheden over het algemeen voldoende kritisch en deskundig zijn. De onafhankelijke positie is goed vastgelegd in charters, er is een goede betrokkenheid bij de beoordeling van nieuwe processen en producten (PARP) en de compliance officer is goed toegankelijk voor advies. Uit het onderzoek blijkt wel dat de compliancefunctie, gezien ook het brede spectrum van de Solvency II-richtlijn, zich beperkt verantwoordelijk voelt voor een advies aan de directie en raad van commissarissen over de naleving van de Solvency II-richtlijn. In de compliance charter is de eigen (beperkte) scope van de compliance officer over het algemeen goed vastgelegd. Bij de onderzochte verzekeraars is echter niet altijd helder waar de activiteiten, die niet door de compliance officer worden uitgevoerd, dan wel worden belegd. Deze leemte moet worden opgevuld.

Bewustwording

DNB ziet bij de onderzochte verzekeraars dat aandacht wordt besteed aan de bewustwording van compliance- en integriteitrisico’s binnen de organisatie, onder andere door het uitsturen van nieuwsbreven en het geven van trainingen. Deze activiteiten zijn echter weinig gestructureerd en veelal incidentgedreven (bijvoorbeeld bij nieuwe regelgeving). Er ontbreekt een analyse van de specifieke behoeftes van de organisatie.

Monitoring

DNB heeft geconstateerd dat een goede onderbouwing van de benodigde capaciteit voor de compliancefunctie vaak ontbreekt en dat de beschikbare capaciteit niet altijd risicogebaseerd wordt ingezet. Er ontbreekt een duidelijke link tussen het jaarplan en een risicoanalyse. Verder blijkt dat het monitoringprogramma vaak niet vooraf wordt gedefinieerd en vastgesteld. Het gevolg is dat de capaciteit onvoldoende wordt aangewend voor toetsing of monitoring. Wanneer er geen of onvoldoende gestructureerde monitoring plaatsvindt, komt de compliancefunctie mogelijk niet toe aan de beoordeling van de beheersing van compliance- en integriteitrisico’s. De rapportages van de compliance officer missen mede hierdoor een helder oordeel en aanbevelingen.

Ad hoc

In de praktijk hebben veel werkzaamheden van de compliance officer een ad-hoc-karakter. De compliance officer geeft vooral prioriteit aan het goed invullen van de adviesrol en het afhandelen van compliance- en integriteitincidenten binnen de organisatie. Dit brengt het risico met zich mee dat de compliance officer wordt geleefd en dat het uitvoeren van een volledig jaarplan, inclusief monitoringactiviteiten, in het gedrang komt. Dit risico is groter wanneer er niet vooraf een goede onderbouwing is van de benodigde capaciteit en er geen duidelijkheid bestaat over een (minimum) monitoringprogramma.

Periodieke evaluatie

Bij de onderzochte verzekeraars is voldoende aandacht voor het beoordelen van het functioneren van de compliance officer; de interne auditfunctie voert periodieke audits uit op het functioneren van de compliancefunctie. Bij een aantal van de onderzochte instellingen wordt de compliancefunctie gecombineerd met andere functies, zoals Juridische Zaken of (operationeel) risicomanagement. Dit kan proportioneel zijn, indien dit gerechtvaardigd wordt door de aard, omvang en complexiteit van de verrichtingen van de verzekeraar. Het is aan een verzekeraar om dit gemotiveerd aan te tonen. Onafhankelijkheid van de compliancefunctie moet hierbij wel vaststaan. Bij meerdere onderzochte instellingen is vastgesteld dat beleidsbepalers het functioneren van het governancesysteem en de eerder gemaakte keuzes ten aanzien van de (proportionele) inrichting van de compliancefunctie niet periodiek evalueren.

Vervolg

DNB neemt de inzichten uit het onderzoek mee in het uitvoerend toezicht. De conclusies van dit onderzoek vormen input voor de toezichtgesprekken die DNB voert met de individuele instellingen (waaronder ook instellingen die niet betrokken zijn geweest bij dit onderzoek) en voor toekomstige onderzoeken. DNB zal in 2019 bij vier instellingen opnieuw onderzoek doen naar de compliancefunctie. Daarnaast zal DNB in de eerste helft van 2019 conclusies en best practices delen met de gehele sector en daarover de dialoog aangaan. DNB heeft een Q&A “Hoe richt een Solvency II-verzekeraar zijn sleutelfuncties operationeel onafhankelijk en proportioneel in” gepubliceerd.


> Terug naar de nieuwsbrief