Compliance funksjonen utøvelse og praktisk angrepsvinkel

Transkript

1 Compliance funksjonen utøvelse og praktisk angrepsvinkel Presentasjon i Complianceutvalget i VFF den 10. april 2013 Kate A. Pauli

2 Lovpålagt funksjon Verdipapirforetak og forvaltningsselskaper for verdipapirfond er pålagt gjennom lov og forskrift å ha en effektiv og uavhengig kontrollfunksjon. «Forskrift til verdipapirhandelloven 9-8. regulerer - Kontroll av etterlevelse (compliance) «Forskrift til verdipapirfondloven regulerer - Kontroll av etterlevelse (compliance) ESMA 2012/388 Retningslinjer vedrørende kravene til kontrollfunksjonen (compliance) etter MiFID. Esma retningslinjene gjelder kravene som stilles til Compliancefunksjonen i verdipapirforetak og forvaltningsselskaper for verdipapirfond som har tillatelse til å yte investeringstjenestene aktiv forvaltning eller investeringsrådgivning. Finanstilsynet har uttalt at de legger retningslinjene til grunn i sin praksis og viser til at tilsynet allerede har etablert en praksis som anses i tråd med retningslinjene. Retningslinjene kan i norsk rett utledes av verdipapirhandelloven med tilhørende forskrift. De mest relevante bestemmelsene er vphl 9-11 femte ledd og vpf 9-8, 9-11 og

3 Finanstilsynets fokus på Compliance rollen Gjennom flere stedlige tilsyn har vi sett at Finanstilsynet har fokus på Compliancerollen og utøvelsen av den. Hovedfokus har ofte vært: Organisering, styring og kontroll; Ledelsen Compliancefunksjonen og God forretningsskikk 3

4 Noen rettslige utgangspunkter Gjennom ulike merknader til markedet har Finanstilsynet påpeker det rettslige utgangspunktet for Compliancefunksjonen. «Verdipapirforetak skal ha gode kontroll- og sikkerhetsordninger (Vphl. 9-11, 1 ledd nr. 5)» «Foretaket plikter å ha en effektiv og uavhengig kontrollfunksjon med nødvendig autoritet, ekspertise og ressurser, jf Vpf. 9-8.» «Kontrollfunksjonen skal gjennom løpende kontroll, regelmessige vurderinger og iverksetting av eventuelle tiltak sikre at foretaket oppfyller sine forpliktelser etter verdipapirhandelloven og forskrifter, jf. Vphl. 9-11, jf. Vpf. 9-8.» «Compliancearbeidet må være av en slik art i form og innhold at det er mulig for Finanstilsynet å føre tilsyn med foretaket, jf. Vpf. 9-8, 1. ledd.» «Foretaket skal tilpasse kravene til kontroll av etterlevelse til art, omfanget og kompleksiteten i virksomheten, jf. Vpf. 9-11, 1. ledd.» «Foretaket skal ha et effektivt system for rapportering og formidling av relevant informasjon innad i foretaket, og at den øverste ledelse og styre skal motta skriftlige rapporter om foretakets etterlevelse av lover og regler, risikostyring og internrevisjon på regelmessig basis, jf. Vpf. 9-7 og Vpf.9-12.» 4

5 Strenge krav til Compliancerollen Compliance rollen møter stadig større utfordringer Lovregulerte krav og fokus fra Finanstilsynet viser at Compliance rollen har et stort ansvar Det settes omfattende og strenge krav til utøvelse av rollen, både når det gjelder struktur, formalisering, effektivitet, ressurser, rapportering og dokumentasjon av arbeidet Den som utøver Compliancerollen skal også ha nødvendig autoritet, kompetanse og skal være uavhengig Compliance må være presis og tydelig i sin rapportering Compliance arbeidet må være tilpasset virksomhetens art, omfang og kompleksitet 5

6 Hva må Compliance gjøre? På bakgrunn av lovpålagte krav og stadig fokus på Compliancerollen må arbeidet formaliseres og dokumenters. Med utgangspunkt i lovregulerte krav, finanstilsynets merknader og egen erfaring viser presentasjonen hvordan utøvelsen av Compliancerollen kan utøves. En god struktur, aktiv bruk av hensiktsmessige logger og måten aktiviteter dokumenteres på, bidrar til god oversikt over de compliance aktiviteter Compliance har utført, samt at alt blir dokumentert og etterprøvbart. 6

7 Compliance må være bevist på egen rolle Har compliance; Tilstrekkelige ressurser for å ivareta sine arbeidsoppgaver på en effektiv måte? Tilstrekkelig kompetanse på alle områder Compliance er ansvarlig for? Nødvendig autoritet? Tilgang til relevant informasjon? Blir compliance; Pålagt oppgaver eller involvert i funksjoner som Compliance skal kontrollere? Pålagt oppgaver eller involvert i funksjoner som påvirker muligheten til å utøve tilstrekkelige kontrollaktiviteter og Compliance oppgaver? Dersom Compliance opplever at det er vanskelig eller ikke kan utøve kontrollfunksjonen på en effektiv og uavhengig måte må Compliance påse at foretakets ledelse blir kjent med problemstillingen. Vesentlige forhold må fremkomme i den skriftlige rapporteringen til foretakets ledelse/styre. 7

8 Hvordan kan Compliance strukturere og formalisere arbeidet for å ivareta de krav som stilles? Fastsette en Compliance plan som dekker hele virksomheten/området Fastsette rapporteringsform og frekvens Vurdere virksomhetens risiko og tilpasse aktiviteter og ad hoc oppgaver etter en risikobasert tilnærming Virksomhetens kompleksitet, art og omfang må hensyntas i planleggingen og angrepsvinkel Jobbe strukturert og dokumentere alle compliance aktiviteter Bruk av hensiktsmessige logger og standardiserte skjemaer Viktig at Compliances rolle og arbeid er forankret i virksomhetens ledelse/styre Viktig at Compliance mottar løpende og tidsriktig informasjon 8

9 Plan for Compliancearbeidet Compliance må ha en plan for compliance arbeidet. Strukturert, oversiktlig og hensiktsmessig plan Må dekke hele virksomheten og vise at alle deler blir kontrollert over en periode Planen må være tilstrekkelig konkretisert og må kun omfatte Compliances oppgaver En god plan er et godt verktøy for å få et overordnet bilde over nødvendige aktiviteter som skal gjennomføres og sikrer at hele virksomheten blir dekket over en periode Finanstilsynet har ved flere anledninger påpekt viktigheten av at det foreligger planer for Complaincearbeidet 9

10 Plan for Compliancearbeidet Complianceplanen kan/eller bør inneholde informasjon om: Organisasjon, ledelse og compliance Rapporteringslinjer, rapporteringsform og frekvens Art, omfang og kompleksitet Risikobasert tilnærming Complianceaktiviteter Krav til dokumentasjon 10

11 Organisasjon, ledelsen og compliance Oversikt over organisasjonen, ledelse og compliance er viktig for å vise virksomhetens organisasjonsstruktur og kompleksiteten i virksomheten, samt hvem som er leder og/eller innehar de ulike roller i virksomheten Faste data som bør opplyses i planen kan være; Virksomhet/område planen gjelder for Periode Organisasjonskart Ledelsen - navn Compliance - navn Ledelsens ansvar Det er den øverste ledelse som er ansvarlig for at virksomheten overholder forpliktelser eller lov og forskrifter. Ledelsen skal vurdere og regelmessig gjennomgå de ordninger og prosedyrer som er iverksatt for å oppfylle foretakets forpliktelser, samt iverksette tiltak for å avhjelpe eventuelle mangler. 11

12 Rapporteringslinjer, rapporteringsform og frekvens Rapporteringslinjer Rapporteringslinjene må være klart definert Dekke lovkrav til rapporteringslinjer Krav til skriftlige rapporter Den øverste ledelse og styre skal motta skriftlige rapporter om etterlevelse av lover og regler, risikostyring og internrevisjonen på regimessig basis, og minst en gang per år Slike rapporter skal blant annet angi om det er iverksatt forebyggende tiltak for å avhjelpe eventuelle mangler 12

13 Rapporteringslinjer, rapporteringsform og frekvens forts. Finanstilsynet Finanstilsynet har gjennom ulike merknader fra stedlige tilsyn påpekt kravene til effektivt system for rapportering og formidling av relevant informasjon i foretaket, hvor FSA har bemerket følgende; «Med "hensiktsmessig intern rapportering" menes her rapportering hvor man har tilpasset rapporteringslinjer, detaljnivå og hyppigheten til virksomhetene art, omfang og kompleksitet. Dette vil for det første være nødvendig for å gi ledelsen og styret regelmessig overordnet bilde av situasjonen i foretaket på det området compliance har ansvar for. For det annet vil rapportene gi grunnlag for eventuelt å iverksette nødvendig tiltak fra overordnet nivå som kan omfatte både akutte ad hoc-inngrep, og mer planmessig og langsiktig arbeid innenfor Compliance. Rapportering er også viktig som et bidrag til å skape notoritet internt, og eksternt ovenfor Finanstilsynet, over hvilket arbeid som er utført av compliance". 13

14 Rapporteringslinjer, rapporteringsform og frekvens forts. Compliance rapporteringen må være formalisert, systematisk, konkret og presis. All rapportering må alltid være dokumentert skriftlig Hvem det rapporteres til, dato for rapporteringen og hvilket område rapporteringen gjelder for må fremkomme Rapporteringen må være strukturert og systematisk Rapporteringen må være tilstrekkelig detaljert i forhold til de observasjoner Compliance har gjort Presis kommunikasjon er viktig Rapporteringen må inneholde oppsummerende konklusjon og en beskrivelse av situasjonen i selskapet/området slik at den kan gi et overordnet bilde Rapporteringen må være så konkret og presis at den kan fungere som et hensiktsmessig styringsverktøy for ledelsen og styre 14

15 Rapporteringslinjer, rapporteringsform og frekvens forts. Ulike former for rapportering. Løpende anbefalinger, faste møter med ledelsen, ad-hoc rapporter og faste ½ års rapporter er viktige former for rapportering for å gi ledelsen tidsriktig og løpende informasjon om compliance saker. Løpende anbefalinger Når Compliance har gjennomført forebyggende eller kontrollerende aktiviteter kan det være behov for å gi virksomheten en anbefaling. Anbefalinger bør gis så snart som mulig slik at virksomheten blir oppmerksom på problemstillingen og kan settes i stand til å iverksette tiltak. 15

16 Rapporteringslinjer, rapporteringsform og frekvens forts. Faste møter med ledelsen Saker som kan tas opp: Gjennomgang av stikkprøver Kontroll av etterlevelse Gjennomgang av anbefalinger som er gitt Gjennomgang av feil som er oppstått Gjennomførte aktiviteter Råd og veiledning Gjennomførte ansatte treninger Oppfølgingssaker Endringer/nyheter mht regelverk Merknader til markedet fra Finanstilsynet Aktuelle saker i media Informasjon fra Compliance Informasjon fra ledelsen Eventuelt Møte gjennomføres strukturert og formelt. Skriftlig referat utarbeides, dato og hvem som har deltatt må fremkommer. Referatet må være tilstrekkelig detaljert. 16

17 Rapporteringslinjer, rapporteringsform og frekvens forts. Ad-hoc rapporter når dette er nødvendig Compliance må sende skriftlige rapporter til ledelsen og styret når Compliance vurderer det som nødvendig eller hensiktsmessig, selv om dette er utenfor den faste planlagte rapporteringsfrekvens. 17

18 Rapporteringslinjer, rapporteringsform og frekvens forts. ½ årlige Compliance rapporter saker som kan/bør vær med: Oppsummere perioden rapporteringen gjelder for Gi et overordnet bilde av situasjonen Aktiviteter utført i perioden og resultatet av disse Alle aktuelle logger må vedlegges (anbefalingslogg, incident logg, ansatte trenings logg, aktivitets- og rådgivningslogg og rapporteringslogg mv) Vesentlige og kritiske problemstillinger må beskrives ytterligere i rapporten Behov for å iverksette tiltak må fremkomme klart Manglende oppfølging fra ledelsen side hva gjelder Compliance saker må fremkomme Dersom Compliance ikke får løpende og tidsriktig informasjon må dette fremkomme Nye krav til virksomhet gjennom endringer eller nytt regelverket bør tas med Har Compliance problemstillinger knyttet til utøvelsen av Complaincerollen må dette tas med 18

19 Art, omfang og kompleksitet Kravene som stilles til Compliance funksjonen skal være tilpasset virksomhetens art, omfang og kompleksitet. Det er viktig at det er balanse mellom virksomhetens art, omfang og kompleksitet og de aktiviteter Compliance utfører. 19

20 Risikobasert tilnærming Gjennom en risikobasert tilnærming kan vi optimalisere og gjennomføre compliance aktivitetene på en strukturert og effektiv måte Compliance må sikre at risikovurderingen er så god at det er områder med høyest risiko får størst oppmerksomhet Risikovurderingen må gjennomføres strukturert og systematisk slik at hele virksomheten blir dekket Vurderingen må være basert på fakta og den reelle situasjonen som virksomheten er i Vurderingen må være dokumenterbar 20

21 Risikobasert tilnærming Forhold som bør vurderes ved gjennomføring av en risikovurderingen; Virksomhetens kompleksitet, omfang og art Rammeverk Tjenester og Produkter etc Organisasjonsstruktur Juridisk funksjonell matrise ol Har virksomheten nødvendige retningslinjer og rutiner? Har virksomheten god risikostyring og intern kontroll og hvordan får dette betydning for compliances kontroll? Kompetansen Ledelsens oppfølging av compliance observasjoner 21

22 Complianceaktiviteter Complianceaktiviteter kan deles inn i; Forebyggende aktiviteter Kontrollerende funksjon - Kontroll av etterlevelse Ad-hoc aktiviteter 22

23 Complianceaktiviteter Forebyggende funksjon Gjennom strukturert opplæring og forebyggende aktiviteter kan Compliance gi råd og veiledning om foretakets forpliktelser slik at ansatte og ledelse blir bevist på og får nødvendig kjennskap til foretakets forpliktelser etter lov og forskrifter. Gjennom forebyggende aktiviteter kan Compliance bidra til at ansatte og ledelse har nødvendig fokus på viktige og risikofylte områder og har nødvendig kjennskap til instrukser og prosedyrer mv. En kombinasjon av strukturert opplæring gjennom fysiske kurs, påminnelser, informasjon, råd og veiledning via mail, samt Compliances deltagelser i møter gjør at Compliance kan gjennomføre forebyggende aktiviteter effektivt og kan nå mange på en enkel måte. 23

24 Complianceaktiviteter Forebyggende funksjon Alle forebyggende aktiviteter må dokumenteres og loggføres. Compliances arbeid med forebyggende aktiviteter gir også Compliance en unik mulighet til å få oversikt over ansattes kunnskaper og hvor virksomheten har behov for forbedringer. Forebyggende aktiviteter kan også gi Compliance en indikasjon på hvor Compliance må øke sin fokus når det gjelder råd og veiledning eller hvor det bør utføre flere kontroller. Compliances arbeid med forebyggende aktiviteter vil også kunne bidra positivt til at ansatte og ledelsen får mer kjennskap til compliances arbeid og der igjen ser viktigheten av å gi Compliance nødvendig og løpende informasjon. 24

25 Complianceaktiviteter Forebyggende aktiviteter kan være Opplæring/kurs Påminnelser Informasjon og bevisstgjøring om instrukser og rutiner Informasjon og bevisstgjøring om regelverket Informasjon om uttalelser og merknader fra Finanstilsynet Informasjon om aktuelle nyheter fokus i media, dommer etc. Løpende rådgivning deltagelse i møter, besvare spørsmål, veiledning etc. 25

26 Complianceaktiviteter Kontrollerende funksjon Kontroll av etterlevelse Virksomheten skal ha retningslinjer og prosedyrer for å avdekke risiko for at foretaket ikke oppfyller sine forpliktelser etter lov og forskrift Foretaket skal iverksette forebyggende tiltak og prosedyrer for å begrense slik risiko og gjøre det mulig for Finanstilsynet å føre tilsyn med foretaket Gjennom strukturerte kontroller og stikkprøver kan Compliance avdekke hendelser, brudd og avvik Overvåkingsprogrammet (en del av complianceplanen) må stå i forhold til virksomhetens art, omfang og kompleksitet og være basert på en risikobasert tilnærming 26

27 Complianceaktviteter Kontrollerende funksjon Kontroll av etterlevelse Gjennom strukturert kontroller og stikkprøver skal Compliance løpende kunne vurdere; Om foretaket har retningslinjer og prosedyrer for å avdekke risiko. Om foretaket har prosedyrer for å iverksette forebyggende tiltak og prosedyrer for å begrense slik risiko Regelmessig vurdere om ovennevnte retningslinjer og prosedyrer og tiltak er tilstrekkelige effektive Vurdere om eventuelle tiltak som iverksettes for å avhjelpe manglende etterlevelse er tilstrekkelige Alle kontroller og stikkprøver må dokumenteres og loggføres Compliance må påse at virksomheten har rutiner for å rapportere feil og mangler som oppstår. Alle feil og mangler må loggføres i egen logg 27

28 Complianceaktivteter Ad-hoc aktiviteter Når Compliance opplever at det er hensiktsmessig og behovet er til stede må Compliance gjennomføre ad-hoc kontroller Dette kan være som følge av at Compliance har fått mistanke til noe gjennom sin planlagte kontrollaktivitet, eller at Compliance har fått informasjon om noe som tilsier at det er behov for kontroll 28

29 Dokumentasjon Dokumentasjon av Compliance aktiviteter Compliance må ha et formalisert opplegg for dokumentasjon og loggføring Alle Compliance aktiviteter må dokumenteres og loggføres All viktig informasjon og rapporteringer må loggføres Dokumentasjonen må være tilstrekkelig, presis, klar og tydelig Dokumentasjon og loggføring er en viktig forutsetning for at Compliance skal kunne dokumentere de aktiviteter Compliance har utført God dokumentasjon og bruk av logger gir en god oversikt og er en viktig forutsetning for å kunne gi en oversiktlig og hensiktsmessig rapportering til ledelsen Gjennom loggføring kan Compliance se et mønster av eventuelle problemstillinger Bruk av standardiserte skjemaer for ulike compliance aktiviteter bidrar til å formalisere og dokumentere compliances arbeid 29

30 Dokumentasjon Logger som bør/kan benyttes: Aktivitetslogg Anbefalingslogg Stikkprøver/kontroll av etterlevelse logg Incident logg/feil og mangler logg Ansatte trening Egentrening Rapportlogg Management compliance møte logg Kundeklage logg Møtelogg med compliance temaer 30

31 Dokumentasjon Standard skjemaer som bør/kan benyttes: Rapportering av anbefaling Dokumentasjon av Stikkprøve/kontroll av etterlevelse Rapportering av incident/feil og mangler Notoritet Notoritetshensynet tilsier at det bør stilles store krav til skriftlighet 31