Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren Frede Aas Rognlien Head of Legal and Compliance SEB Enskilda AS 1
MiFID formål l og prinsipper Reguleringen omfatter all investeringstjenestevirksomhet innenfor EØS-området knyttet til finansielle instrumenter. Alle kunder skal være eller bli i stand til; å forstå arten av og risikoen knyttet til; den enkelte tjeneste eller det enkelte instrument å fatte velinformerte investeringsbeslutninger. All informasjon til kunder skal derfor være; korrekt, tydelig og ikke villedende Vår adferd skal være; profesjonell, redelig og ivareta kundenes interesse på best mulig måte. Alle investeringsbeslutninger skal fattes av kunden og på dennes risiko, gitt at vi har oppfylt våre informasjonsplikter; som kan variere avhengig av type klient. 2
MiFID = ny verdipapirhandellov og forskrifter Ny verdipapirhandellov gjennomfører EØS-regler som svarer til: direktiv 2004/39/EF om markeder for finansielle instrumenter (forkortet MiFID), gjeldende i EU/EØS land fra 1. november direktiv 2004/109/EF om utsteders informasjonsplikter, og direktiv 2004/25/EF om overtakelsestilbud Ny verdipapirforskrift gjennomfører bl a EØS-regler som svarer til: Kommisjonsforordning 1287/2006 Kommisjonsdirektiv2006/73/EC 3
MiFID fokus Investorbeskyttelse god forretningsskikk Individuell rådgivning Kundekategorisering Testing av kunder Beste utførelse Interessekonflikter Øke konkurranse Markedsplasser (handelssystemer) Beste utførelse Offentliggjøring av utenombørshandel Løsne binding mellom utsteder og børs Økt tilsyn Transaksjonsrapportering Grensekryssende tilsyn 4
Verdipapirforetakenes plikter Ivareta kundenes interesse og markedets integritet Identifisere og håndtere interessekonflikter Organisere bort interessekonflikter Internkontroll og uavhengig compliance Kundetester Beste utførelse Beskytte kundemidler Plikt til lydopptak Rapportering av transaksjoner 5
Krav til organisering av virksomheten vphl 9-11 Vphl 9-11 fastsetter generelle krav til organisering av virksomheten bl. a: skal ha tilfredsstillende interne kontrollmetoder, skal være organisert på en slik måte at risikoen for interessekonflikter begrenses til et minimum, skal sikre kontinuitet og regelmessighet i virksomheten, skal sikre at operasjonell risiko begrenses til et minimum ved utkontraktering påse at viktige operasjonelle funksjoner ikke overlates til tredjepart dersom dette fører til at foretakets internkontroll og evne til å påse etterlevelsen av dets forpliktelser blir merkbart forringet, eller Kredittilsynets mulighet for å føre tilsyn med virksomheten merkbart forringes eller vanskeliggjøres Utdypet i forskriften 9-7 til 9-12 6
Forskriften 9-7 - generelle organisatoriske krav har dokumenterte beslutningsprosedyrer og en organisering som klargjør funksjoner og ansvarsområder, gjør foretakets tilknyttede personer kjent med prosedyrer som gjelder innenfor den enkeltes ansvarsområde, har interne kontrollrutiner som sikrer at beslutninger og foretakets interne rutiner overholdes på alle nivåer i foretaket, ansetter medarbeidere som har nødvendig kompetanse og kunnskap, har et effektivt system for rapportering og formidling av relevant informasjon innad i foretaket, og sørger for at personer som utfører flere oppgaver for verdipapirforetaket, utfører hver av disse i samsvar med god forretningsskikk. 7
Overordnet ansvar for etterlevelse og kontroll forskriften 9-12 Ansvaret for at foretaket overholder sine forpliktelser etter lov og forskrifter påligger verdipapirforetakets øverste ledelse. Ledelsen skal vurdere og regelmessig gjennomgå de ordninger og prosedyrer som er iverksatt for å oppfylle foretakets forpliktelser Tilsvarende forpliktelser kan selskapet (generalforsamlingen?) pålegge styret (hvis hensiktsmessig) Styret bør da; fastsette en compliance-instruks og en compliance-plan (eventuelt) ansette en leder av compliance sørge for at nødvendige ressurser forefinnes Krav til regelmessig rapportering til ledelse og styre om; etterlevelse av lover og regler, risikostyring internrevisjon Ledelsen skal motta slike rapporter minst én gang årlig. 8
Tre interne kontrollnivåer Compliance - kontroll av etterlevelse 9-8 Krav til uavhengighet Krav til særskilt utpekt medarbeider Omfanget kan tilpasses virksomhetens art, omfang og kompleksitet Risikostyring - 9-9 Krav til uavhengig risikostyringsfunksjon Internrevisjon - 9-10 Krav til uavhengighet 9
Compliance kontroll av etterlevelse Krav til retningslinjer og prosedyrer forebyggende tiltak; kontrollere at foretaket oppfyller sine forpliktelser regelmessig vurdering av retningslinjer, prosedyrer og tiltak vurdere tiltak for å avhjelpe manglende etterlevelse av regelverket, gi råd og veiledning om verdipapirforetakets forpliktelser etter loven til foretakets ledelse, ansatte og andre. Krav til uavhengighet kontrollfunksjonen har den nødvendige autoritet, ekspertise, ressurser og tilgang til relevant informasjon, det er utpekt en medarbeider med hovedansvar for foretakets kontrollfunksjon og for rapportering til foretakets ledelse som nevnt i 9-12 annet ledd, personer som er involvert i foretakets kontrollfunksjon ikke involveres i utøvelsen av de tjenester eller funksjoner de skal kontrollere, og personer som er involvert i foretakets kontrollfunksjon ikke får fastsatt sin godtgjørelse på en måte som påvirker, eller er egnet til å påvirke, deres objektivitet. 10
Compliance - oppgaver Ansvarsområdet for Compliance henger nøye sammen med de investeringstjenester man har konsesjon til å tilby Ansvarsområdet kan deles opp i fire hovedkategorier: kundebeskyttelse oppførsel i markedet hindring av hvitvasking av utbytte fra straffbare handlinger mv myndighetsrelaterte systemer og kontroller Eksempel på ytterligere spesifisering: compliance risiko management overvåkning undersøkelse av hendelser rådgivning regulatorisk utvikling innen compliance-området internt regelverk opplæring og informasjon rapportering kontakt med myndigheter 11
Risikostyring - 9-9 Risikostyring har hensiktsmessige retningslinjer og prosedyrer for risikostyring for å identifisere hvilken risiko som er forbundet med dets virksomhet, systemer og prosesser, fastsetter relevante grenser for risikoeksponering, har effektive rutiner for å styre risiko i lys av foretakets grenser for risikoeksponering, overvåker at foretakets retningslinjer og rutiner for risikostyring følges, og overvåker at de tiltak foretaket har fastsatt for å avhjelpe eventuelle mangler ved dets retningslinjer og rutiner er tilstrekkelige og at disse overholdes. Oppgaver sikre etterlevelse av ovenstående gi råd og rapportere om risikostyring 12
Internrevisjon - 9-10 Oppgaver ha en revisjonsplan for å kunne vurdere om foretakets systemer, internkontroll og rutiner er tilstrekkelige og effektive gi tilrådninger på bakgrunn av vurderingene som foretas i medhold av forrige punkt kontrollere at tilrådningene følges rapportere om resultatet av internrevisjonens kontrollhandlinger Forholdet til oppgavene til compliance og risk control om det som gjøres er tilstrekkelige og effektive ikke etterprøve de konkrete kontroller dvs ikke dobbeltkontroller Begrenset rådgivning 13
THE END 14