Risicobeheer en compliance toezichtstructuur: model illustratie van de drie verdedigingslinies

Fennard DrenthAlgemeen

Het volgende diagram is een illustratie van een structuur model voor nalevingstoezicht op risicobeheer. De CRO en, voor algemene compliance en AML/CFT-controles (anti witwassen en bestrijding terrorismefinanciering), de Chief Compliance Officer (CCO) maakt deel uit van de tweede verdedigingslinie, waarbij de Senior Officer doorgaans operationele verantwoordelijkheid heeft voor AML/CFT-compliance. Er moet ook worden opgemerkt dat in sommige banken het CCO de Chief AML/CFT-officier kan zijn.

In het kader van het algehele risicobeheer vormen de klantgerichte business units van Front Office de eerste verdedigingslinie die verantwoordelijk is voor het identificeren, beoordelen en beheren van de risico’s binnen hun bedrijfsgebieden. Zij moeten het beleid en de procedures kennen en uitvoeren en voldoende middelen krijgen om dat doeltreffend te doen.

De tweede verdedigingslinie zijn controlefuncties die ervoor zorgen dat beleid en procedures worden gevolgd (bijvoorbeeld risicobeheer, compliance, Human resources en Legal). De risicobeheerfunctie vergemakkelijkt en monitort de uitvoering van effectieve risicobeheer praktijken door het beheer van bedrijfsregels en de uitzonderingen op rapporten en de status van eerstelijns implementatie.

De derde verdedigingslinie wordt gewoonlijk de interne auditfunctie genoemd. De interne auditfunctie is verantwoordelijk voor het beoordelen van de effectiviteit van het ontwerp en de uitvoering van interne controle en de naleving van wetten, regels en voorschriften. Ze beoordelen ook het werk dat door de tweede lijn wordt uitgevoerd om ervoor te zorgen dat beide lijnen presteren zoals bedoeld. Interne audit rapporteert onafhankelijk van elkaar en biedt periodieke schriftelijke beoordelingen van het testen van controles en toepasselijke wettelijke naleving.

Voor AML/CFT-risicobeheer blijven de klantgerichte business units van het Front Office verantwoordelijk voor het identificeren, beoordelen en beheren van de risico’s binnen hun bedrijfsgebieden. (Gezien de veranderende aard van AML/CFT-verwachtingen en-vereisten, is het gebruikelijk dat de tweede lijn de eerste regel met betrekking tot technische kennis ondersteunt en de risicobeoordeling van AML/CFT uitvoert.) In de huidige omgeving voert de AML/CFT-tweede lijn, geleid door de benoeming van de AML-officier, niet alleen de verantwoordelijkheden voor het testen van de tweede lijn uit, die kunnen worden benut door de derde regel (interne audit), maar ook een aantal eerstelijns functies kunnen uitvoeren, waaronder bewaking voor verdachte activiteiten, initiële en doorlopende screening van klant onboarding en sanctie screening. De eenheid moet de beleidslijnen en procedures kennen en uitvoeren en moet voldoende middelen worden toegewezen om dit doeltreffend te doen. De derde verdedigingslinie van AML/CFT vervult soortgelijke functies en heeft dezelfde verantwoordelijkheden als de institutionele derde lijn, maar is ook verantwoordelijk voor dit zeer technische en risicogebaseerde nalevingsgebied.

Eerste lijn: operationeel beheer

Operationeel beheer is verantwoordelijk voor het identificeren, beoordelen, beheersen, beperken en rapporteren van risico’s die tijdens de bedrijfsactiviteiten van een bank zijn ondervonden.

Deze “eerste regel” is ook de bedrijfsgenerator, verantwoordelijk voor het definiëren van risicobeperkende limieten en het volgen van die limieten, volgens de beleidsrichtlijnen, het implementeren/gebruiken van goedgekeurde procedures. De eerste regel is ook instrumentaal, op hoog niveau, bij het bepalen van de risicolimieten van een bank. Door middel van een trapsgewijze verantwoordelijkheids structuur ontwerpen en implementeren middenniveau managers vaak gedetailleerde procedures die dienen als controle en toezicht houden op de uitvoering van dergelijke procedures door hun medewerkers.

Medewerkers in de eerste regel zijn integraal in AML/CFT compliance risicomanagement door klantinteracties, beheer van klantrelaties en uitvoering van goedgekeurde beleidslijnen en procedures. De eerste regel is van cruciaal belang voor het voldoen aan een van de belangrijkste AML/CFT rapportage verantwoordelijkheden–de identificatie van ongebruikelijke en verdachte activiteiten. Tijdens hun dagelijkse activiteiten kunnen eerstelijns medewerkers ongebruikelijke of mogelijk verdachte activiteiten en/of gedragingen observeren die door klanten worden tentoongesteld. Eerstelijns medewerkers zijn volgens beleid en procedures verplicht om alert te zijn op hun identificatie, escalatie en rapportage van mogelijk verdachte en ongebruikelijke activiteiten. Management moet ervoor zorgen dat alle personeel, met name werknemers die rechtstreeks met klanten communiceren, zich houden aan de interne processen voor identificatie en verwijzing van mogelijk verdachte activiteiten. Het management moet ook duidelijk zijn op de reactie van de bank op verdachte activiteiten die verder gaan dan de verwijzing, inclusief beleid inzake het verlaten van de cliënt, communicatie met correspondentbanken en interne toetsing van eerdere klantactiviteiten.

Een bank moet over adequaat beleid en procedures beschikken om prospectief en bestaand personeel te screenen om te zorgen voor hoge ethische en professionele normen. AML/CFT-compliance wordt beschouwd als de verantwoordelijkheid van iedereen binnen de organisatie.

Het opleiden van personeel is cruciaal. De reikwijdte en de frequentie van dergelijke opleidingen moeten worden afgestemd op de risicofactoren waaraan werknemers worden blootgesteld vanwege hun verantwoordelijkheden en het niveau en de aard van het risico dat in de bank aanwezig is. Alle banken moeten lopende opleidingsprogramma’s voor werknemers implementeren, zodat bankmedewerkers adequaat worden opgeleid om het beleid en de procedures van de bank te implementeren. De timing en de inhoud van opleidingen voor verschillende personeels sectoren zullen door de bank aangepast moeten worden aan hun behoeften en het risicoprofiel van de bank.

Opleidingsbehoeften zullen variëren afhankelijk van de personeels functies en de functieverantwoordelijkheden. Opleidingscursus organisatie en materialen moeten worden afgestemd op de specifieke verantwoordelijkheid of functie van een werknemer om ervoor te zorgen dat de werknemer over voldoende kennis en informatie beschikt om de AML/CFT-beleidsregels en-procedures van de bank effectief te implementeren. Om dezelfde redenen moeten nieuwe werknemers zo snel mogelijk bij de opleiding worden gehouden. Er moet worden gezorgd voor een herhalingsopleiding om ervoor te zorgen dat het personeel wordt herinnerd aan hun verplichtingen en dat hun kennis en deskundigheid actueel worden gehouden.

Tweede lijn: risicobeheerfunctie, compliancefunctie en andere bewakingsfuncties

Dit zijn controlefuncties die ook zorgen voor beleid en procedures met betrekking tot het nemen van risico’s (risicobeheer, nalevings risico, Human resources en legaal) zijn van kracht en worden gehandhaafd. De risicobeheerfunctie faciliteert en monitort de implementatie van effectieve risicobeheer praktijken door business-line management. Het begeleidt business-line management bij het bepalen van risicoblootstellingen en risico rapportages via de organisatie. De compliance-functie bewaakt het risico van niet-naleving van wet-en regelgeving en normen. Andere bewakingsfuncties kunnen human resources en de juridische afdeling omvatten.

Bij de meeste banken als onderdeel van de tweede verdedigingslinie, heeft de Chief AML/CFT-functionaris de verantwoordelijkheid voor de voortdurende vervulling van alle AML/CFT-rechten door de bank. Afhankelijk van de omvang en complexiteit van de bank, kan de Chief AML/CFT-officier ook de functie van de CRO of het CCO of equivalent uitvoeren. Hij/zij moet rechtstreeks toegang hebben tot de Raad van bestuur of een Comité. In het geval van een scheiding van taken moeten de betrekkingen tussen de hoofd officieren en hun respectieve rollen duidelijk omschreven en goed begrepen zijn.

De Chief AML/CFT-functionaris moet ook de verantwoordelijkheid hebben voor het melden van verdachte transacties aan het senior management, het bestuur en de lokale financiële-inlichtingeneenheid (FIU). De Chief AML/CFT-officier moet worden voorzien van voldoende middelen om alle verantwoordelijkheden effectief uit te voeren en een centrale en proactieve rol te spelen in het AML/CFT-regime van de bank. Om dit te doen, moet hij/zij volledig vertrouwd zijn met het AML/CFT-regime van de bank, zijn wettelijke en reglementaire vereisten, relevante internationale normen en de ML/FT-Risico’s die voortvloeien uit het bedrijf.

Derde lijn: interne auditfunctie

De interne auditfunctie is verantwoordelijk voor het zelfstandig beoordelen van de effectiviteit van het ontwerp en de werking van interne controles en compliancepraktijken met wetten, regels en voorschriften. Werknemers van interne audits geven op jaarbasis een schriftelijke beoordeling van hun toetsing van controles en van de toepasselijke wettelijke naleving. Externe auditors kunnen ook een belangrijke rol spelen bij het evalueren van de interne controles en procedures van een bank tijdens financiële audits, interne controle audits en AML/CFT-audits. Externe auditors kunnen onafhankelijk bevestigen dat een bank voldoet aan de toepasselijke lokale regelgeving en toezichtpraktijken, evenals aan de verwachtingen van de correspondentbanken.

De interne auditfunctie speelt een belangrijke rol in het governance-en toezichtskader door onafhankelijk en objectief de risicobeheersing en-controles te evalueren, en door periodiek verslag uit te schrijven aan de afwikkelingsraad of een door de Raad benoemd Comité (dat wil doen, een auditcomité of een vergelijkbare toezichthoudende instantie), evaluaties van de doeltreffendheid van de naleving van het AML/CFT-beleid. Het interne  auditprogramma van een bank moet het volgende dekken:

  1. de doeltreffendheid van compliance governance en toezicht;
  2. de toereikendheid van het beleid en de procedures van de bank bij het aanpakken van geïdentificeerde risico’s (waaronder AML/CFT);
  3. de competentie van het bankpersoneel bij de uitvoering van de controles en het risicobeheer van de bank;
  4. het gedetailleerd testen van kritieke interne controlefuncties, bijvoorbeeld de monitoring van verdachte activiteiten en de processen van onderzoeken;
  5. de doeltreffendheid van de opleiding van de desbetreffende medewerkers door de Bank.

De afwikkelingsraad moet ervoor zorgen dat auditfuncties over voldoende middelen en passende deskundigheid beschikken en kennis hebben van bankverrichtingen om dergelijke audits uit te voeren. De afwikkelingsraad moet er ook voor zorgen dat het audit bereik en de methodologie geschikt zijn voor het risicoprofiel van de bank en dat de frequentie van dergelijke audits en tests ook op risico is gebaseerd. Ten slotte dienen interne auditors hun bevindingen en aanbevelingen voor de rapportering formeel te volgen en te monitoren aan de comités van de Raad die verantwoordelijk zijn voor het interne auditproces en de bedrijfs lijnen.

Er is een inherente spanning tussen de eerstelijns-en het risicobeheer van de tweede lijn. Het is bijvoorbeeld de verantwoordelijkheid van de tweede lijn om te testen op naleving of ondersteuning van het proces van kwaliteitsborging om ervoor te zorgen dat de eerste lijn  voldoet aan interne bankbeleid, procedures, controles en risicolimieten. De inherente risicogebaseerde aard van AML/CFT-vereisten vereist dat zowel de eerste lijn als de tweede lijn beslissingen worden gesteld. Compliance en risico keuzes zijn niet altijd duidelijk gezien een aantal unieke situaties en klantomstandigheden die uitdagingen creëren in het werken door middel van wat de meest geschikte beslissing is om aan interne en regelgevende vereisten te voldoen. Ongeacht de omvang of de beheersstructuur van een bank kan er een potentiële spanning tussen de verschillende bedrijfsactiviteiten optreden en moet er een oplossing worden gevonden; Soms kan het nodig zijn om kwesties aan te vragen aan het senior management voor hun mening en besluit.

Blijf op de hoogte van trainingen, belangrijke ontwikkelingen en tips!