Het verlies van USD 2,3 miljard bij UBS door een zogeheten rogue trader als gevolg van het aangaan van ongeautoriseerde transacties heeft wereldwijd de aandacht gekregen. Niet in de laatste plaats vanwege het feit dat de positie van de bestuursvoorzitter (CEO Oswald Grübel) in het geding is gekomen (en dat hij uiteindelijk het veld heeft moeten ruimen). Hoewel op dit moment het volledige feitencomplex nog niet duidelijk is en in kaart wordt gebracht, kunnen we - op voorhand - al proberen om een aantal lessen te trekken voor de bankensector en de compliance officer.
Les 1: In kaart brengen compliance risico’s per product
De compliance officer dient zich ervan te vergewissen dat de compliance risico’s bij alle diensten en producten in kaart zijn gebracht. Hieronder verstaan we niet alleen de inherente risico’s (bruto risico’s), maar ook de compliance rest risico’s (netto risico’s). Deze laatste risico’s zijn de risico’s die overblijven nadat er interne beheersingsmaatregelen zijn getroffen. De compliance officer dient voor deze laatste categorie risico’s te beoordelen of deze per product passen binnen de risk appetite die door de Raad van Bestuur is vastgesteld. De compliance officer speelt een belangrijke rol, in het specifieke geval dat netto risico’s - naar zijn inschatting (te) hoog zijn - en dient aan te dringen op additionele maatregelen.
Mocht de compliance officer geen compleet beeld van de compliance risico’s van alle producten hebben, loopt de instelling het risico dat niet alle compliance risico’s zijn of worden herkend. Dit kan als consequentie hebben dat onvoldoende in beeld is of de bestaande procedures en maatregelen (die deze risico’s moeten mitigeren) toereikend zijn.
Les 2: Afstemmen monitoring activiteiten
Tegenwoordig bestaat bij veel instellingen een overlap in de control-,monitoring of auditactiviteiten. Onder een andere noemer en soms met een ietwat andere doelstelling worden in de basis dezelfde controls getest. Dit wordt veroorzaakt doordat er meerdere “controle”-afdelingen aanwezig zijn: een internal control afdeling, een compliance afdeling, een risk afdeling en een internal audit department. Dit brengt aan ook het risico met zich mee dat bepaalde afdelingen er van uitgaan dat één van de andere afdelingen de risicovolle (complexe) activiteiten in zijn of haar controlactiviteiten betrekt (en dat zij die afdeling of activiteit links laten liggen). Hierdoor kunnen hiaten in het controlsysteem ontstaan. In dat kader is afstemming van planning en realisatie van controlobjecten tussen de verschillende afdelingen die controlactiviteiten uitvoeren van groot belang.
Les 3 Houdt goede communicatielijnen in stand in hectische tijden
In hectische tijden is het lastig om de communicatielijnen tussen de business en compliance officer altijd goed in stand te houden. Wees alert indien periodieke gesprekken een periode worden uitgesteld. Dring aan tot een bepaalde vorm van (periodiek) overleg.
Les 4 Aandacht voor red flags in de cultuur
Niet in de laatste plaats dient de compliance officer zich ervan bewust te zijn van de internal control environment. Beschikt de back-office afdeling wel over voldoende countervailing power ten opzichte van de front officer afdeling? En, indien dit niet het geval is, zijn er compenserende maatregelen aanwezig? Beschikt de risk manager die over de (handels-) vloer komt over voldoende tegengewicht ten opzichte van de front office afdeling? De compliance officer dient signalen die duiden op verhoogde compliance risico’s uiterst serieus te nemen.
Les 5 Functiescheiding
Als compliance officer dien je je ervan te vergewissen dat elementaire functiescheidingen in een handelsomgeving, in het bijzonder tussen de front en back office afdeling, in opzet effectief geregeld zijn. De compliance officer dient zich altijd af te vragen of er gebeurtenissen hebben plaatsgevonden die het risico op het niet-werken van de functiescheiding vergroten. Indien er personele wisselingen hebben plaatsgevonden tussen front- en back-office personeel, verhoogt dit de inherente compliance risico’s. De compliance officer dient te adviseren op welke wijze deze risico’s naar een acceptabel niveau gemitigeerd kunnen worden (bijvoorbeeld door het invoeren van vier-ogenprincipes, roulatie en zorgdragen dat mensen de vakantiedagen opnemen).