Voorwoord
Den Haag, 1 september 2005 Voor u ligt de publicatie van de Dutch Fund and Asset Management Association (‘DUFAS’): ‘handreiking administratieve organisatie voor beheerders van beleggingsinstellingen’. De inhoud is met zorg samengesteld door DUFAS in nauwe samenwerking met specialisten van Ernst & Young en een representatieve selectie van marktpartijen. De structuur van deze handleiding is zodanig dat alle leden, groot en klein, hun organisatie hiermee op een systematische wijze kunnen opzetten en onderhouden. Deze handleiding behandelt de relevante AO/IC aspecten generiek en beoogt niet normerend te zijn voor bepaalde oplossingsrichtingen. De verschillen die naar hun aard nu eenmaal bestaan tussen grote en kleinere asset management organisaties rechtvaardigen ook verschillen in AO/IC methodieken. Hierbij geldt dat meerdere oplossingen goed kunnen zijn: de AO/IC dient te zijn toegeschreven op de eigen organisatie. De gebruikers van deze handleiding dienen hun eigen praktijkkeuzes te maken met inachtneming van de relevante wet- en regelgeving. Er is bewust voor gekozen om deze handleiding niet een uitputtende opsomming te laten zijn van de praktische invulling van uw administratieve organisatie. De opzet is om u een goed beeld te geven van aspecten die een rol spelen bij het opstellen en het up to date houden ervan. De uitwerking kunt u vervolgens zelf ter hand nemen of uitbesteden aan professionals. Deze handleiding is door DUFAS afgestemd met de Autoriteit Financiële Markten. De beschrijving van uw eigen AO/IC is maatwerk, waarvoor deze handleiding slechts een hulpmiddel is. De Autoriteit Financiële Markten zal nagaan of de inrichting van uw organisatie voldoet aan de wettelijke eisen. Wij vertrouwen erop u hiermee van dienst te zijn. Dutch Fund and Asset Management Association J.H.M. Janssen Daalen Algemeen Directeur
Publicatie van DUFAS en Ernst & Young
3
Inhoudsopgave 1
1.1 1.2 1.3
Beschrijving administratieve organisatie De AO/IC beschrijving bij de aanvraag van een Wtb-vergunning Vereisten vanuit wet- en regelgeving
2.1 2.2 2.3 2.4 2.5 2.6 2.7
Inleiding Verkenningsfase Planningfase Uitwerken business case Vastlegging AO/IC Acceptatie en implementatie Evaluatie en opvolging
2
3.1 3.2 3
3.3
Het AO/IC project
Scope Algemene vereisten 3.2.1 Inrichting administratieve organisatie 3.2.2 Functiescheidingen 3.2.3 Informatieproces bestuurders 3.2.4 Besluitvormingsproces binnen beheerder/bewaarder/beleggingsinstelling 3.2.5 Automatisering 3.2.6 Uitbesteding 3.2.7 ntegriteitsgevoelige functies 3.2.8 Toezichthoudend orgaan Vereisten per proces 3.3.1 Beheer conform beleggingsbeleid/beleggingsproces 3.3.2 Intrinsieke waardeberekening 3.3.3 Inkoop en uitgifte deelnemingsrechten 3.3.4 Distributie 3.3.5 Klachtenafhandeling en incidentbehandeling 3.3.6 Aanhouden financiĂŤle waarborgen Minimumvereisten voor beheerders van beleggingsinstellingen
4
4.1 4.2 4.3 4.4 4.5
Rol van de compliance functie bij fondsbeheerders
5.1 5.2 5.3
De AO/IC verklaring
5
4
Inleiding
Inleiding Rapportage lijn / positie van de compliance officer Taken / bevoegdheden Werkgebieden Basisdocumentatie voor de compliance functie Beoordelen van bestaan en werking van de AO/IC De rol van de externe accountant bij de AO/IC De AO/IC verklaring in het verslag van directie/beheerder
Publicatie van DUFAS en Ernst & Young
Bijlagen I II III IV V
Voorbeeld inhoudsopgave handboek AO Vergelijking Wte / Wtb Checklist wettelijke vereisten Methodologie voor de vastlegging van de AO Voorbeeld procedurebeschrijving
Publicatie van DUFAS en Ernst & Young
5
1
Inleiding
1.1
Beschrijving administratieve organisatie
De Wet toezicht beleggingsinstellingen is per 1 september 2005 ingrijpend gewijzigd. Naast implementatie van de UCITS III richtlijn uit Brussel die ruimere beleggingsmogelijkheden onder de reikwijdte van een UCITS met Europees paspoort brengt, wordt in Nederland voorzien in een algemeen vergunningenstelsel dat de fondsbeheerder een level playing field biedt met andere aanbieders van financiële producten en diensten zoals banken en verzekeraars. Vergunningen worden niet langer verstrekt aan iedere beleggingsinstelling afzonderlijk, maar aan de desbetreffende fondsbeheerder. De vergunninghoudende fondsbeheerder krijgt hiermee de bevoegdheid nieuwe producten (lees: beleggingsinstellingen) op de markt te brengen, zonder iedere keer het voorafgaande, tijdrovende vergunningverleningsproces te moeten doorlopen. Een simpele notificatie aan de toezichthouder volstaat. Deze bevoegdheid wordt in Nederland gegeven, zowel voor UCITS als voor NON-UCITS, de gewone beleggingsinstellingen zonder Europees paspoort. Andere Europese landen kennen deze bevoegdheid slechts toe voor UCITS. Door deze bevoegdheid ook toe te kennen voor gewone beleggingsinstellingen zonder Europees paspoort, gaat Nederland derhalve een stap verder dan de andere Europese lidstaten. Nederland zet daarmee een belangrijke stap in verbetering van het vestigingsklimaat voor asset managers in Nederland en biedt op deze wijze concurrentievoordeel aan in Nederland gevestigde fondsbeheerders. Als onderdeel van dit nieuwe vergunningenstelsel dienen alle in Nederland gevestigde fondsbeheerders die beschikken over in Nederland gevestigde beleggingsinstellingen, voor 1 maart 2006 een nieuwe Wtb-vergunning aan te vragen bij de Autoriteit Financiële Markten (AFM). Het spreekt voor zich dat dit nieuwe, vooruitstrevende vergunningenstelsel niet zonder goede waarborgen kan bestaan. Een van die waarborgen bestaat uit een adequate beschrijving van de Administratieve Organisatie en Interne Controle (‘AO/IC’) van de fondsbeheerder. De AO/IC beschrijving dient als belangrijk element van de nieuwe vergunningaanvraag aan de AFM over te worden gelegd. De AO/IC beschrijving geldt reeds als een verplicht onderdeel van de vergunningvereisten voor banken en verzekeraars. Het is redelijk dergelijke eisen nu ook te stellen aan asset managers, mede in lijn met de gelijkstelling van bevoegdheden. Voorts wordt hiermee door de wetgever onder meer invulling gegeven aan een meer ‘principle based’ toezicht met meer eigen verantwoordelijkheid voor de onder toezicht staande financiële instellingen, waarbij als waarborg voor de toezichthouder wordt voorzien in adequate procedures voor vastlegging van alle processen en relaties van die instellingen. In deze publicatie gaan wij in op die onderdelen van de regelgeving die van belang zijn voor de goede invulling van de administratieve organisatie van een beheerder van beleggingsinstellingen (vallend onder een vergunning in het kader van de Wet toezicht beleggingsinstellingen). In de praktijk blijkt nogal eens dat het vertalen van de voorgeschreven regels in een handzame beschrijving van de administratieve organisatie die ook aan de verwachtingen voldoet van de AFM, een moeizame exercitie betreft.
6
Publicatie van DUFAS en Ernst & Young
1.2
De AO/IC beschrijving bij de aanvraag van een Wtb-vergunning
Als onderdeel van de aanvraag van een Wtb-vergunning dient een AO/IC-beschrijving te worden ingediend. Ook moet in het aanvraagformulier aangegeven worden waar in deze AO/IC-beschrijving de verschillende voorgeschreven onderdelen zijn opgenomen (zie ook bijlage 3). Bij een vergunningaanvraag kan in beginsel worden volstaan met het overleggen van een beschrijving van de administratieve organisatie en het systeem van interne controle. De toezichthouder kan op grond van de algemene informatieplicht in een later stadium, wanneer een op basis van de beschrijving ingerichte AO/IC beschikbaar is, nadere gegevens opvragen. De AFM heeft aangegeven dat het is aan te bevelen om, ter bekorting van de doorlooptijd van de behandeling van de vergunningaanvraag, een externe accountant te laten verklaren dat de AO/IC van de instelling in opzet in orde is. 1.3
Vereisten vanuit wet- en regelgeving
De volgende wet- en regelgeving is meegenomen in het samenstellen van deze uitgave: • • • • •
de Wet toezicht beleggingsinstellingen (de Wtb, zoals per 1 september 2005 in werking getreden); het Besluit toezicht beleggingsinstellingen 2005 (Btb); de Nadere Regeling gedragstoezicht beleggingsinstellingen 2005 (NRgb); de Regeling prudentieel toezicht beleggingsinstellingen (Rptb); Regeling toezicht sanctiewet 1977
In enkele gevallen wordt verwezen naar de Wet toezicht effectenverkeer (Wte) en de Nadere Regeling gedragstoezicht effectenverkeer (NRge). Deze regelgeving wordt echter niet integraal in deze uitgave behandeld.
Publicatie van DUFAS en Ernst & Young
7
2
Het AO/IC project
2.1
Inleiding
In dit hoofdstuk wordt een uitwerking gegeven van een best practice aanpak van een AO/IC project waarbij de focus ligt op de primaire vastlegging van de basisprocessen. In de uitwerking wordt uitgegaan van een projectmatige aanpak waarin verschillende fasen, activiteiten, mijlpalen en resultaten zijn te onderkennen. Een dergelijke aanpak wordt vooral gevolgd bij de initiĂŤle opzet van de AO/IC. 2.2
Verkenningsfase
De verkenningsfase is de belangrijkste fase van het project omdat in deze fase de doelstelling van het project wordt geformuleerd, de aandachtspunten, de verwachtingen en het normenkader worden vastgelegd en het uiteindelijke projectresultaat wordt bepaald. Wanneer er in de verkenningsfase nog onduidelijkheden zijn, is het niet verstandig om door te gaan naar de daar opvolgende fase. De praktijk leert dat er vanwege tijdsdruk en misschien andere argumenten onvoldoende aandacht wordt besteed aan de verkenningsfase, met alle gevolgen van dien. Zoals in ieder project is het van groot belang dat de doelstelling van het project volkomen duidelijk is voor ieder die met dit project te maken heeft. Het eindresultaat moet Specifiek, Meetbaar, Ambitieus, Relevant en Tijdsgebonden (SMART) zijn. Bij het schrijven van het projectplan moet rekening worden gehouden met de omgevingsfactoren zoals de doelstellingen van de instelling, de issues die spelen en de verwachtingen van de instelling. FinanciĂŤle instellingen hebben te maken met toezichthouders die eisen stellen aan de AO/IC. Ook hier weer geldt dat het normenkader voor de AO/IC volkomen duidelijk moet zijn voor ieder die met het project te maken heeft; Het plan van aanpak is tijdens het project het sturingsmiddel voor de instelling en het projectteam. In een projectplan neemt de projectleider de volgende elementen op: - de achtergrond en aanleiding; - de doelstelling (opdrachtformulering) en afbakening (scope); - het eindresultaat en de tussenresultaten: fasering, activiteiten en mijlpalen; - de planning: deadlines; - de aanpak op hoofdlijnen (inclusief tool keuze); - een risico-analyse; - het normenkader; - de projectorganisatie; - het budget; - de afstemming met de interne opdrachtgever; - de communicatie met derden; - de randvoorwaarden en middelen.
8
Publicatie van DUFAS en Ernst & Young
Overigens kan het projectplan (met name de planning) gedurende het project, in overleg met de interne opdrachtgever, worden aangepast. Het projectplan is derhalve en dynamisch document dat op ieder moment de status, maar ook de toekomst van het project beschrijft. De vastlegging van de AO/IC kan met behulp van een vastleggingstool geschieden (zie ook bijlage IV). Uitgangspunt hierbij is dat het vastleggen van de AO/IC geen doel op zich is, maar dat zij volledig ter ondersteuning dient te zijn van de doelen van de AO/IC en eventuele additionele doelen zoals procesoptimalisering en risicomanagement. In sommige situaties volstaat het om de AO/IC vast te leggen in een tekstbestand gecombineerd met een flowchart programma. In andere situaties wordt een geavanceerd proces en risicomanagement applicatie ge誰mplementeerd. 2.3
Planningfase
In de planningfase worden op een gedetailleerd niveau de taken verdeeld en de activiteiten uitgewerkt. Uitgangspunt hierbij is het goedgekeurde plan van aanpak voor het AO/IC project. In het plan van aanpak wordt een beschrijving gegeven van de projectorganisatie en de benodigde vaardigheden van de projectmedewerkers. In de planningfase wordt het uiteindelijke projectteam opgesteld waarbij rekening is gehouden met de benodigde vaardigheden en de beschikbaarheid voor het project. Vervolgens worden de projectactiviteiten toebedeeld aan de projectmedewerkers waarmee het werkprogramma definitief wordt vastgesteld (inclusief budgetallocatie). Daarnaast dient de AO/IC vastleggingstool te worden ingericht. 2.4
Uitwerken business case
In deze fase wordt de business case van de organisatie gedocumenteerd waarbij op hoofdlijnen het bedrijfsmodel wordt uitgewerkt. Deze tussenstap is noodzakelijk om een complete top-down procesdecompositie op te stellen. Vanuit de mega processen van het bedrijfsmodel worden vervolgens de processen en subprocessen afgeleid, hetgeen resulteert in een procesdecompositie die volledig is en als uitgangspunt voor de vastlegging van de AO/IC kan fungeren. Vervolgens moeten de proceseigenaren worden toegekend aan verschillende processen. Een proceseigenaar is verantwoordelijk voor de uitvoering van het proces waarbij de proceseigenaar het proces niet zelf hoeft uit te voeren. Mocht er onduidelijkheid zijn omtrent de verantwoordelijkheden, dan dient het senior management hier uitsluitsel over te geven. Deze stap is nodig om in de volgende fase de AO/IC met het verantwoordelijke lijnmanagement te kunnen vastleggen. De procesdecompositie en toewijzing van de proceseigenaren zal in ieder geval door het senior management van de organisatie moeten worden gevalideerd. Deze validatie is van belang omdat de procesdecompositie het vertrekpunt is voor de verdere vastlegging van de AO/IC. Daarnaast moet de organisatiestrategie en het daaruit voortvloeiende beleid van de organisatie te herkennen zijn in de business case en de daaruit afgeleide procesdecompositie.
Publicatie van DUFAS en Ernst & Young
9
2.5
Vastlegging AO/IC
In deze fase worden de AO/IC daadwerkelijk vastgelegd waarbij in eerste instantie een ‘pilot’ wordt uitgevoerd. In deze ‘pilot’ worden met een beperkte scope (één of meerdere representatieve processen) alle stappen van de daadwerkelijke vastlegging van de AO/IC uitgevoerd. Hierbij komen de volgende aspecten aan de orde: - het plannen van interviews met de proceseigenaren; - het verzamelen en bestuderen van de reeds aanwezige documentatie (beleidsdocumenten, organisatieschema’s, procesbeschrijvingen en werkinstructies); - het afnemen van interviews met de proceseigenaren. Hierbij is het van belang om goed voorbereid te werk te gaan zodat de meestal drukke bezette proceseigenaren minimaal belast worden; - het uitwerken van de interviews met de geselecteerde vastleggingstool. Zoals reeds aangegeven, de tool is ondersteunend aan het vastleggingproces. De vastlegging dient consistent, eenduidig en goed leesbaar te zijn; - de uitwerkingen worden teruggekoppeld aan de proceseigenaren. De proceseigenaren controleren de beschrijvingen op correctheid en volledigheid. Bijkomende voordelen van een directe terugkoppeling zijn het creëren van draagvlak en de mogelijkheid om de methodiek van de vastlegging uit te leggen aan de proceseigenaar. Er wordt vervolgens vastgesteld of de beschrijvingen uit de ‘pilot’ voldoen aan de doelstellingen en de randvoorwaarden van het project. Hierbij komen aspecten als opzet en diepgang aan de orde. Bij de opzet wordt de volledigheid van de aspecten van de vastlegging beoordeeld. Voor financiële instellingen is het van belang om alle relevante activiteiten, verantwoordelijken, risico’s en beheersmaatregelen te benoemen in de vastlegging. De diepgang van de vastlegging is afhankelijk van de doelstelling maar ook van de risico’s die in het proces worden gelopen. Risicovolle processen worden doorgaans op een meer gedetailleerd niveau vastgelegd. Er dient te worden gewaakt voor een vastlegging op een te gedetailleerd niveau, omdat het niet veel toevoegt aan de doelstellingen van het project en de kans groot is dat het project sneuvelt vanwege de hoeveelheid werk en/of het onderhoud op deze gedetailleerde AO/IC. De toezichthouders in de financiële sector doen overigens geen uitspraak over het detailniveau van de AO/IC. Wanneer de ‘pilot’ voldoet aan de doelstellingen en randvoorwaarden, zullen de resterende processen conform de ‘pilot’ in kaart worden gebracht. Kwaliteitsbewaking speelt een belangrijke rol bij de vastlegging van de resterende processen. Alle beschrijvingen dienen te voldoen aan de eisen zoals deze zijn gesteld in het projectplan en de ‘pilot’. In de praktijk kan het lastig zijn om de samenhang tussen de verschillende processen en subprocessen te bewaken. De projectleider dient voldoende aandacht te schenken aan deze aspecten. 2.6
Acceptatie en implementatie
In deze fase worden de beschrijvingen geaccepteerd door het senior management en geïmplementeerd door het lijn management. De acceptatie van de vastlegging van de bedrijfsprocessen is een verantwoordelijkheid van het senior management van de instelling. Hiermee worden de werkwijze en de verdeling van taken, bevoegdheden en verantwoordelijkheden binnen de instelling geformaliseerd. Het implementeren van de
10
Publicatie van DUFAS en Ernst & Young
AO/IC is te allen tijde een verantwoordelijkheid van het lijnmanagement omdat het een wezenlijk onderdeel uitmaakt van het besturen van de instelling (op ieder niveau). Na de formele goedkeuring kan de AO/IC worden geïmplementeerd door het lijnmanagement. Het opleiden en trainen van de eindgebruikers maakt onderdeel uit van het plan van aanpak en afhankelijk van de geselecteerde vastleggingstool worden de eindgebruikers opgeleid. Wanneer de AO/IC is vastgelegd in de vorm van een meer ‘traditioneel’ handboek dienen alle eindgebruikers een handboek ontvangen, inclusief daar waar nodig een toelichting hierop. Bij de meer geavanceerde proces en risicomanagement informatiesystemen dienen de gebruikers een basistraining te volgen. Bij de meest geavanceerde informatiesystemen kunnen zelfs gepersonaliseerde portals op het internet/intranet worden gegenereerd zodat iedere gebruiker zijn eigen interactieve werkomgeving heeft. Hiermee wordt de AO/IC toegankelijker gemaakt voor de medewerker op de werkvloer. 2.7
Evaluatie en opvolging
Zoals eerder gesteld is de vastlegging van de AO/IC geen doel op zich en dient het lijnmanagement er voor te zorgen dat de AO/IC actueel blijft. Het vastleggingproject dient daarom te worden geëvalueerd. Tijdens deze evaluatie worden de doelstellingen nogmaals met de projectuitvoering vergeleken en worden mogelijke deficiënties geïdentificeerd. Deze tekortkomingen worden in een vervolgtraject of in het onderhoud van de AO/IC meegenomen. Het onderhouden van het handboek administratieve organisatie en maatregelen van interne controle en deze steeds aanpassen indien wijzigingen in regelgeving daarom vragen is vaak een lastige taak. Dit wordt veroorzaakt door het feit dat de vertaalslag van gewijzigde of nieuwe regelgeving in bestaande en/of nieuwe proces- en procedurebeschrijvingen lastig is. Daarnaast is bij veel instellingen niemand verantwoordelijke gesteld voor het actueel houden van de beschrijving van de administratieve organisatie, waardoor de inhoud daarvan snel verouderd en niet meer aansluit op de dagelijkse praktijk. Het beheer van de AO/IC dient te worden opgenomen in separate beheerprocedures
Publicatie van DUFAS en Ernst & Young
11
3
Minimumvereisten voor beheerders van beleggingsinstellingen
3.1
Scope
In dit hoofdstuk is een overzicht weergegeven van de minimum AO/IC-vereisten voor beheerders van beleggingsinstellingen. Deze minimumvereisten zijn gebaseerd op hetgeen in de nieuwe (Wtb, NRg Wtb, Rptb, Sanctiewet 1977) wet- en regelgeving hierover vermeld staat. Indien bij bepaalde onderwerpen ook de Wte van toepassing is, wordt dit vermeld en zal verwezen worden naar bijlage II, waarin meer gedetailleerd het bepaalde in de Wte opgenomen is. Tevens zijn de aanbevelingen van de Commissie Modernisering Beleggingsinstellingen (“Commissie Winter”) meegenomen, voor zover thans zijn opgenomen in het nieuwe Btb. 3.2
Algemene vereisten
3.2.1 Inrichting administratieve organisatie De beheerder dient minimaal over een beschrijving te beschikken van de administratieve organisatie en het systeem van interne controle. Deze beschrijving mag generiek opgesteld worden, maar moet herleidbaar zijn tot op het niveau van de individuele fondsen, ofwel generiek waar mogelijk en specifiek waar het moet (bijvoorbeeld om specifiek het onderscheid tussen open end- en closed end fondsen te beschrijven). Op deze manier kan per individueel fonds het stelsel van administratieve organisatie en interne controlemaatregelen geïdentificeerd worden [Btb artikelen 8 lid 1 en 2]. In de bedrijfsvoering van de beheerder moet een scheiding worden aangebracht tussen de administratie van de beheerder zelf en van de diverse beleggingsinstellingen die hij beheert. Hiermee wordt voorkomen dat de administraties van de verschillende beleggingsinstellingen ondoorzichtig worden. Dit moet blijken uit de beschrijving die de beheerder bij vergunningaanvraag overlegt. De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat elke transactie waarbij de beleggingsinstelling is betrokken kan worden gereconstrueerd (Btb artikel 8 lid 3a). Daarnaast dienen instellingen te handelen in lijn met de doelstellingen zoals weergegeven in de Sanctiewet 1977, welke algemeen, “principle based” en specifiek gesteld worden, meer concreet door het niet verstrekken van financiële middelen aan personen en/of entiteiten genoemd in de sanctieregelgeving. Hierbij dient de instelling permanent de doelstellingen van de Sanctieregelgeving te bewaken. In het AFM rapport “Zicht op beleggingsinstellingen” was dit één van de geconstateerde tekortkomingen. 3.2.2
Functiescheidingen
Inzake functiescheidingen dient een onderscheid gemaakt te worden tussen de mogelijke belangenverstrengelingen tussen de beheerdersorganisatie en interne of externe partijen, de aanwezige functiescheidingen binnen de beheerdersorganisatie en de eventuele maatregelen ter versteviging komend van buiten de beheerdersorganisatie, wegens het ontbreken van noodzakelijke functiescheidingen binnen de beheerdersorganisatie.
12
Publicatie van DUFAS en Ernst & Young
Belangenverstrengeling Een beheerder dient een beleid te voeren terzake het tegengaan van verstrengeling van tegenstrijdige belangen. Te denken valt hierbij bijvoorbeeld aan tegenstrijdige belangen tussen fondsen onderling (bijvoorbeeld bij verdeling van stukken bij beursintroducties), tussen fondsen en andere concernonderdelen (bij verzekeraars bijvoorbeeld met afdeling Leven) en de handel met andere gerelateerde partijen (bijvoorbeeld de eigen broker). Dit beleid dient vastgelegd te zijn in organisatorische en administratieve procedures en maatregelen (Btb artikel 30, NRgb art. 3). Het beleid dient in ieder geval te omvatten: 1. het schriftelijk vastleggen van de normen en regels ten aanzien van het tegengaan van belangenverstrengeling; 2. het bevorderen van een cultuur waarin het bewustzijn ten opzichte van het tegengaan van belangenverstrengeling op een hoog niveau staat; 3. het bekendmaken van de normen en regels aan alle relevante geledingen van de beheerder. De beheerder draagt zorg voor de uitwerking en implementatie van dit beleid. Functiescheidingen EĂŠn van de belangrijkste maatregelen om verstrengeling van belangen tegen te gaan is het creĂŤren van functiescheidingen binnen de organisatie (o.m. Btb artikel 8 lid 3d). De Wte/NRge stellen hieromtrent dat een effecteninstelling voorziet in procedures en alle maatregelen neemt voor een strikte scheiding (waaronder een personele scheiding) tussen: - het bedrijfsonderdeel dat transacties uitvoert en het onderdeel dat de transacties administratief verwerkt en afwikkelt; - het bedrijfsonderdeel dat de transacties afwikkelt en administratief verwerkt en het bedrijfsonderdeel dat de controle hierop uitvoert; - het bedrijfsonderdeel dat de transacties afwikkelt en administratief verwerkt en de procuratiehouder. De bedoelde functiescheidingen binnen de beheerder kunnen gezien bovenstaande onderscheiden worden in: - een scheiding tussen het handelsgedeelte waarin de contacten met de beleggers in de beleggingsinstelling zijn ondergebracht (front office) en het administratieve gedeelte (back office/effectenadministratie en financiĂŤle administratie) van de beheerder; - een scheiding tussen de beheerder van een beleggingsinstelling en de bewaarder; - een scheiding binnen de organisatie tussen het gedeelte dat de transacties afwikkelt en verwerkt en het gedeelte dat de controle daarop uitvoert; - op een scheiding tussen het administratieve gedeelte van de beheerder en de procuratie; en - een scheiding tussen de berekening van de intrinsieke waarde en de overige activiteiten. Er dient een schriftelijke overeenkomst tussen beheerder en bewaarder afgesloten te worden indien activa door een bewaarder worden bewaard. Zie Btb artikel 9 voor de gestelde eisen aan overeenkomst. Een afschrift van elke afgesloten, gewijzigde of aangevulde overeenkomst dient binnen twee weken aan de toezichthouder te worden verzonden.
Publicatie van DUFAS en Ernst & Young
13
Verstevigingen buiten de beheerdersorganisatie om Indien het aantal medewerkers niet toereikend is om de noodzakelijke functiescheiding te realiseren kan gedacht worden aan inschakeling van de directie in combinatie met extra toezicht door de Raad van Commissarissen (RvC). Daarnaast kan het uitbesteden van taken (waarbij de eindverantwoordelijkheid altijd blijft liggen bij de beleggingsinstelling) of het benoemen van een bewaarder met de functie en de taken zoals de wet die voorschrijft voor beleggingsfondsen een mogelijkheid zijn voor de beheerder om een ontoereikende mate van interne functiescheiding op te vangen. In alle gevallen is een goede beschrijving van de procedures noodzakelijk. 3.2.3
Informatieproces bestuurders
De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat de bestuurders regelmatig, alsmede tussentijds in het geval zich bijzondere omstandigheden voordoen, worden ge誰nformeerd over de bedrijfsvoering. Aanbeveling hierbij is om minimaal maandelijks een rapportage aan bestuurders te verstrekken, waarin bijvoorbeeld melding gemaakt kan worden van het aantal foutieve intrinsieke waardeberekeningen. Hierbij dient bepaald te worden welke informatie gerapporteerd wordt en in welke vorm dit dient te gebeuren (schriftelijk, mondeling, e-mail etc.), waarbij de voorkeur uitgaat naar schriftelijke rapportages vanwege de mogelijkheden tot documentatie, analyse en communicatie (richting bijvoorbeeld RvC, interne en externe accountant). 3.2.4
Besluitvormingsproces binnen beheerder/bewaarder/beleggingsinstelling
Het is het met name van belang dat het besluitvormingsproces en de gemaakte afspraken tussen beheerder, bewaarder en beleggingsinstelling inzichtelijk zijn (Btb artikel 8 lid 3c). Het is daarbij van belang dat er omtrent de besluitvorming een goede (schriftelijke) vastlegging plaatsvindt en dat de beheerder hiervoor procedures en richtlijnen instelt. Bij schriftelijke vastleggingen inzake beleid worden niet alleen formele beleidsdocumenten zoals mandaten bedoeld, maar alle administratieve vastleggingen zoals e-mails, interne memoranda en andere vastleggingen die voor de vastlegging van het beleid en het toezicht hierop van belang kunnen zijn. 3.2.5
Automatisering
De minimumeisen inzake de procedures en maatregelen inzake automatisering bij de beheerder hebben betrekking op de waarborging van de integriteit, de voortdurende beschikbaarheid en de beveiliging van de geautomatiseerde gegevens (Btb artikel 8 lid 3m). Hierbij dient aandacht te zijn besteed aan maatregelen op de volgende gebieden: 1. algemene beheersmaatregelen in de geautomatiseerde omgeving zoals back-up procedures en fysieke beveiligingsmaatregelen; 2. functiescheidingen; 3. geprogrammeerde controles, gericht op de betrouwbare werking van de gebruikte applicaties; 4. maatregelen in de gebruikersomgeving; 5. change management.
14
Publicatie van DUFAS en Ernst & Young
Een belangrijke maatregel betreft het voorkomen van ongeautoriseerde implementatie van nieuwe programmatuur en wijziging van bestaande programmatuur en systemen. Indien de beheerder zelf specifieke programmatuur ontwikkelt dient de ontwikkel- en testomgeving gescheiden te zijn van de operationele omgeving. Daarnaast dient ingekochte programmatuur altijd door de operationele gebruikers getest te worden voordat deze programmatuur geïmplementeerd wordt. Hierbij dient de beheerder procedures te hebben voor het gebruik van de juiste programmatuur, stamgegevens en geprogrammeerde controles door de operationele gebruikers. Ter voorkoming van eventuele storingen en calamiteiten kan onder algemene beheersmaatregelen door de beheerder gedacht worden aan: 1. het beschikken over een adequate herstelprocedure; 2. het beschikken over adequate documentatie c.q. gebruikershandleidingen voor de gebruikte systemen; 3. het beschikken over een adequate back-up procedure; 4. het beschikken over eventuele uitwijkmogelijkheden, mocht de lokatie niet meer beschikbaar zijn (bijvoorbeeld door installatie van een extra server bij één van de bestuurders); 5. het treffen van voorzieningen voor fysieke en logische toegangsbeveiliging door toepassing van bijvoorbeeld wachtwoorden en toegangscodes. Daarnaast dient de beheerder te beschikken over schriftelijke procedures waarin de uitgangspunten voor beheer en beveiliging zijn vastgelegd. 3.2.6
Uitbesteding
Bij uitbesteding dient er door de betreffende instelling een normenkader ontwikkeld te zijn waarmee de uitbestede werkzaamheden kunnen worden getoetst aan de eigen, intern vastgestelde eisen. Op deze manier kan de betreffende instelling vaststellen dat de derde partij voldoet aan de eisen die gesteld worden vanuit de eigen organisatie. In het bijzonder is het van belang vast te stellen dat de derde partij voldoet aan het in de wet- en regelgeving gestelde en dat de betreffende instelling hiermee de zekerheid verkrijgt dat ook zij zelf, ondanks de uitbestede werkzaamheden, volledig voldoet aan de geldende wet- en regelgeving. Hiertoe dient de uitbestedende instelling met name controlemaatregelen ten aanzien van de uitbestede werkzaamheden te ontwikkelen en een effectieve bewaking hiervan te garanderen. De basis hiervan dient vastgelegd te worden in de af te sluiten Service Level Agreements (SLA’s) waarin ook maatregelen opgenomen moeten zijn om de kwaliteitswaarborgen te controleren. Hierbij is eveneens toetsing en bewaking van de integriteit van extern ingehuurde medewerkers van belang. Belangrijk is dat de bepaling van het beleggingsbeleid en het nemen van beslissingen op dat gebied niet kunnen en mogen worden uitbesteed (Btb artikel 27). Deze behoren namelijk tot de kerntaken van de beheerder ten behoeve waarvan bijvoorbeeld de degenen die het dagelijks beleid van de beheerder bepalen op hun deskundigheid zijn getoetst. Het derde lid van artikel 27 bepaalt dat alle overeenkomsten met derden die betrekking hebben op het beheer van de beleggingsinstelling of het bewaren van de activa schriftelijk vastgelegd moeten zijn.
Publicatie van DUFAS en Ernst & Young
15
Indien (een deel van) de processen bij de beheerder is uitbesteed aan een derde partij, dient de kwaliteit van de administratieve en operationele processen bij deze tegenpartij vastgesteld te worden. Een SAS 70verklaring van de tegenpartij kan een extra waarborg zijn voor de kwaliteit van de uitbestede processen, maar dit laatste is echter (nog) geen noodzakelijkheid om de kwaliteit van de processen bij de tegenpartij te kunnen vaststellen. Indien geen SAS 70-verklaring van de tegenpartij beschikbaar is, dient door de beheerder op een andere manier vastgesteld te worden dat de uitbestede processen aan de kwaliteitseisen voldoen, bijvoorbeeld door zelfstandig een onderzoek bij de tegenpartij uit te (laten) voeren. 3.2.7
Integriteitsgevoelige functies
Een beheerder stelt het beleid vast ter zake van integriteitsgevoelige functies. Het beleid omvat ten minste: de kwalificatie van functies die een wezenlijk risico bevatten voor de integere bedrijfsvoering van de beheerder; 1. de beoordeling van de betrouwbaarheid van een personeelslid dat de beheerder voornemens is in een dergelijke functie te benoemen; 2. de beoordeling van de betrouwbaarheid van een personeelslid dat reeds in dienst is van de beheerder en dat de beheerder voornemens is te benoemen in een integriteitsgevoelige functie. 3. een formele regeling inzake privé beleggingstransacties. Hierbij dient de beheerder objectieve, kenbare kwalificatiecriteria voor integriteitsgevoelige functies te bepalen en vast te leggen in het beleid. De keuze voor bepaalde criteria wordt in de wet- en regelgeving niet nader bepaald en is organisatie-afhankelijk. Nadere detaillering van de voorgestelde beoordelingswerkzaamheden van de beheerder staan omschreven in NRgb artikel 6. 3.2.8
Toezichthoudend orgaan
Momenteel zijn met betrekking tot het toezichthoudend orgaan discussies gaande die betrekking hebben op de structuren met RvC’s, waarbij deze qua besluitvorming een adviserende en toezichthoudende rol toebedeeld krijgen. De commissie Winter deed de aanbeveling bij elke beheerder een Raad van Commissarissen in te stellen. Hierbij kan volgens de Commissie Modernisering Beleggingsinstellingen ook gedacht worden aan een met een Raad van Commissarissen vergelijkbare toezichtstructuur waarbij bijvoorbeeld maar één enkel bestuursorgaan functioneert met daarnaast een Compliance-commissie. De discussies hierover lopen nog en de uitkomsten kunnen een grote invloed hebben op de governance en daarmee het besluitvormingsproces binnen de beheerder, bewaarder en beleggingsinstelling. Vanuit DUFAS is voorgesteld om hieromtrent een flexibel regime in te voeren, door bijvoorbeeld de externe accountant extra controles te laten uitvoeren. De discussies hieromtrent zullen worden gehouden in het kader van deel 3 van de Wet Financieel Toezicht (WFT), welke naar verwachting in het najaar van 2005 in concept gepubliceerd zullen worden. Tot op heden is er nog geen wettelijke verplichting inzake de structuur die het besluitvormingsproces dient te hebben.
16
Publicatie van DUFAS en Ernst & Young
3.3
Vereisten per proces
3.3.1
Beheer conform beleggingsbeleid/beleggingsproces
De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat het beheerde vermogen van de beleggingsinstelling overeenkomstig het beleggingsbeleid en de bij of krachtens de wet gestelde regels wordt belegd (Btb artikel 8 lid 3b). Uitgangspunt voor de maatregelen is het beleggingsbeleid zoals beschreven in het prospectus van de beleggingsinstelling en de vertaling hiervan in interne instructies en richtlijnen. Bij de toetsing of overeenkomstig het beleggingsbeleid wordt gehandeld zijn drie controlestadia te onderscheiden: 1. tijdens de uitvoering van het beleggingsbeleid (de daadwerkelijke beleggingstransacties), wat bijvoorbeeld door ingebouwde geautomatiseerde interne controles ingeregeld zal zijn (pre event); 2. beoordeling van overzichten/output van de beleggingstransacties, bijvoorbeeld door beoordeling van signaleringslijsten door Backoffice (post event); 3. vanuit de afdelingen Compliance/Risk Management/Interne Accountantsdienst waarbij controle plaats vindt op de frontoffice, bijvoorbeeld middels controles op fair trade allocatie en excessive trading (post event). De risico’s die voortkomen uit het beleggingsproces dienen op systematsche wijze te worden beheerst en geanalyseerd. Bij de risico’s voortvloeiend uit het beleggingsproces valt te denken aan risico’s als marktrisico, waaronder vallen prijsrisico, renterisico en valutarisico, tegenpartijrisico, systeemrisico, risico van beleggen met geleend geld, risico van in- en uitlenen van effecten. De beschrijving dient in het bijzonder aandacht te besteden aan de risico’s verbonden aan het gebruik van (afgeleide) financiële instrumenten. De beschrijving dient de gelopen risico’s ook op inzichtelijke wijze te analyseren. Daartoe behoort dat de beheerder een methode kiest voor de analyse of berekening van het totale risico die in overeenstemming is met de aard van het financiële instrument. Ten aanzien van UCITS geldt een aantal daarbij in acht te nemen voorschriften (Btb artikel 60, lid 1). 3.3.2
Intrinsieke waardeberekening
Het belangrijkste aandachtspunt inzake AO/IC terzake van de intrinsieke waardeberekening is dat de beheerder de procedures en specifieke interne controlemaatregelen ontwerpt en implementeert die een betrouwbare, juiste en consistente intrinsieke waardeberekening kan waarborgen (Btb artikel 8 lid 3e). Hierbij is het van belang dat deze berekening plaatsvindt gescheiden van de andere activiteiten van de beheerder en aansluit bij de financiële informatie (Btb artikel 8 lid 3f respectievelijk lid 3g). De drie belangrijkste aandachtsgebieden inzake intrinsieke waardeberekening zijn: 1. tijdigheid van de berekening; 2. primaire verantwoordelijkheid van de bestuurders, en de aanspreekbaarheid van de hoogste leiding; 3. uitvoering van kwantitatieve controles (te denken valt aan het vaststellen van de aansluiting met het grootboek, controle op de ingevoerde data zoals effectenkoersen, plausibiliteitscontroles zoals de ontwikkeling van de intrinsieke waarde in relatie tot de ontwikkeling van de benchmark).
Publicatie van DUFAS en Ernst & Young
17
De NRgb vereist tevens dat de AO/IC voorziet in procedures die aangeven onder welke omstandigheden en op welke wijze een onjuist berekende intrinsieke waarde aan beleggers wordt gecompenseerd. 3.3.3
Inkoop en uitgifte deelnemingsrechten
De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet in procedures en maatregelen die waarborgen dat er, voor zover mogelijk, een systematische, toegankelijke en actuele administratie van deelnemers in de beleggingsinstelling is waarin, voor zover van toepassing, de met de deelnemers gemaakte afspraken inzichtelijk worden gemaakt (Btb artikel 8 lid 3l). Inzake de berekening van op- en afslagen is het van belang dat de deelnemer niet alleen weet hoe de op- en afslagen worden berekend maar ook waarvoor deze worden gebruikt. De beleggingsinstelling moet daarom aangeven hoe de op- en afslagen zijn berekend en aan wie zij ten goede zijn gekomen. Tevens dient de instelling ook procedures en controlemaatregelen te ontwikkelen inzake bijvoorbeeld kortingsregelingen voor eigen personeel. 3.3.4
Distributie
Bij distributie kan zowel gedacht worden aan eigen verkoop alswel aan verkoop via derden. Hierbij zijn vanuit de wet- en regelgeving diverse aandachtsgebieden te onderkennen die een beheerder dient te onderscheiden (o.m. NRgb artikel 4): 1. Deelnemersacceptatie: bij de acceptatie van deelnemers dient de beheerder minimaal te voldoen aan de volgende eisen: - er dient een acceptatiebeleid te worden vastgesteld, waarbij onderscheid gemaakt wordt in risico’s inzake identiteit, aard en achtergrond van de deelnemer en de eventuele productrisico’s; - de beheerder draagt zorg voor de uitwerking en implementatie van het beleid in organisatorische en administratieve procedures en maatregelen die betrekking hebben op risicoclassificaties ten aanzien van deelnemers en producten van de beleggingsinstellingen. Acceptatie van een deelnemer is niet mogelijk indien identiteit, aard en achtergrond van de deelnemer niet afdoende door beheerder is vastgesteld; - implementatie van procedures en maatregelen die identificatie van deelnemers mogelijk maken, inclusief de verificatie hiervan; - implementatie van procedures en maatregelen die analyse van deelnemersgegevens (inclusief transactiegedrag) mogelijk maken; - de procedures en maatregelen zijn naar aanleiding van een risico-analyse in kracht en diepgang afgestemd op de specifieke groepen deelnemers; - de afgrenzing van het moment van toekennen van deelnemingsrechten tegen de op een bepaald moment geldende intrinsieke waarde moet zijn geregeld. 2. Deelnemersbewaking: het bovengenoemde beleid en de hierbij getroffen procedures en maatregelen dienen door de beheerder periodiek getoetst te worden, waarbij de beheerder er eveneens voor zorgt dat dit beleid door elke door hem beheerde beleggingsmaatschappij wordt gevoerd.
18
Publicatie van DUFAS en Ernst & Young
Vanuit de Sanctiewetgeving zullen de getroffen AO/IC-maatregelen zodanig moeten zijn dat financiële middelen indien nodig traceerbaar en bevriesbaar zijn en dat de toezichthouder hierover geïnformeerd kan worden op basis van eigen verantwoordelijkheid en de risico-inschatting van de instelling. Indien Sanctieregelgeving niet wordt nageleefd begaat de beheerder een economisch delict, met alle mogelijke nadelige gevolgen van dien. Naleving door tijdige controle op identiteit van nieuwe en bestaande relaties met Sanctieregelgeving op basis van ondermeer een “freezelijst” en melding van eventuele “treffers” aan toezichthouder conform de meldprocedure is vereist. Inzake eventuele reclame-uitingen dienen de in de NRgb artikel 8 tot en met 10 opgenomen bepalingen nageleefd te worden, welke met name betrekking hebben op het vermelden van waarschuwingszinnen en het vermelden van historische rendementen en rendementsprognoses. Elke reclame-uiting dient inhoudelijk juist en niet misleidend te zijn (Btb artikel 36). 3.3.5
Klachtenafhandeling en incidentbehandeling
De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat klachten zorgvuldig, verifieerbaar, consistent en binnen een redelijke termijn worden afgehandeld (Btb artikel 8 lid 3h). Er zal onder andere moeten worden geregeld wie in de organisatie welke taken, verantwoordelijkheden en bevoegdheden heeft in het totale proces met betrekking van de klachtenafhandeling. Het proces van klachtenafhandeling begint op het moment van binnenkomst van de klacht tot en eindigt met de uiteindelijke afhandeling van de klacht. Het voorschrift is ook van toepassing op correspondentie in het kader van civiele procedures. Tevens dient sprake te zijn van een adequate vastlegging van de klacht en de afhandeling daarvan. Dit is van belang voor een goede interne bewaking en beheersing van het klachtenproces, een goede afhandeling van de klachten zelf en voor interne en externe controledoeleinden. Dit voorschrift ziet niet alleen op klachten die schriftelijk bij de beheerder worden ingediend, maar tevens op klachten die bijvoorbeeld tijdens een algemene vergadering van aandeelhouders worden geuit. Een incident kan worden gedefinieerd als ‘een gebeurtenis die een ernstig gevaar vormt voor de integriteit van de bedrijfsvoering, voor zover het betreft een gedraging van een personeelslid of van een persoon die het dagelijkse beleid bepaalt dan wel mede bepaalt van de beheerder, dan wel van een gekwalificeerde aandeelhouder of van een natuurlijke persoon of rechtspersoon die werkzaamheden verricht ten behoeve van de beheerder.’ Kenmerkend voor incidenten is dat ze optreden op momenten die niet van tevoren door de beheerder zijn voorzien. Daarom wordt van hen verwacht dat zij systematisch en vooraf hebben nagedacht over de omgang met incidenten. Een beheerder en een bewaarder treffen organisatorische en administratieve procedures en maatregelen die zien op: 1. de administratieve vastlegging van incidenten, welke minimaal omvat: a. de kenmerken van het incident; b. gegevens over betrokken personen bij incident; c. maatregelen die zijn getroffen naar aanleiding van het incident.
Publicatie van DUFAS en Ernst & Young
19
2.
3.
de wijze van afhandeling van incidenten, gericht op: a. beheersing van het optredende risico; b. bevestiging van de geldende normen; c. beperking van negatieve effecten van het incident (zowel intern als extern); de informatieverstrekking over incidenten.
De toezichthouder wordt onmiddellijk geïnformeerd over incidenten indien: 1. aangifte is gedaan bij justitiële instanties; 2. het voortbestaan van beheerder wordt of kan worden bedreigd; 3. sprake is van ernstige tekortkomingen in opzet en werking interne controlemaatregelen inzake integriteit; 4. ernstige reputatieschade kan optreden; 5. dit redelijkerwijs verwacht mag worden van de beheerder in relatie tot de ernst van het incident. Daarnaast dient de toezichthouder ook ingelicht te worden over de maatregelen die naar aanleiding van het incident genomen zijn (NRb artikel 5). 3.3.6 Aanhouden financiële waarborgen Van de beheerder wordt verwacht dat zij over inzicht beschikt in de mogelijke operationele risico’s die van invloed kunnen zijn op haar solvabiliteit en liquiditeit. Hiertoe geeft de Regeling prudentieel toezicht beleggingsinstellingen nadere minimumeisen aan de administratieve organisatie en interne controle voor zover verband houdend met financiële waarborgen (Rptb artikelen 8 en 9). Met het oog op de bewaking en beheersing van de solvabiliteitsrisico’s voorziet de AO/IC-beschrijving van de instelling tenminste in de bewaking en beheersing van: 1. de aard en omvang van activa en passiva; 2. de niet uit de balans blijkende verplichtingen; 3. de resultaatontwikkeling, uitgesplitst naar de onderscheiden bedrijfsactiviteiten; en 4. de resultaatontwikkeling, uitgesplitst naar de onderscheiden bedrijfsonderdelen. Voor de beheersing van de liquiditeitsrisico’s dient de AO/IC-beschrijving minimaal te omvatten: 1. autorisatieprocedures; 2. limietstellingen en -bewaking; 3. procedures en maatregelen inzake noodsituaties met betrekking tot de liquiditeitspositie. Daarnaast dient de beheerder de gekwantificeerde minimumkapitaalvereisten zoals gedefinieerd in de Btb (artikel 4) te bewaken.
20
Publicatie van DUFAS en Ernst & Young
4
Rol van de compliance functie bij fondsbeheerders
4.1
Inleiding
In dit deel wordt een schets gegeven van de positie, verantwoordelijkheden en inhoud van de compliance functie bij fondsbeheerders. Aangezien het beheer van beleggingsinstellingen bij vooral grotere financiële instellingen is ondergebracht bij een separate vermogensbeheer entiteit is ook de compliance functie van de beleggingsinstellingen veelal geïntegreerd in de compliance functie van de vermogensbeheerder. Wet- en regelgeving staan een dergelijke integratie ook niet in de weg. Bij kleinere of zelfstandige beleggingsinstellingen zal de beleggingsinstelling een eigen compliance functie (moeten) hebben al dan niet gecombineerd met andere staffuncties als bijvoorbeeld Legal en Risk Management. 4.2
Rapportage lijn / positie van de compliance officer
Gelet op de aard van de functie ligt het meest voor de hand dat de compliance officer rechtstreekse rapportage lijn naar de voorzitter van de directie heeft. Op die manier kan het beste gewaarborgd worden dat de compliance officer in een onafhankelijke rol ten opzichte van de andere onderdelen van de organisatie zijn toezichthoudende en adviserende functie kan uitoefenen. 4.3
Taken / bevoegdheden
Doel van de compliance functie is om compliance risico’s - denk aan reputatieschade, maatregelen van de toezichthouder, financiële claims - zoveel mogelijk te voorkomen. Om dit doel te bereiken dient de compliance officer vanuit zijn onafhankelijke positie gevraagd en ongevraagd advies te kunnen geven aan de organisatie en bovendien heeft de compliance officer op enkele terreinen (bijvoorbeeld de Regeling privé-beleggingstransacties) een aanwijzende bevoegdheid. Essentieel is dat de positie, taken en bevoegdheden omschreven zijn in een compliance charter of statuut, gevalideerd door de directie van de beleggingsinstelling. 4.4
Werkgebieden
Naast bovengenoemde meer generieke aandachtsgebieden bestrijken de werkzaamheden van de compliance officer bij fondsbeheerders de volgende onderwerpen: • Wet- regelgeving: Inventariseren en toezicht houden op juiste toepassing van wet- en regelgeving binnen het kader van de vergunninghoudende activiteiten van de beleggingsinstelling. Daarnaast het monitoren van ontwikkelingen in wet- en regelgeving, het opstellen van gap analyses, advies uitbrengen aan de directie en het ondersteunen van de organisatie bij de invoering van nieuwe wet- en regelgeving. Zo wordt de compliance officer veelal geacht periodiek de opzet, bestaan en werking vast te stellen van de AO/IC aan de hand van de aanwezige beschrijvingen en daarover verslag te brengen aan de directie, zonder daarbij overigens de rol van de interne accountant over te nemen. Het ligt daarbij voor de hand dat de toets door de compliance officer meer inhoudelijk is naarmate het processen betreffen die meer tot de natuurlijke domeinen van een compliance officer behoren (zorgplicht, customer due diligence, integriteitsonderwerpen);
Publicatie van DUFAS en Ernst & Young
21
• Marketing compliance: Een reclame-uiting dient inhoudelijk juist en niet misleidend te zijn. Uitgangspunt bij toetsing zijn de vereisten van de toezichthouder zoals neergelegd in artikel 36 Btb alsmede de artikelen 8 t/m 10 uit de Nrgb; • Gedragscodes werknemers: Naast een algemene gedragscode met bepalingen over ondermeer het accepteren van relatiegeschenken en uitnodigingen, het omgaan met vertrouwelijke informatie en het gebruik van telefoon, Internet en e-mail, dient er een regeling te zijn voor privé-beleggingstransacties, het aanwijzen van insiders en het omgaan met koersgevoelige informatie; • Toezicht beleggingsbeleid conform beleggingsrestricties: Meest gebruikelijk is dat de controle op de uitvoering van het vermogensbeheer conform de beleggingsrestricties wordt uitgevoerd door een operationele afdeling al dan niet met behulp van geautomatiseerde systemen. De rol van de compliance officer is er voor zorg te dragen dat de operationele afdelingen tijdig worden geïnformeerd over wijzigingen in de restricties, dat er normen voor oplossing van overschrijdingen worden vastgesteld en dat de compliance officer betrokken is bij de tijdige afwikkeling van overschrijdingen; • Financiële Bijsluiter: De rol van de compliance officer is het nagaan of de Financiële Bijsluiter op de juiste wijze beschikbaar wordt gehouden en het monitoren dat deze actueel wordt gehouden; • Fund governance: Enerzijds heeft de compliance officer een rapporterende en adviserende functie binnen het stelsel van fund governance (aan directie, het toezichthoudend orgaan als bijvoorbeeld Raad van Commissarissen, de externe accountant en de toezichthouder), anderzijds heeft compliance een adviserende functie over fund governance onderwerpen als rapportagelijnen, de relatie met externe toezicht houder (de AFM), de accountant, de relatie met andere onderdelen binnen een financieel conglomeraat (bijvoorbeeld de broker en de bewaarders functie) en verantwoording (stembeleid, beloningsstructuur, uitbesteding). Voorts worden in de wet- en regelgeving (Btb en NRgb) expliciet een aantal onderwerpen genoemd waarop intern toezicht dient plaats te vinden: • Tegengaan van belangenverstrengeling (artikel 3 NRgb): Vaststellen van beleid, procedures en maatregelen met betrekking tot de wijze waarop de (schijn van) verstrengeling wordt tegengaan van ondermeer privé-belangen van bestuurders, van personeelsleden en van ingehuurde derden met de belangen van de beleggingsinstelling of met die van de deelnemers in de instelling, alsmede met de verstrengeling van belangen van de beheerder, de beleggingsinstelling en de bewaarder onderling. • Deelnemersacceptatie en –bewaking (artikel 4 NRgb): Voor zover de beleggingsinstelling deelnemers accepteert moet beleid / procedures / maatregelen worden vastgesteld voor acceptatie van deelnemers in beleggingsinstellingen, waarbij het onderscheid in risico’s, die betrekking hebben op de identiteit, aard en achtergrond van de deelnemer en op de risico’s die afgenomen producten met zich brengen in kaart worden gebracht. Er worden objectieve, kenbare criteria ten aanzien van de risicoclassificaties gehanteerd. • Behandeling van incidenten (artikel 5 NRgb): Opstellen van beleid, procedures en maatregelen met betrekking tot de behandeling van incidenten die een ernstig gevaar vormen voor een integere bedrijfs voering. Procedures dienen bij te dragen aan integriteitsbewuste bedrijfcultuur. • De omgang met personeelsleden in integriteitsgevoelige functies (artikel 6 NRgb): Belangrijk element in het beleid omtrent personeelsleden in integriteitsgevoelige functies is het hanteren van objectieve en kenbare criteria om een functie te kwalificeren als een functie die een wezenlijk risico bevat voor de inte gere bedrijfsvoering.
22
Publicatie van DUFAS en Ernst & Young
4.5
Basisdocumentatie voor de compliance functie
Hoewel het compliance charter of statuut een belangrijke richting geeft aan de uit te voeren werkzaamheden, is een vastlegging in een compliance controle plan waarin meer gedetailleerd bovenstaande werkzaamheden worden beschreven noodzakelijk. Bij voorkeur dient een expliciete compliance risicoanalyse als basis van een compliance controle plan te worden opgesteld. Een compliance controle plan dient jaarlijks te worden geëvalueerd en aangepast rekening houdend met rapportages van de interne en externe accountant alsmede de toezichthouder, de uitkomsten van het bijdragemodel, eventuele opmerkingen van de directie van de beleggingsinstelling en de eigen waarneming van de compliance officer. Indien de overwegingen van deze herziening schriftelijk worden vastgelegd kan dat worden beschouwd als een herziene compliance risicoanalyse. Samengevat betekent dit dat er voor een beheerder van beleggingsinstellingen de volgende basisdocumentatie aanwezig moet zijn waarvan de compliance officer eigenaar is: • Compliance charter of statuut – minimaal eenmaal per twee jaar te evalueren; • Compliance risicoanalyse – jaarlijks te evalueren. Eventueel kan de risicoanalyse gecombineerd worden met het jaarlijks te evalueren compliance controle plan; • Compliance control plan of manual – jaarlijks te evalueren; • Gedragscode waaronder de Regeling privé-beleggingstransacties – minimaal eenmaal per twee jaar te evalueren.
Publicatie van DUFAS en Ernst & Young
23
5
De AO/IC verklaring
5.1
Beoordelen van bestaan en werking van de AO/IC
Artikel 47 lid 1k van het Btb vereist dat het volgende moet worden opgenomen in de toelichting op de jaarrekening: “Een verklaring van de beheerder dat hij voor de beleggingsinstelling beschikt over een beschrijving van de administratieve organisatie en systeem van interne controle als bedoeld in artikel 8 die voldoet aan de eisen van de wet en dit besluit en dat de administratieve organisatie en het systeem van interne controle effectief en overeenkomstig de beschrijving functioneren.” Op basis van dit artikel dient de beheerder een verklaring te geven over zowel opzet als de effectieve werking van de AO/IC. Met het vastleggen van de wijze waarop de wettelijk vereiste procedures in de organisatie zijn ingevoerd in een handboek AO/IC is de opzet van de AO/IC bewerkstelligd. De werking van de AO/IC wordt vastgesteld op basis van het testen dat de controles over een periode gefunctioneerd hebben. Hierbij is ook van belang dat door de uitvoering van de procedures de wettelijk voorgeschreven vereisten gerealiseerd worden. Dit laatste is te beschouwen als de effectiviteit. Om aan te kunnen tonen dat de organisatie functioneert conform het handboek AO/IC kan een aantal methoden gevolgd worden: 1. self-assessment. Collega’s stellen van elkaar vast of ze conform het handboek AO/IC opereren. Op basis van een door collega’s opgesteld en uitgevoerd testplan kan zo de werking vastgesteld worden; 2. interne audit. Een onafhankelijke afdeling binnen de beheerder kan de werking van de AO/IC vaststellen; 3. externe audit. Een externe partij wordt ingehuurd om de werking van de AO/IC vast te stellen. De methode, omvang en diepgang van de testwerkzaamheden dienen per beheersingsmaatregel vastgesteld te worden. Om aan te kunnen tonen dat een organisatie conform het handboek AO/IC opereert is het noodzakelijk een audit trail te bewaren van de uitgevoerde maatregelen. Dit betekent dat de vereisten systematisch in kaart worden gebracht alsmede de wijze waarop deze in de opzet van de AO/IC zijn gedekt en de uitgevoerde testen en de resultaten daarvan. 5.2
De rol van de externe accountant bij de AO/IC
Het derde lid van artikel 37 Btb bepaalt conform de aanbevelingen van de Commissie Modernisering Beleggingsinstellingen dat de externe accountant in de management letter in ieder geval verklaart of, en zo ja in hoeverre, hij bij zijn werkzaamheden de AO/IC heeft betrokken en wat zijn belangrijkste bevindingen zijn. De accountant zal zich in het kader van de jaarrekening controle niet automatisch op alle onderdelen van de AO/IC richten. De AO/IC-verklaring van de beheerder dient echter wel alle wettelijk vereiste onderdelen te omvatten. Er kan daarom niet gesteld worden dat een goedkeurende accountantsverklaring bij de jaarrekening voldoende is om de AO/IC-verklaring af te geven.
24
Publicatie van DUFAS en Ernst & Young
5.3
De AO/IC verklaring in het verslag van directie/beheerder
De beheerder kan, na de bevredigende evaluatie van de in paragraaf 5.1 beschreven vaststelling, bijvoorbeeld de volgende tekst opnemen: “De beheerder beschikt over een beschrijving van de administratieve organisatie en het systeem van interne controle als bedoeld in artikel 8 van het Besluit toezicht beleggingsinstellingen welke voldoen aan de eisen van de Wet toezicht beleggingsinstellingen en het Besluit toezicht beleggingsinstellingen. De beheerder heeft gedurende het verslagjaar 200x vastgesteld dat de administratieve organisatie en het systeem van interne controle effectief en overeenkomstig de beschrijving hebben gefunctioneerd.� In het Btb wordt gesteld dat deze verklaring in de toelichting op de jaarrekening moet worden opgenomen. Gezien de aard van deze mededeling past de AO/IC-verklaring het beste in het verslag van de beheerder cq. het directieverslag zoals deze wordt opgenomen in het jaarverslag van de betreffende beleggingsinstelling. Opname in de jaarrekening zou namelijk betekenen dat deze verklaring inhoudelijk door de accountant gecontroleerd dient te worden, aangezien de jaarrekening het controle-object van de accountant is. Dit lijkt niet in lijn met de door de wetgever aan de accountant toebedachte rol, waarbij de accountant in de management letter aangeeft of, en zo ja in hoeverre, hij de AO/IC heeft betrokken in zijn controle (Btb artikel 37 lid 3a). Naar verwachting zal binnenkort de wetgeving worden aangepast en zal opname van de AO/ICverklaring in het verslag van de beheerder cq. het directieverslag toereikend zijn. Indien de AO/IC-verklaring is opgenomen in het verslag van de beheerder of het directieverslag dient de accountant kennis te nemen van deze informatie. De accountant zal in dat geval zijn bestaande kennis van de organisatie gebruiken bij het beoordelen van de AO/IC-verklaring. Indien de accountant constateert dat de AO/IC-verklaring een materieel onjuiste voorstelling van zaken lijkt te bevatten dient hij dit met de directie te bespreken.
Publicatie van DUFAS en Ernst & Young
25
Bijlagen I
Voorbeeld inhoudsopgave handboek AO
1
Inleiding
1.1 1.2
2 2.1 2.2 2.3 2.4 2.5 2.6 2.7
3 3.1 3.2
26
Doel Handboek AO/IC In deze paragraaf worden het wettelijk kader gedefinieerd en de doelstellingen van het handboek geformuleerd. Beheer en onderhoud In deze paragraaf staat beschreven hoe het beheer en onderhoud van het handboek is georganiseerd (o.a. een schematische weergave van de bevoegdheden en verantwoordelijkheden, procedures voor periodieke evaluatie van de AO/IC, voorstellen tot wijzigingen van de AO/IC en de wijze waarop wijzigingen worden verwerkt). Algemene opzet organisatie Inleiding Beschrijven specifieke wet- en regelgeving met betrekking tot de AO/IC. Organisatiestructuur Organigram opnemen, waaruit duidelijk blijkt welke taken door de instelling zelf worden uitgevoerd en welke taken zijn uitbesteed aan derde partijen. Taken en bevoegdheden Korte beschrijving per functie van de in het organigram genoemde functies. Bedrijfsprocessen Korte beschrijving opnemen van de belangrijkste bedrijfsprocessen. Automatisering Belangrijkste aspecten van automatisering beschrijven, waaronder: hardware/software, documentatie, toegangsbeveiliging, back-up procedures, systeem recovery, etc. Uitbesteding Overzicht bestaande uitbestedingsovereenkomsten met de belangrijkste voorwaarden, te ontvangen rapportages en maatregelen rond toezicht op de uitbestede activiteiten. Management informatie Overzicht opnemen van alle relevante interne en externe rapportages, onderverdeeld naar frequentie van rapportage (rapportagematrix). Beschrijvingen bedrijfsprocessen Beleggingsbeleid Beschrijven van totstandkoming beleggingsbeleid en risicoprofielen en voorwaarden per beleggingsinstelling. Orderbehandeling effecten Beschrijven van gehele proces van ordergeneratie, uitvoering order, afwerking order tot aan matching en settlement van de orders, toetsing aan beleggingsbeleid en bewaking en bijstelling risico’s in het beleggingsproces.
Publicatie van DUFAS en Ernst & Young
3.3
3.4
3.5
3.6 3.7
4 4.1
4.2 4.3 4.4 4.5
Cliënten / Toe- en uittreding/Distributie Beschrijven van gehele proces t.a.v. marketing en sales activiteiten, plegen van acquisitie, cliëntidentificatie – en acceptatie, Know Your Customer bepalingen, transactiepatronen en zorgplicht, deelnemersadministratie (effectengiro indien van toepassing), risicoclassificatie deelnemers, etc. Grootboek administratie Beschrijven van omgang met fondsgegevens in systemen, portefeuillemutaties, geldmutaties (valutatransacties, deposito’s, periodieke renteverrekening, bewaarloon, beheerloon etc), bewaking juiste en volledige registratie inkomsten uit beleggingen, juiste en volledige registratie kosten conform prospectus Intrinsiekewaardeberekening Opzet afgescheiden IW-berekening per beleggingsinstelling, waardering van de portefeuilles (o.a. invoer effectenkoersen), waardering overige activa en passiva, bewaking betrouwbare, juiste en consistente IW-berekening, aansluiting met grootboekadministratie. Klachtenprocedure en compensatie regeling Registratie en afwikkeling van klachten, bepalingen rond compensatie bij onjuistheden in de intrinsiekewaardeberekening. Overige administratieve handelingen In deze paragraaf dient beschreven te worden hoe wordt omgegaan met de financiële administratie van de beheerder, vastlegging van rechten en verplichtingen, solvabiliteitstoetsing Beschrijvingen Procedures Bestuur en toezicht Beleidsvoering, vastlegging besluitvorming, informatieverstrekking aan bestuurders, toezicht op naleving van bepalingen rond belangenverstrengeling, integriteit, incidentenbehandeling, deelnemersacceptatie en – bewaking, uitbesteding etc. Gedragscode Beschrijven hoe gedragscode wordt bijgehouden, op welke wijze code wordt overhandigd aan personeel en de controle op naleving van de gedragscode is ingericht (o.a. rol compliance officer). Belangenverstrengeling Procedure opstellen rond het tegengaan van (de schijn van) belangenverstrengeling Registratie van geconstateerde overtredingen Beleid rond voorkomen strafbare feiten, beschrijven van procedure voor het registreren, vastleggen van en het rapporteren over geconstateerde overtredingen. Aanname van personeel Beschrijven van de te volgen procedure bij het aannemen van medewerkers, incl. invullen van intake formulier en het afnemen van een integriteitstoets.
Publicatie van DUFAS en Ernst & Young
27
II
Vergelijking Wte / Wtb
Onderwerp
Vereisten Wte en gerelateerde regelgeving
Vereisten Wtb en gerelateerde regelgeving
Korte omschrijving
1 Primaire processen 1.1 Cliënten
NRge 2002 Bijlage 7 NRge 2002 art 25 NRge 2002 art 26 en 26a, Nrge 2002 bijlage 4 art 4.11 NRge 2002 art 27 NRge 2002 art 28, NRge 2002 bijlage 4 art 4.12 NRge 2002 art 29, 30 en 32
NRge 2002 art 31, NRge 2002 bijlage 4 art 4.14 NRge 2002 art 33 t/m 38, NRge 2002 bijlage 4 Art 4.13 NRge 2002 bijlage 4 art 4.12
1.2 Beleggingsbeleid
NRge 2002 bijlage 4 art 4.22
1.3 Orderbehandeling effecten
NRge 2002 bijlage 4 art 4.7 NRge 2002 bijlage 4 art 4.15 NRge 2002 bijlage 4 art 4.10 NRge 2002 art 44, NRge 2002 bijlage 4 art 4.21
Voorschriften voor informatie van effecteninstellingen Behandeling van cliënten NRgb 2005 art 5 lid 4 NRgb 2002 art 5 lid 3 NRgb 2002 art 5 lid 2 en Lid 6 NRgb 2002 art 5 lid 5
NRge 2002 bijlage 4 art 4.16 NRge 2002 bijage 4 art 4.17 NRge 2002 bijage 4 art 4.18 NRge 2002 bijage 4 art 4.26
Know Your Customer bepalingen Zorgplicht, misleidende en onvoordelige handelingen Risicoclassificatie deelnemers en producten Analyse transacties deelnemers
Btb art 8 lid 3.h NRgb 2005 art 3.c
Klachtenafhandeling Compensatie onjuiste intrinsieke waarde
Btb art 8 lid 3.1
Cliëntrapportages en informatieverstrekking Adequate cliënten- cq. deelnemersadministratie
Btb art 8 lid 3.b
Beleggingsbeleid inzake beheer voor derden Beheer conform beleggingsbeleid Positie- en limietbewaking voor aangaan transacties Orderafhandeling en orderadministratie Administratie van interne en externe bescheiden
Btb art 8 lid 3.i
1.4 Vermogensbeheer administratie
Plegen van acquisitie en cliëntidentificatie en Acceptatie Cliëntovereenkomst
Btb art 8 lid 3.d
Melding van effectentransacties Risico’s samenhangend met het beleggingsproces worden beheerst en geanalyseerd Effecten(transactie)administratie Effecten(afwikkeling)administratie Positieadministratie Effectenbewaaradministratie Functiescheiding tussen beschikken over vermogen, Administreren en controleren
1.5 Bewaring
Btb art 7
Activa van eenbeleggingsfonds worden bewaard door een bewaarder
1.6 Intrinsieke waarde berekening
Btb art 8 lid 3.e Btb art 8 lid 3.f Btb art 8 lid 3.g, NRgb 2005 art 3b
Betrouwbare, juiste en consistente IW berekening gescheiden van andere activiteitenbeheerder
1.7 Inschrijving op emissies
28
NRge 2002 bijage 4 art 4.19
Publicatie van DUFAS en Ernst & Young
Aansluitend bij de fin. Administratie Methodes inschrijving en bewaking eerlijke toewijzing cliënten
Onderwerp
Vereisten Wte en gerelateerde regelgeving
Vereisten Wtb en gerelateerde regelgeving
Korte omschrijving
NRge 2002 bijlage 4 art 4.4
Btb art 8 lid 3.a, Rptb, art 8
NRge 2002 bijlage 4 art 4.5
Btb art 8 lid 3.j, Rptb, art 9
NRge 2002 bijlage 4 art 4.8, 4.9 en 4.12
Btb art 8 lid 3.m, NRgb, 2005 art 3a
Financiële administratie, vastlegging rechten en verplichtingen / volledige registratie transacties Financiële administratie, vastlegging financiële positie en solvabiliteitsvereisten
2 Ondersteunende processen 2.1 Financiële Administratie
2.2 Geautomatiseerde Gegevens verwerking
NRge 2002 bijlage 4 art 4.27
Tussenrekeningen, fondsen en cliëntenadministratie Vereisten rond de geautomatiseerde gegevensverwerking
3 Bestuur en Toezicht 3.1 Bestuur en toezicht
3.2 Algemene vereisten AO/IC
NRge art 24
3.3 Personeel en gedragscode
NRge art 22 en 40 NRge art 22, 23 en 40, NRge bijlage 3 NRge 2002 bijlage 4 art 4.24
3.4 Behandeling van incidenten
NRge art 39
3.5 Melding ongebruikelijke transacties
NRge 2002 bijlage 4 art 4.25
Btb art 5 Btb art 6 Btb art 8 lid 3.c, Btb art 8 lid 3.k NRgb 2005 art 8
Dagelijks beleid gevoerd door minimaal twee personen Beleid gevoerd vanuit Nederland Inzichtelijkhed besluitvorming en gemaakte afspraken Informatieverstrekking aan bestuurders Toezicht op naleving van bepalingen rond belangenverstrengeling, deelnemersacceptatie en – bewaking, incidentenbehandeling en integriteitgevoelige functies
Btb art 8 lid 1 en art 8 Lid 3.n en art 29 Btb art 8 lid 2
Aanwezigheid adequate AO/IC, systematisch beschreven en regelmatig geëvalueerd Afzonderlijke AO/IC voor elke beheerder beleggingsinstelling Gedragscode koersgevoelige informatie
NRgb 2005 art 7 Btb art 31 lid 1 Btb art 31 lid 2 NRgb 2005 art 4 lid 2
Gedragscode prive beleggingstransacties (Aanname van) personeel in integriteitgevoelige functies Voorkomen strafbare feiten Vastlegging incidenten rond integere bedrijfsvoering Beleid tegengaan verstrengeling privé-belangen
Btb art 31 lid 3, NRgb 2005 art 6
Behandeling van incidenten
3.6 Wijziging van voorwaarden
NRgb 2005 art 8 lid 3.d
Systematische vastlegging en archivering van wijziging van de voorwaarden
3.7 Belangen verstrengeling
Art 30 lid 1
Beleid t.a.v. tegengaan belangenverstrengeling
Publicatie van DUFAS en Ernst & Young
29
III
Checklist wettelijke vereisten
(gebaseerd op het aanvraagformulier voor een Wtb vergunning) Artikel 8, lid 3, sub a, Btb 2005: De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat elke transactie waarbij de beleggingsinstelling is betrokken, kan worden gereconstrueerd. Pagina: Artikel 8, lid 3, sub b, Btb 2005: De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat het beheerde vermogen van de beleggingsinstelling overeenkomstig het beleggingsbeleid en de bij of krachtens de wet gestelde regels wordt belegd. Pagina: Artikel 8, lid 3, sub c, Btb 2005: De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat het besluitvormingsproces en de gemaakte afspraken binnen de beheerder, beleggingsinstelling en bewaarders inzichtelijk zijn. Pagina: Artikel 8, lid 3, sub d, Btb 2005: De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat een functiescheiding bestaat tussen het verrichten van rechtshandelingen met betrekking tot het vermogen van de beleggingsinstelling en het controleren en administreren van deze handelingen. Pagina: Artikel 8, lid 3, sub e, Btb 2005: De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat een betrouwbare, juiste en consistente intrinsieke waarde van de belegginginstelling wordt bepaald. Pagina: Artikel 8, lid 3, sub f, Btb 2005: De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat elke transactie het proces van intrinsieke waardebepaling binnen de beheerder en de beleggingsmaatschappij wordt gescheiden van de overige activiteiten van de beheerder en de beleggingsmaatschappij. Pagina: Artikel 8, lid 3, sub g, Btb 2005: De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat de berekening van de intrinsieke waarde van de beleggingsinstelling aansluit bij de financiĂŤle administratie. Pagina: Artikel 8, lid 3, sub h, Btb 2005: De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat klachten zorgvuldig, verifieerbaar, consistent en binnen een redelijke termijn worden afgehandeld. Pagina:
30
Publicatie van DUFAS en Ernst & Young
Artikel 8, lid 3, sub i, Btb 2005: De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat de risico’s die samenhangen met het beleggingsproces op een systematische wijze worden beheerst en geanalyseerd. Pagina: Artikel 8, lid 3, sub j, Btb 2005: De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat de grootte en samenstelling van en mutaties in de aan te houden financiële waarborgen getrouw en volledig kunnen worden vastgesteld. Pagina: Artikel 8, lid 3, sub k, Btb 2005: De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat de bestuurders regelmatig, alsmede tussentijds in het geval zich bijzondere omstandigheden voordoen, worden geïnformeerd over de bedrijfsvoering. Pagina: Artikel 8, lid 3, sub l, Btb 2005: De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat er, voor zover mogelijk, een systematische, toegankelijke en actuele administratie van deelnemers in de beleggingsinstelling is waarin, voor zover van toepassing, de met de deelnemers gemaakte afspraken inzichtelijk worden gemaakt. Pagina: Artikel 8, lid 3, sub m, Btb 2005: De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat de integriteit, voortdurende beschikbaarheid en beveiliging van de geautomatiseerde gegevens zijn gegarandeerd. Pagina: Artikel 8, lid 3, sub n, Btb 2005: De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet ten minste in procedures en maatregelen die waarborgen dat nagegaan wordt in hoeverre overeenkomstig de beschreven procedures voor administratieve organisatie wordt gehandeld, gesignaleerd wordt wanneer en in hoeverre daarvan wordt afgeweken en aanpassing van het feitelijk handelen mogelijk is. Pagina: Artikel 30, lid 1, Btb 2005: Een beheerder, beleggingsinstelling of bewaarder voert een beleid ter zake van het tegengaan van verstrengeling van tegenstrijdige belangen. Dit beleid vindt zijn neerslag in organisatorische en administratieve procedures en maatregelen. Pagina: Artikel 31, lid 1, Btb 2005: Een beheerder, beleggingsinstelling of bewaarder voert een beleid dat ertoe strekt dat: de betrokkenheid van de beheerder, de beleggingsinstelling of de bewaarder en hun werknemers bij strafbare feiten die het vertrouwen in de beheerder, de beleggingsinstelling, de bewaarder of in de financiële markten schaden, wordt voorkomen;
Publicatie van DUFAS en Ernst & Young
31
a b b Pagina:
de betrokkenheid van de beheerder, de beleggingsinstelling of de bewaarder en hun werknemers bij handelingen die anderszins in het maatschappelijk verkeer zodanig onaanvaardbaar zijn dat a deze het vertrouwen in de beheerder, de beleggingsinstelling, de bewaarder of in de financiële markten schaden, wordt voorkomen; niet wegens de deelnemers in de beleggingsinstelling het vertrouwen in de beheerder, de beleggingsinstelling, de bewaarder of de financiële markten wordt geschaad.
Artikel 31, lid 2, Btb 2005: Het in het eerste lid bedoelde beleid vindt zijn neerslag in organisatorische en administratieve procedures en maatregelen. Deze procedures en maatregelen omvatten in ieder geval: b de behandeling en administratieve vastlegging van incidenten die een ernstig gevaar vormen voor een integere bedrijfsvoering van de beheerder, de beleggingsinstelling of van de bewaarder voor zover het betreft een gedraging van een personeelslid of van een persoon die het dagelijks beleid bepaalt dan wel mede bepaalt, de houder van een gekwalificeerde deelneming of van een natuurlijk persoon of rechtspersoon die werkzaamheden verricht ten behoeve van de beheerder, de beleggingsinstelling of de bewaarder; b de beoordeling, met het oog op de belangen van deelnemers of potentiële deelnemers in de beleggingsinstelling, of de betrouwbaarheid van een personeelslid dat de beheerder, de beleggingsmaatschappij of de bewaarder voornemens is te benoemen in een integriteitsgevoelige functie, buiten twijfel staat. Onder integriteitsgevoelige functie wordt in dit verband verstaan: 1 een leidinggevende functie onder directe verantwoordelijkheid van de bepalers of medebepalers van het dagelijks beleid van de beheerder, de beleggingsmaatschappij of de bewaarder; 2 een functie waaraan overigens een bevoegdheid is verbonden die een wezenlijk risico bevat voor de integere bedrijfsvoering van de beheerder, de beleggingsmaatschappij of van de bewaarder. Pagina: Artikel 32, lid 1, Btb 2005: Een beheerder of bewaarder onderzoekt, op verzoek van de toezichthouder, of in de administratie van de door hem beheerde beleggingsinstellingen onderscheidenlijk de beleggingsinstellingen waarvan hij de activa beheert bepaalde personen of instellingen voorkomen die naar het oordeel van Onze Minister, in verband met vermoede terroristische activiteiten of daarmee verband houdende activiteiten, de integriteit van de financiële sector kunnen schaden. Pagina: Artikel 32, lid 2, Btb 2005: De beheerder, de beleggingsmaatschappij of de bewaarder verstrekt de uitkomst van het in het eerste en tweede lid bedoelde onderzoek, binnen een door de toezichthouder vast te stellen termijn, aan de toezichthouder. Pagina: Artikel 2 Nadere Regeling gedragstoezicht beleggingsinstellingen 2005 (NRgb 2005): De beschrijving van de administratieve organisatie en het systeem van interne controle voorziet in: b algemene beheersmaatregelen in de geautomatiseerde omgeving, de daarbij behorende beheerprocessen en de geprogrammeerde controles die zich richten op de betrouwbare werking van de gebruikte applicaties; b een procedure die waarborgt dat de voor de intrinsieke waardebepaling gebruikte subadministraties ten minste één keer per maand worden aangesloten met de saldibalans en de daaruit voortvloeiende
32
Publicatie van DUFAS en Ernst & Young
c d Pagina:
verschillen worden geanalyseerd en gecorrigeerd; procedures onder welke omstandigheden en op welke wijze een onjuist berekende intrinsieke waarde aan beleggers wordt gecompenseerd; een procedure die waarborgt dat een systematische vastlegging en archivering van wijzigingen van de voorwaarden plaatsvindt
Artikel 3, lid 1, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder stelt beleid vast met betrekking tot de wijze waarop hij onderscheidenlijk zij de (schijn van) verstrengeling tegengaat van privé-belangen van bestuurders, van de personen die het beleid van de beheerder, beleggingsmaatschappij of de bewaarder mede bepalen, van zijn onderscheidenlijk haar personeelsleden of van andere personen die in opdracht van de beheerder, beleggingsmaatschappij of de bewaarder op structurele basis werkzaamheden voor hem onderscheidenlijk haar verrichten, met de belangen van de beheerder, beleggingsinstelling of de bewaarder, met die van de deelnemers in de beleggingsinstelling, van belangen van de deelnemers onderling of met de verstrengeling van belangen van de beheerder, beleggingsinstelling en de bewaarder onderling. Pagina: Artikel 3, lid 2, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder draagt zorg voor de uitwerking en implementatie van het beleid, bedoeld in het eerste lid, in organisatorische en administratieve procedures en maatregelen. Deze procedures en maatregelen zijn geïntegreerd in de bedrijfsprocessen en dragen bij aan een integriteitsbewuste cultuur. Pagina: Artikel 4, lid 1, NRgb 2005: Voor zover een beheerder of beleggingsmaatschappij deelnemers accepteert, stelt de beheerder of beleggingsmaatschappij beleid vast ter zake van de acceptatie van deelnemers dat ten minste voldoet aan de in dit artikel bedoelde normen, waaronder het maken van onderscheid in risico’s die betrekking hebben op de identiteit, aard en achtergrond van de deelnemer en de afgenomen rechten van deelneming in beleggingsinstellingen. De beheerder of beleggingsmaatschappij hanteert objectieve, kenbare criteria ten aanzien van de risicoclassificaties. Pagina: Artikel 4, lid 2, NRgb 2005: Een beheerder of beleggingsmaatschappij draagt zorg voor de uitwerking en implementatie van het beleid, bedoeld in het eerste lid, in organisatorische en administratieve procedures en maatregelen die betrekking hebben op de risicoclassificaties ten aanzien van de deelnemers en de rechten van deelneming in beleggingsinstellingen. Deze procedures en maatregelen zijn geïntegreerd in de bedrijfsprocessen en dragen bij aan een integriteitsbewuste cultuur. Pagina: Artikel 4, lid 3, NRgb 2005: Een beheerder of beleggingsmaatschappij accepteert geen deelnemer indien hij onderscheidenlijk zij de identiteit, aard en achtergrond van de deelnemer niet afdoende heeft vastgesteld conform de organisatorische en administratieve procedures en maatregelen als bedoeld in het tweede lid. Pagina: Artikel 4, lid 4, NRgb 2005: Onverminderd het bepaalde bij en krachtens de Wet identificatie bij dienstverlening beschikt een beheerder of beleggingsmaatschappij over organisatorische en administratieve
Publicatie van DUFAS en Ernst & Young
33
procedures en maatregelen ter zake van de identificatie van deelnemers en van de verificatie daarvan. Pagina: Artikel 4, lid 5, NRgb 2005: Een beheerder of beleggingsmaatschappij beschikt over organisatorische en administratieve procedures en maatregelen ter zake van de analyse van gegevens van deelnemers, mede in relatie tot de door de deelnemer afgenomen rechten van deelneming in beleggingsinstellingen, en ter zake van de detectie van afwijkende transactiepatronen. Pagina: Artikel 4, lid 6, NRgb 2005: De organisatorische en administratieve procedures en maatregelen zijn toegesneden op de onderscheiden risico’s waarbij geldt dat bij een groep met een hoger risico strengere procedures en maatregelen van kracht zijn. Pagina: Artikel 4, lid 7, NRgb 2005: Een beheerder of beleggingsmaatschappij draagt zorg voor de uitvoering en periodieke toetsing van het beleid, de organisatorische en administratieve procedures en maatregelen alsmede de interne voorschriften, bedoeld in het eerste tot en met het zesde lid. Dit omvat mede de documentatie ter zake van de acceptatie, indeling en bewaking van deelnemers in beleggingsinstellingen. Pagina: Artikel 5, lid 1, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder stelt beleid vast ter zake van de omgang met incidenten als bedoeld in artikel 31, tweede lid, onderdeel a, van het besluit. Pagina: Artikel 5, lid 2, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder draagt zorg voor de uitwerking en implementatie van het beleid, bedoeld in het eerste lid, in organisatorische en administratieve procedures en maatregelen. Deze procedures en maatregelen zijn geïntegreerd in de bedrijfsprocessen en dragen bij aan een integriteitsbewuste cultuur. Pagina: Artikel 5, lid 3, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder draagt zorg voor de administratieve vastlegging van incidenten. Pagina: Artikel 5, lid 4, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder neemt naar aanleiding van een incident passende maatregelen. Pagina: Artikel 5, lid 5, NR gb 2005: Een beheerder, beleggingsmaatschappij of bewaarder informeert de Autoriteit Financiële Markten onverwijld omtrent incidenten indien: a aangifte van een incident bij justitiële autoriteiten zal plaatsvinden of is gedaan; b het voortbestaan van de beheerder, de beleggingsmaatschappij of de bewaarder wordt bedreigd of zou kunnen worden bedreigd; c sprake is van een ernstige tekortkoming in de opzet en werking van de maatregelen ter bevordering of handhaving van een integere bedrijfsvoering door de beheerder, de beleggings
34
Publicatie van DUFAS en Ernst & Young
d e Pagina:
maatschappij of de bewaarder; mede gelet op verwachte publiciteit rekening behoort te worden gehouden met een ernstige mate van reputatieschade aan de beheerder, beleggingsinstelling of de bewaarder; of de ernst, de omvang of de overige omstandigheden van het incident in aanmerking genomen, de Autoriteit FinanciĂŤle Markten in verband met haar toezichtstaak redelijkerwijs behoort te worden geĂŻnformeerd.
Artikel 6, lid 1, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder stelt beleid vast ter zake van integriteitsgevoelige functies als bedoeld in artikel 31, tweede lid, onderdeel b, van het besluit. Pagina: Artikel 6, lid 2, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder stelt beleid vast ter zake van beoordeling van de betrouwbaarheid van een personeelslid in een integriteitsgevoelige functie. Pagina: Artikel 6, lid 3, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder draagt zorg voor de uitwerking en implementatie van het beleid, bedoeld in het eerste en tweede lid, in organisatorische en administratieve procedures en maatregelen. Deze procedures en maatregelen zijn geĂŻntegreerd in de bedrijfsprocessen en dragen bij aan een integriteitsbewuste cultuur. Pagina: Artikel 6, lid 4, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder hanteert organisatorische en administratieve procedures en maatregelen, met gebruikmaking van objectieve en kenbare criteria, om een functie te kwalificeren als een functie die een wezenlijk risico bevat voor de integere bedrijfsvoering van de beheerder, de beleggingsinstelling of de bewaarder. Pagina: Artikel 6, lid 5, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder beschikt over organisatorische en administratieve procedures en maatregelen om de betrouwbaarheid te beoordelen van een personeelslid dat de beheerder, de beleggingsmaatschappij of de bewaarder voornemens is te benoemen in een integriteitsgevoelige functie. Pagina: Artikel 6, lid 6, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder voert een zodanige administratie dat uit het dossier van een personeelslid dat is benoemd in een integriteitsgevoelige functie blijkt dat is voldaan aan het bepaalde in het vijfde lid. Pagina: Artikel 6, lid 7, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder is verantwoordelijk voor de beoordeling van de betrouwbaarheid van degene die zich anders dan op grond van een arbeidsovereenkomst jegens de beheerder, de beleggingsinstelling of de bewaarder verbindt werkzaamheden in een integriteitsgevoelige functie te verrichten. Pagina:
Publicatie van DUFAS en Ernst & Young
35
Artikel 6, lid 8, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder kan de beoordeling van de betrouwbaarheid overlaten aan de werkgever van de persoon, bedoeld in het zevende lid, onder de voorwaarde dat: de beheerder, de beleggingsmaatschappij of de bewaarder de administratieve en organisatorische a procedures en maatregelen van de betrokken werkgever kent en heeft vastgesteld dat deze voldoen aan de eigen administratieve en organisatorische procedures en maatregelen; b de beheerder, de beleggingsmaatschappij of de bewaarder zich door middel van contractuele voorwaarden het recht voorbehoudt dat door of namens de beheerder, de beleggingsinstelling of de bewaarder een onderzoek wordt ingesteld naar de mate van naleving van de gedelegeerde werkzaamheden. Pagina: Artikel 6, lid 9, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder controleren onder alle omstandigheden zelf de identiteit van een persoon als bedoeld in het zevende lid. Pagina: Artikel 6, lid 10, NRgb 2005: Een beheerder, beleggingsmaatschappij of bewaarder waaraan over een (voormalig) personeelslid inlichtingen worden gevraagd ten behoeve van een andere financiële instelling, dient: a schriftelijk te verklaren dat hij onderscheidenlijk zij geen aanleiding heeft om aan de betrouwbaarheid van het (voormalig) personeelslid te twijfelen; of b indien daartoe aanleiding bestaat: schriftelijk inlichtingen te verstrekken en wel zodanig dat de verzoekende financiële instelling zich voor de beoordeling van de betrouwbaarheid van de sollicitant een juist en zo volledig mogelijk beeld kan vormen omtrent het (voormalig) personeelslid. Pagina: Artikel 6, lid 11, NRgb 2005: Onverminderd het bepaalde in het tiende lid onthoudt een beheerder, beleggingsmaatschappij of bewaarder zich van het doen van uitspraken of het afgeven van verklaringen aangaande de betrouwbaarheid van een (voormalig) personeelslid indien hij onderscheidenlijk zij weet of redelijkerwijs kan vermoeden dat daarmee een onjuist beeld van de persoon wordt gegeven. Pagina: Artikel 7 NRgb 2005: Een beheerder, een beleggingsmaatschappij en een bewaarder dragen zorg voor het toezicht op de naleving van de artikelen 3 tot en met 6. Pagina: Artikel 8 Regeling prudentieel toezicht beleggingsinstellingen (Rptb 2005): Met het oog op de bewaking en beheersing van de solvabiliteitsrisico’s voorzien de beschrijving van de administratieve organisatie en het systeem van interne controle van de instelling tenminste in de bewaking en beheersing van a de aard en omvang van activa en passiva b de niet uit de balans blijkende verplichtingen c de resultaatontwikkeling, uitgesplitst naar de onderscheiden bedrijfsactiviteiten; en d de resultaatontwikkeling, uitgesplitst naar de onderscheiden bedrijfsonderdelen. Pagina: Artikel 9 Rptb: Met het oog op de bewaking en beheersing van de liquiditeitsrisico’s van de beleggingsinstellingen als genoemd in artikel 22, eerste lid, Btb 2005 voorzien de beschrijving van de administratieve
36
Publicatie van DUFAS en Ernst & Young
organisatie en het systeem van interne controle van de beheerder van deze beleggingsinstellingen in autorisatieprocedures, limietstellingen, limietbewaking en procedures en maatregelen voor noodsituaties met betrekking tot de liquiditeitspositie van de door haar beheerde beleggingsinstellingen. Pagina: IV
Methodologie voor de vastlegging van de AO
IV.1
Inleiding
In dit hoofdstuk wordt een beschrijving gegeven van de best practice van de methodologie van de vastlegging van de administratieve organisatie en interne controle (AO/IC). Deze methodologie bestaat uit vijf elementen waarvan de basisvastlegging het vertrekpunt is voor de verdere ontwikkeling. Afhankelijk van de situatie kan er voor worden gekozen om de focus te leggen op één of meerdere elementen. Uitgangspunt hierbij is altijd dat de verantwoordelijkheid en actualiteit van de AO/IC een verantwoordelijkheid is voor het lijnmanagement. Onderstaand worden de elementen van de methodologie weergegeven. De verschillende onderdelen van deze methodologie worden in de volgende paragrafen nader uiteengezet. IV.2
Basisvastlegging
Om tot een goede vastlegging van bedrijfsprocessen en informatieverzorgende processen te komen, is een aantal zogenaamde basisvastleggingen nodig. Van deze vastleggingen kan worden gesteld dat ze niet verbonden zijn met één specifieke doelstelling, maar eigenlijk alle doelstellingen ondersteunen. De (bestaande) basis vastlegging geeft inzicht in de huidige situatie en is het vertrekpunt voor de verdere analyse van de bedrijfsprocessen. Een volledige basisvastlegging omvat de volgende elementen: - Organisatiestructuur: door middel van de zogenaamde organisatie analyse (welke afdelingen bestaan in de organisatie en op welke wijze hangen deze hiërarchisch en functioneel samen) kan informatie worden verzameld, die kan worden samengevat in het organisatiestructuurschema of organigram; - Procesdecompositie: de procesdecompositie is een techniek aan de hand waarvan via een topdown methode de informatieverzorgende processen en bedrijfsprocessen uiteen worden gerafeld in logisch met elkaar samenhangende onderdelen; - Matrix afdelingen/processen: één afdeling kan zich bezig houden met één of meer processen van de procesdecompositie; één proces kan door één of meer afdelingen worden behandeld. Dit levert een ingewikkeld geheel van relaties tussen afdelingen en processen op. Deze kunnen op eenvoudige manier worden weergegeven in een matrix afdelingen/processen. Door deze matrix op te stellen wordt duidelijk welke afdeling betrokken is bij welk proces; - Matrix functies/procedures: op dezelfde wijze kunnen relaties worden gelegd tussen functies en procedures; - Globale processchema’s: een globaal processchema is bedoeld om de hoofdlijnen van het verloop van
Publicatie van DUFAS en Ernst & Young
37
een informatieverzorgend proces of bedrijfsproces weer te geven. Meer precies: een globaal processchema geeft aan in welke volgorde de procedures worden doorlopen. Onderstaand worden de elementen van de basisvastlegging weergegeven. Inzicht
Betrouwbare informatie
Management Control-Risico management
BASIC vastlegging
Lagere kosten
Instrumenten
Organisatie – analyse
Relatiematrix Afdeling/proces Functie/procedure
Bedrijf
Hoofdproces
Subafdeling
Hoofdprocedure
Afdeling
OrganisatieStructuur
Functie
Functie 1 Functie 2 Functie 3
Proces – analyse
Procedure
Procedure
x
x
Procedure x
x
Proces1
Globaal Processchema
IV.3
Proces decompositie
Proces
Procedure x
Instrument
Procedure1
Procedure2
Procedure3
Inzicht
Bij de hoofddoelstelling het verstrekken van inzicht, dienen de basisvastleggingen nader te worden gedetailleerd. Daarbij wordt gekozen voor een combinatie tussen schematische vastleggingen en tekst. Schematische vastleggingen resulteren vanwege een voorgeschreven lay-out, symboolgebruik, en tekenwijze in een consistente en logische beschrijving. De volgende elementen spelen hierbij een belangrijke rol: - Globaal-processchema: zoals eerder aangegeven zijn globale processchema’s bedoeld om de hoofdlijnen van de informatieverzorgende processen en bedrijfsprocessen te beschrijven; - Detail-processchema: een detail-processchema geeft een gedetailleerd inzicht in de volgorde van activiteiten en de stroom van documenten binnen een informatieverzorgend of bedrijfsproces. Per activiteit kan worden aangegeven welke documenten of bestanden een rol spelen. Per activiteit wordt aangegeven welke afdeling of functionaris de activiteit verricht. Het detail processchema is met name
38
Publicatie van DUFAS en Ernst & Young
geschikt voor het verkrijgen van inzicht in de processen, onder meer met betrekking tot het verloop van de activiteiten, de groepering van de activiteiten en daarbij gebruikte documenten, bestanden en geautomatiseerde systemen. Ook wordt een duidelijk beeld verkregen van de beslissingen die binnen de processen moeten worden genomen en wat daarvan de consequenties zijn. Op activiteitniveau wordt typisch het wat vastgelegd. Daarmee onderscheidt een activiteitbeschrijving zich van een werkinstructie waarin wordt beschreven hoe de activiteit uitgevoerd wordt. Deze laatste vormt geen onderdeel van de beschrijving; - Instructietekst: instructietekst wordt gebruikt indien nog meer details gewenst zijn. Niet alles kan met behulp van tekentechnieken worden vastgelegd. Soms wordt ervoor gekozen om nadere details in de vorm van tekst toe te lichten. Hieronder worden de elementen van het verkrijgen van meer inzicht weergegeven. Inzicht
Betrouwbare informatie BASIC vastlegging
Management Control-Risico management Lagere kosten
Instrumenten
Proces – analyse
Instrument
Procedure1
Globaal Processchema
Procedure2
Procedure3 Procedure3
Detailprocesschema
Handling 1 Handling 2,3 Handling 3
Instructietekst
Handling 4
Specifieke details
IV.4
D
D
C
C
Enz.
.....
Betrouwbare informatie
Betrouwbare informatie is de basis voor het nemen van verantwoorde beslissingen. Hierbij wordt een relatie gelegd met de reeds beschreven processen. Om betrouwbare informatie voort te brengen worden diverse maatregelen gedefinieerd die een mogelijk risico moeten afdekken. Om te waarborgen dat de informatie betrouwbaar blijft, worden controles uitgevoerd op dit voortbrengingsproces. Controle kan worden beschreven als het geheel van werkzaamheden dat erop gericht is een (relatief) hoge, maar niet absolute mate van zekerheid te verkrijgen omtrent bijvoorbeeld een proces.
Publicatie van DUFAS en Ernst & Young
39
Bij de vastleggingtechnieken op het gebied van betrouwbaarheid gaat het enerzijds om het verkrijgen van een goed beeld van de betrouwbaarheidsrisico’s die worden gelopen en anderzijds om het inventariseren van de maatregelen die zijn getroffen om deze risico’s te verminderen (ook wel maatregelen van interne controle genoemd). Om de betrouwbaarheid van de informatie en daarmee van de bedrijfsprocessen te verbeteren wordt een risicoanalyse uitgevoerd. Door middel van de risicoanalyse worden de bedreigingen geïdentificeerd. Om het overzicht te behouden, wordt de risicoanalyse in twee stappen uitgevoerd: - Stap 1 bestaat uit het vaststellen van de risicocategorieën: wat zijn precies de gebieden waarop het verkeerd kan gaan? - In stap 2 worden per risicocategorie de risico’s beschreven. Daardoor ontstaat een overzicht van risico’s per categorie. Om de risico’s te beheersen worden maatregelen van interne controle getroffen. Welke maatregelen dat zijn, komt vast te staan door de maatregelenanalyse. Ook deze analyse wordt in twee stappen gedaan: - Stap 1 bestaat uit het vaststellen van de maatregelcategorieën: op welke gebieden zijn maatregelen getroffen? - In stap 2 worden per maatregelcategorie de maatregelen beschreven. Vervolgens moet worden vastgesteld of en in hoeverre de betrouwbaarheidsrisico’s door maatregelen van interne controle zijn afgedekt. Dit is niet zonder meer vast te stellen. Daarom wordt eerst een matrix van risico’s en maatregelen opgesteld. In deze matrix is te zien welke maatregelen bijdragen aan het verminderen van welke risico’s. Sommige maatregelen dekken slechts één risico af; andere maatregelen dringen meerdere risico’s tegelijk terug. Per risico dient nu te worden vastgesteld of in voldoende mate maatregelen van interne controle zijn getroffen. Bij sommige risico’s zal dat niet het geval zijn. In dergelijke gevallen wordt gesproken van het bestaan van restrisico’s: een deel van het risico is afgedekt, een ander deel (nog) niet. Indien zich een restrisico voordoet, dient te worden nagedacht welke (aanvullende) maatregel of maatregelen dienen te worden getroffen om het risico verder terug te dringen. Daartoe kan dan een aanbeveling of actie worden geformuleerd. Door de hiervoor besproken gedetailleerde analyse gericht op betrouwbaarheidsrisico’s en maatregelen van interne controle, is nog niet onmiddellijk duidelijk of ook alle verbanden in de waardekringloop worden gelegd en of alle noodzakelijke controle technische functiescheidingen worden gelegd. Daar dient dus extra aandacht aan te worden besteed. Hiernaast worden de elementen van betrouwbare informatie weergegeven.
40
Publicatie van DUFAS en Ernst & Young
Inzicht
Betrouwbare informatie BASIC vastlegging
Management Control-Risico management Lagere kosten
Instrumenten Risico Categorieën
Risico-analyse
Risico Categorieën
Risico Categorieën
Categorie 1
Categorie 1
Categorie 2 Maatregel Categorieën
CRUD MATRIX
Categorie 3 Categorie 1 Categorie 2
Functionaris 1
Comply x
Functionaris 1
Maartegel 1 x x
Risico’S
Categorie 1
Functie scheiding
+ IMPACT + KANS
Functionaris 1
Risico 1 Risico 2 Risico 3 Risico 4
Categorie 3
Waarde kringloop
Risico’S
Relatie Matrix Risisco’s/Maatregelen Rest Risico Aanbevelingen
Categorie 2
Update
x
x
x
Maartegel 1 x
Categorie 2
React x
+ IMPACT + KANS
Beheer
x
Maartegel 1 x x x
Maartegel 1
x
Risico 2 Restrisico Aanbeveling
IV.5 Management control en risico management Management control wordt door managers (op verschillende niveaus in de organisatie) veelal gebruikt om de doelstellingen van de organisatie langs de lijnen van de gekozen strategie (c.q. beleid) te bereiken (positieve benadering). Risicobeheersing wordt door managers gebruikt om de schadelijke gevolgen van ongewenste gebeurtenissen tegen te gaan (negatieve benadering). Hierna zal worden ingegaan op de vastleggingtechnieken met betrekking tot management control. De vastleggingtechnieken met betrekking tot risicobeheersing zijn reeds aan de orde geweest op de vorige pagina’s. Management control werd hiervoor beschreven als activiteiten van het management om de doelstellingen van de organisatie te bereiken. De kritische succesfactoren zijn die aspecten waarop de organisatie als geheel wil scoren; het zijn die factoren, die bepalend zijn voor het succes van het product of dienst dat door een organisatie wordt geleverd. Nu de prestatie indicatoren bekend zijn, dient te worden vastgesteld in welke onderdelen van de organisatie deze prestatie indicatoren dienen te worden gerealiseerd. Er wordt dus een relatie gelegd tussen de prestatie indicatoren en de bedrijfsprocessen. Door deze relatie te leggen weten de managers die een bedrijfsproces (of een onderdeel daarvan) besturen waar ze op moeten letten en wat zij moeten bereiken. De prestatie indicatoren kunnen van verschillende aard zijn. Zo zijn er financiële prestatie indicatoren, maar ook indicatoren die iets zeggen over de markt/klanten, de interne bedrijfsprocessen en de noodzakelijke innovatie in een organisatie. Om ervoor te zorgen dat bij het vaststellen van de prestatie indicatoren aan al deze aspecten aandacht wordt geschonken, kan gebruik gemaakt worden van de balanced scorecard.
Publicatie van DUFAS en Ernst & Young
41
Het gaat er bij management control niet alleen om om vooraf aan te geven wat er moet worden bereikt. Na enige tijd wil men ook weten wat de prestaties werkelijk zijn. Hoeveel loten zijn de afgelopen maanden werkelijk verkocht? Hoeveel uur is werkelijk besteed aan het organiseren van evenementen? Hoeveel nieuwe klanten hebben we geworven? En: hoe zijn de prijzen afgerekend? Hoe de werkelijkheid precies is geweest wordt duidelijk aan de hand van rapportages over de prestatie indicatoren. Deze rapportages zijn alleen voor het interne management bedoeld. We spreken daarom ook wel van interne berichtgeving. De vastleggingtechniek ‘dashboard’ dient om er voor te zorgen om snel een beeld te krijgen van de mate waarin de prestatie indicatoren zijn ingevuld. Als het aantal klachten per maand bijvoorbeeld 2 is geweest, staat het wijzertje in het ‘groen’. Is het aantal klachten per maand echter 5 dan staat het wijzertje in het ‘rood’. Een signaal dat het management moet ingrijpen. Op deze manier is op overzichtelijk wijze een beeld te krijgen van de vraag hoe de organisatie het de afgelopen maand heeft gedaan: welke zaken gaan goed en welke zaken verdienen meer aandacht. Hieronder worden de elementen van management control en risico management weergegeven. Inzicht
Betrouwbare informatie BASIC vastlegging
Management Control-Risico management Lagere kosten
Instrumenten Relatie Matrix Doelen/CSF Relatie Matrix CSF/PI
Management control
Risico – beheersing
CSF1
PL1
CSF2
PL2
PL3
PL5
IV.6
Risico’S
Maatregelen
Overzicht maatregelen per catagorie
Categorie 2
Categorie 2
Categorie 1
proces 2
Risico 2
proces 3
Dashboard
Categorie 2
Categorie 2
proces 1
Relatie Matrix PI/Processen
Interne berichtgeving
Categorie 3
Categorie 1
CSF3
PL4
Categorie 3
Overzicht risico’s per catagorie
Risico Categorieën
Bedrijfsdoel-strategie
Interne berichtgeving
Restrisico
Balanced Scorecard
Dashboard
Aanbeveling
Financieel Markt Intern Innovatie
Toegevoegde waarde van procesbeheersing
Instellingen werken volgens het economische principe, hetgeen wil zeggen dat: - Zoveel mogelijk output genereren met een vaste hoeveelheid middelen;
42
Publicatie van DUFAS en Ernst & Young
instrumenten
Risico Maatregelen Categorie 1
Categorie 1
Relatie Matrix risico’s maatregelen Restrisico’s Aanbevelingen
- Een vaststaande output genereren met zo min mogelijk middelen Instellingen bewaken daarom zeer gedetailleerd hoeveel kosten er worden gemaakt. De inspanning die instellingen doen om te komen tot een goede beschrijving van de AO/IC - hetgeen noodzakelijk is vanwege wet en regelgeving – kan ook aangewend worden om de prestaties van de processen te verbeteren. De basisvastlegging voor de AO/IC bestaat uit een beschrijving van de bedrijfsprocessen. Een dergelijke beschrijving is in feite een model van een deel van het bedrijf en leent zich daardoor uitstekend om ook de prestaties van het proces te analyseren en te evalueren. Zo kan getoetst worden of het proces wellicht effectiever of efficiënter ingericht kan worden. Voor zich spreekt dat een effectievere en efficiënte inrichting van de informatieverzorgende processen en bedrijfsprocessen positief bijdraagt aan het door instellingen gehanteerde economische principe. Voor een analyse van het proces dient op de eerste plaats in kaart te worden gebracht in welke volgorde de activiteiten worden verricht. Daarbij is het van belang om verwerkingstijden (hoe lang duurt activiteit) en doorlooptijden (hoe lang duurt een proces als geheel) vast te leggen. Daarna kan worden vastgesteld of door het anders structureren van de activiteiten een versnelling in het proces kan worden aangebracht. Het is niet zo dat de doorlooptijd alleen wordt bepaald door de som van de verwerkingstijden. Vaak liggen dossiers, aanvragen, facturen, telefoontjes e.d. een bepaalde tijd te wachten totdat een functionaris deze gaat behandelen. Er wordt dan gesproken van een wachtrij. Een wachtrij is een plaats in de werkstroom waar werkorders liggen te wachten op de volgende stap in het behandelingsproces. Door ervoor te zorgen dat het aantal wachtrijen zo klein mogelijk is en door ervoor te zorgen dat als er wachtrijen bestaan deze niet te lang worden, kan de doorlooptijd aanzienlijk worden versneld. Per activiteit kan het capaciteitsbeslag worden vastgesteld (bijvoorbeeld: hoeveel mensen zijn ervoor nodig en wanneer). Door de analyse van het capaciteitsbeslag kunnen mensen efficiënter worden ingezet. De mensen worden zodanig ingezet dat in het proces geen bottlenecks gaan ontstaan. Het onderzoek naar doublures in activiteiten en overbodige activiteiten leidt tot mogelijkheden om tot eliminatie van werkzaamheden over te gaan. Onderstaand worden de elementen weergegeven. Inzicht
Betrouwbare informatie BASIC vastlegging
Management Control-Risico management Lagere kosten
Instrumenten Logistieke Verloop
(acties, wachtmoment)
Verwerkingstijden Wachtrijen Capaciteitsbeslag
Doublure identificatie
Performance – analyse Voorraad punt
Activiteit 1
Activiteit 1
Activiteit 1
verwerkingstijd
Activiteit 1
Doorlooptijd DOC 1
DOC 1
DOC 1
Activiteit 1
DOC 1
Activiteit 1
DOC 1
Activiteit 1
Activiteit 2
Activiteit 1
Publicatie van DUFAS en Ernst & Young
43
V
Voorbeeld procedurebeschrijving
Voorbeeld procedurebeschrijving Proces: Proceseigenaar:
Klachtenprocedure Compliance officer
Doelstelling van het proces: De doelstelling van dit proces is het registeren en afhandelen van klachten. Kritische Succes Factoren: - Volledige registratie - Tijdige afhandeling
Prestatie Indicatoren: - Aantal klachten
Procesbeschrijving: Klachtenregistratie: Volgens artikel 8 lid 3h van de Btb dient te worden voorzien in procedures waarmee klachten zorgvuldig, verifieerbaar, consistent en binnen een redelijke termijn worden afgehandeld. De instelling dient daarbij te voorzien in een klachtenadministratie, waaruit tenminste de datum waarop de klacht ter kennis is gebracht, de aard van de klacht, degene die de klacht in behandeling heeft genomen, de datum en wijze van afhandeling van de klacht, alsmede de gevoerde correspondentie met betrekking tot de klacht blijkt.
Act.
Afdeling/functie
1
Portfolio manager
2
Portfolio manager
3
4
44
Activiteit
Omschrijving
Ontvangst van klacht De meest voorkomende klachten die zich mogelijk kunnen voordoen zijn: transactie ongenoegen cliënt; informatie ongenoegen cliënt; performance ongenoegen cliënt.
Vastleggen klacht
Elke klacht moet worden genoteerd op een bij de compliance officer verkrijgbaar doorlopend voorgenummerd klachtenformulier.
Compliance officer Afgifte en registratie De klachtenformulieren staan onder het beheer klachtenformulier van de compliance officer. Bij afgifte van het formulier registreert de compliance officer: de datum van afgifte; het nummer van het formulier; de naam van de portfolio manager. Portfolio manager
Publicatie van DUFAS en Ernst & Young
Oplossen klacht
De behandelend portfolio manager dient een klacht zo snel en efficiënt mogelijk op te
5
6
7
Directie
Ondertekenen klachtenformulier
Compliance officer Registratie retour ontvangen klachtenformulier
lossen. De oplossing en de financiële consequenties worden op het klachtenformulieren vastgelegd. Tevens wordt de datum van afhandeling genoteerd.
Na oplossing van klacht wordt het formulier ondertekend door de directie en door de behandelend portfolio manager ingeleverd bij de compliance officer.
Bij ontvangst van het formulier stelt de compliance officer vast dat het formulier volledig is ingevuld en is voorzien van de benodigde handtekeningen. Een kopie van het getekende formulier wordt opgeborgen in het dossier van de cliënt. Voorts registreert de compliance officer de datum van retour ontvangst klachtenformulier.
Compliance officer Opstellen overzichten Eens per kwartaal stelt de compliance officer klachten een overzicht op ten behoeve van de directie van de gedurende het afgelopen kwartaal behandelde en per kwartaalultimo nog in behandeling zijnde klachten. Daarnaast stelt de compliance officer vast of de in het afgelopen kwartaal ontvangen klachten gemeld dienen te worden aan de Autoriteit Financiële Markten.
Begin van het proces: Klacht
Eind van het proces: Volledige afhandeling klacht
Wat is de input en van wie is dit afkomstig: Klant (klacht)
Wat is de output en naar wie gaat deze: Klant (afhandeling klacht) Compliance officer (kwartaalrapportage klachten)
Welke informatiesystemen worden gebruikt: Klachtenregistratiesysteem
Risico’s (kans en impact): - Onvolledige registratie - Opvolging niet tijdig (claimrisico)
Beheersmaatregelen gerelateerd aan de risico’s: - Elektronisch klachtenregistratie systeem: de klachten worden vastgelegd in een elektronisch klachtenregistratiesysteem. Het systeem kent een aantal applicatiecontroles (bijvoorbeeld het toekennen van een eigenaar aan de klacht, volledigheidscontrole en een (default) opvolgdatum) en de stand van zaken wordt wekelijks automatisch gerapporteerd aan de compliance officer. - Klachtenprocedure: de klachtenprocedure is volledig gedocumenteerd, geformaliseerd en geïmplementeerd. - Compliance: de compliance officer ziet toe op tijdige afhandeling van de klachten en rapporteert hierover.
Publicatie van DUFAS en Ernst & Young
45
De beschrijving van de procedure kan worden voorzien van een flowchart. Klachtenprocedure Klacht Portfolio manager
1.Ontvangst klacht
Portfolio manager
2.Vastleggen klacht
Database
Compliance Officer
3.Registratie
Klachtenformulier
Portfolio manager
4.Oplossen Klacht
Directie
5.Ondertekenen
Compliance Officer
6.Registratie Retour
Retour Klacht
7.Opstellen Overzichten
Klachtenoverzicht
Compliance Officer
Klachtenformulier
Klachtenformulier
ontvangen Formulieren
Klachten
Einde proces
46
Publicatie van DUFAS en Ernst & Young
klachten
Klachten Archief
ERNST & YOUNG
WWW.EY.NL
DUFAS
WWW.DUFAS.NL
Projectgroep leden Deze uitgave is tot stand gekomen door een projectgroep onder voorzitterschap van DUFAS. In de projectgroep is geparticipeerd door verschillende leden van DUFAS waarbij ook door specialisten van Ernst & Young ondersteuning is verleend. De projectgroep leden zijn: DUFAS – Hans Janssen Daalen (voorzitter) Delta Lloyd Asset Management Fortis Investments ING Investment Management Optimix Robeco Asset Management Met medewerking van Ernst & Young praktijkgroep Asset Management
Laurent Claassen Tel. 020 – 549 7582 laurent.claassen@nl.ey.com
Jeroen Preijde Tel. 020 – 549 7679 jeroen.preijde@nl.ey.com
Asset Manag ement
Handreiking administratieve
organisatie voor beheerders van beleggingsinstellingen
Een publicatie van DUFAS en Ernst & Young