Finansiel compliance – nu også et lovkrav

På den anden side af påske er jeg inviteret til at deltage i en ganske interessant konference om finansiel compliance – denne gang ikke som oplægsholder men blot som menig deltager, hvilket jeg ser meget frem til.

Der er nemlig med compliance i bankernes regi tale om et nok så vigtigt emne, som synes at have fløjet lidt under den finansielle kriseradar, hvor der i stedet – i hvert fald i medierne og i den brede offentlighed – har været meget mere fokus på ledelsen af bankerne og på reguleringen af bankerne end på selve bankernes interne funktioner med hensyn til risikohåndtering samt implementering og overholdelse af den finansielle lovgivning.

Og så er det også bankregulatorisk set et meget aktuelt emne al den stund, at der nu for første gang bliver stillet decideret lovmæssige krav til bankernes compliance i almindelighed. Ikke forstået således, at bankerne ikke tidligere har haft compliance på dagsordenen (især hvad angår investeringsserviceområdet). Men nu bliver der altså medtaget egentlige regler om finansiel compliance i selve lovreguleringen.

Det sker med virkning fra 1. juli i år, hvor bankerne således skal leve op til de helt nye regler om “risikostyring og compliance”, som det formeligt hedder i den pågældende bekendtgørelse. Og hvad går disse nye regler så ud på?

Risikostyring

Risikostyring går på de aktivitetsmæssige risici forbundet med en banks virksomhed. Her skal banken udpege en risikoansvarlig medarbejder, som skal være ansvarlig for, at risikostyringen i banken sker på betryggende vis, og at der skabes et overblik over bankens forskellige risici og det samlede risikobillede.

Den risikoansvarlige skal referere direkte til bankens direktion, og hvis den risikoansvarlige bliver afskediget, skal bankens bestyrelse orienteres om afskedigelsen og om begrundelsen herfor. Som udgangspunkt skal den pågældende medarbejder kun have med risikostyring at gøre og altså ikke have andre ansvarsområder. Det viser alt sammen, at den risikoansvarlige betragtes som en meget central medarbejder i banken.

Risikostyringsfunktionen er altså som udgangspunkt en selvstændig funktion ligesom compliancefunktionen.

Den risikoansvarliges nærmere ansvarsområde omfatter bankens risikobehæftede aktiviteter på tværs af bankens risikoområder og bankens organisatoriske enheder. Der stilles derfor krav om, at den risikoansvarlige skal have tilstrækkelig viden og uafhængighed til at kunne vurdere bankens risici. Læg især mærke til kravet om uafhængighed.

Den risikoansvarlige skal nemlig have mulighed for at udtale sig om risikoen forbundet med større og usædvanlige dispositioner, som banken påtænker at foretage. Hvis den risikosansvarlige fraråder en sådan disposition, skal den risikoansvarlige straks informere bankens direktion herom.

Hvis bankens direktion på trods af den risikoansvarliges frarådning alligevel agter at gennemføre dispositionen, skal direktionen straks informere bankens bestyrelse om den risikoansvarliges vurdering, således at også bestyrelsen kan tage stilling hertil.

Det lyder som en tung proces men er alt andet lige konsekvensen af, at den risikoansvarlige ikke som sådan er en del af bankens ledelse. Og den risikoansvarlige har altså ikke en vetoret eller lignende i forhold til den konkrete disposition.

Som minimum skal den risikoansvarlige have mulighed for at udtale sig i forbindelse med de særskilte redegørelser om bankens risici, som bankens direktion skal udarbejde til bankens bestyrelse til brug for bestyrelsens overordnede vurdering mindst en gang om året af bankens virksomhedsprofil.

Den risikoansvarlige skal naturligvis ikke være alene om at løfte så stor en opgave i banken. Derfor skal den pågældende kunne råde over et tilstrækkeligt antal medarbejdere med kompetencer og beføjelser, som gør det muligt for den risikoansvarlige at identificere, vurdere, følge op på og forholde sig til alt fra bankens overordnede risikoprofil til bankens nærmere principper for opgørelse af risici, de anvendte modeller samt bankens risikoeksponering samlet set og på de enkelte risikoområder.

Compliance

Parallelt med risikostyringsfunktionen er der så den selvstændige compliancefunktion i en bank.

Compliance går på de reguleringsmæssige risici forbundet med bankens virksomhed. Her skal banken have effektive metoder og ditto procedurer, som er egnede til at opdage og mindske risikoen for, at banken bliver pålagt sanktioner, at banken lider tab af omdømme, eller at banken og/eller bankens kunder (!) lider væsentlige økonomiske tab som følge af manglende overholdelse af den finansielle lovgivning eller af bankens interne regelsæt mv.

Banken kan ved opfyldelsen af disse krav tage hensyn til arten, omfanget og sammensætningen af bankens forskellige aktiviteter. Compliance kan altså være forskellig fra bank til bank.

For at opfylde alle disse krav skal banken have en compliancefunktion, der skal fungere uafhængigt, og som skal kontrollere og vurdere, om såvel de nævnte metoder og procedurer som de foranstaltninger, banken iværksætter for at afhjælpe eventuelle mangler, er effektive. Læg igen især mærke til kravet om uafhængighed.

Hvad særligt angår bankernes meget omtalte investeringsrådgivning og handel med værdipapirer, skal compliancefunktionen for denne del af banken ikke blot udføre compliance men også yde rådgivning af og bistand til de medarbejdere, som har ansvaret for at udøve investeringsservice og investeringsaktiviteter.

For nærmere at sikre, at bankens compliancefunktion kan varetage sine ansvarsområder korrekt og uafhængigt, skal banken sørge for, at følgende betingelser opfyldes:

For det første skal banken udpege en complianceansvarlig medarbejder, som skal være ansvarlig for compliancefunktionen og for rapporteringen til bankens bestyrelse og direktion mindst en gang om året om bankens compliancerisici mv. Her gælder dog ingen særlig procedure ved afskedigelse.

Dernæst skal compliancefunktionen have de nødvendige ressourcer, den fornødne kompetence og den nødvendige sagkundskab, akkurat som compliancefunktionen skal have adgang til alle relevante oplysninger. Ellers kan det hele jo være lige meget.

Herudover skal banken sikre, at medarbejdere, der er involveret i compliancefunktionen, ikke må deltage i udøvelsen af de aktiviteter, som de kontrollerer. Det giver vel næsten sig selv.

Og endelig må bankens måde at fastsætte vederlag på til medarbejderne i compliancefunktionen ikke bringe deres uafhængighed i fare. Lønnen må ikke lede medarbejderne i compliancemæssig fordærv, så at sige.

I de mindre banker eller i banker med ukomplicerede aktiviteter kan den samme medarbejder varetage rollen som risikoansvarlig og som complianceansvarlig. Men som nævnt skal bankerne dog altid sikre, at medarbejderen ikke er involveret i udførelsen af opgaver, som vedkommende kontrollerer som led i compliancefunktionen. Det følger vel også af kravet om uafhængighed.

Også den complianceansvarlige betragtes på denne måde som en meget central og betydningsfuld medarbejder i banken.

Uafhængighed

Jeg har flere gange ovenfor påpeget vigtigheden af henholdsvis den complianceansvarliges og den risikoansvarliges uafhængighed. Uden reel uafhængighed mister compliancefunktionen hele sin raison d’être. Og det samme gælder naturligvis for risikostyringsfunktionen.

Det bliver således interessant at høre nærmere på konferencen om finansiel compliance, hvorledes bankerne i praksis vil sikre den nødvendige uafhængighed i så henseende. Compliancefunktionens og risikostyringsfunktionens troværdighed over for omverdenen hviler jo også på en antagelse om en vis uafhængighed. Også selv om hverken den complianceansvarlige eller den risikoansvarlige er helt uafhængig af bankens ledelse på samme måde som eksempelvis bankens revisorer (som offentlighedens repræsentanter).

Tilsvarende bliver det spændende på konferencen at høre konkrete eksempler på nogle af de relevante områder, hvor det set i den finansielle krises utaknemmelige bakspejl kan konstateres, at en effektiv risikostyringsfunktion og/eller compliancefunktion kunne af afbødet negative (fatale) konsekvenser for de under krisen krakkede banker. Finansiel Stabilitet vil på baggrund af de høstede erfaringer i så henseende komme med sådanne eksempler på områder, hvor bankerne fremover med fordel kan have ekstra fokus på finansiel compliance.

Og fra bankernes side bliver det lige så spændende at høre, hvorledes risikostyringsfunktionen og/eller compliancefunktionen ofte er blevet kritiseret (i hvert fald tidligere) for at optræde som uheldig stopklods for nye tiltag i bankerne. Bankerne vil komme med nyttige eksempler på, at disse funktioner dog nu medvirker til at skabe værdi for bankerne i takt med, at de er blevet en naturlig del af bankernes organisation. Og det er jo den rigtige udvikling.

Så måske jeg følger op med en ny blog herom efter konferencen. I mellemtiden er du velkommen til  i kommentarfeltet nedenfor at komme med egne (eventuelt anonyme) erfaringer, synspunkter eller bemærkninger om finansiel compliance (gerne oplevelser i praksis fra banksiden, måske ligefrem fra compliancesiden, eller fra kundesiden).

5 responses to “Finansiel compliance – nu også et lovkrav

  1. Lovgivningens sigte kan da vaere udmaerket, men hvis ledelsen i en finansiel virksomhed har oenske om at foretage sig noget bestemt, gad jeg nok se den compliance officer eller risk manager, der ville kunne overleve en kritisk rapportering til bestyrelsen.
    Naar man ser paa de risikorapporter og CSR rapporter diverse finansielle institutioner offentliggoer maa man da traekke paa smilebaandet.
    Haaber du maa finde konferencen interessant!

  2. Jeg har set at Finanstilsynet har futtet rundt hos kridterne for at sikre compliance vildt viftende med begge arme.

    Det er endnu et af de “håndklæder” man lægger frem for at bestyrelsen kan undsige sig ansvaret for at deres instrukser er blevet fulgt til punkt og prikke.

    Det er sjovt, du kommer med indlægget netop på den dag, hvor BRF’s regnskabsfusk afsløres at have så gigantiske proportioner, at det direkte giver buler i DST’s ejendomssalgsstatistik: Se tabel EJEN77 for ejerlejligheder i Hovedstaden – nærmere bestemt Nordsjælland, hvor nogen har “solgt” en klump ejelejligheder ca. 500 – det kan kun være BRF, der i regnskab 2010 arrogant og nedladende meddelte, at de havde solgt overtagne ejendomme for 1,4 mia. (så vidt jeg husker) til bedre end bogført pris.
    Hvis jeg ikke tager fejl – du må selv vurdere sandsynligheden for det – så er der tale om en eller flere stråmandshandler, hvor man finansierer 100% med tilbagekøbsgaranti.

    Hvis det ikke er at tilsidesætte kreditvurdering og risikoafdækning, så ved jeg ikke hvad det er,
    Den sag har en størrelse, at bestyrelse ikke kan være uvidende om den uforsvarlige handlemåde.

    Problemet med risikotilsidesættelse er fundamentalt det samme som med andre former for regnskabsfusk: Initiativet udgår fra bestyrelse og direktion – problemet er alene, om man kan tvære det af på en underordnet. Hvis den underordnede finder ud af det på egen hånd, så bliver vedkommende fyret.

    Disse funktioner vil ikke hjælpe en tøddel: Det er ledelsen, der med åbne øjne (de burde vide, hvad de foretager sig) driver finansielle virksomheder i ruin: De ved da udmærket at det, de foretager sig er hul i hovedet; men de gør det alligevel!

    Man er naiv, hvis man tror, at man som menig medarbejder i Danske Bank slipper levende fra ikke at gøre præcis som Straarup vil have: Alligevel stod han på Finansrådets årsmøde i 2006 og pontificerede om, hvad “Man havde lært af den sidste bankkrise”, hvorefter han kaster sig ud i samtlige de fejltagelser, som han hånligt og nedladende irettesatte sine kolleger for.

    Compliance er et røgslør for interne forretningsgange, der bestemt ikke er tiltænkt at blive fulgt.

  3. Der er noget, der morer mig kolossalt i disse år: Man taler om at stramme op om bankerne både kontrolmæssigt og lovgivningsmæssigt.

    Det kan ikke lade sig gøre!

    Bare det at overholde de gældende bestemmelser er umuligt: F.eks. reglerne for ned- og afskrivninger er i grel modstrid med reglerne omkring kapitaldækning. Det kan 95% af bankerne ikke: Skriver de korrekt af, så er der ikke nogen egenkapital, holder de kapitaldækningen, så bliver fornyet egenkapital og anden ansvarlig kapital så dyr, at indtjeningen ikke kan dække. Når bankernes boligudlån over 5 år forrentes med 4,1% så er der ikke indtjening til at dække noget som helst: Vi så at et rimelig banalt obligationslån over 5 år til danske bank havde en rente på 3,85%.
    Hæver man udlånsrenten så rentemarginalen kommer op – tja, så ryger debitorerne på numsen.
    Så kommer der tab – vend og drej det som du vil.

    Finanstilsynets kontrolvirksomhed i disse år går mest af alt ud på at finde ud af hvor dybt det bundløse hul er – det er faktisk bundløst.

    Det viste sig jo også, at det er umuligt at stramme regler overhovedet: Vi så det i juleskænderiet omkring afdragsfrihedens – ikke afskaffelse – men modifikation.

    Hvorfor indføre regler, som ingen har hverken evne eller vilje til at overholde?
    Det svarer lidt til de amerikanske domsafsigelser, hvor seriemordere skal afsone en livtidsstraf for hvert mord – i forlængelse af hinanden – specielt hvis prøveløsladelse ikke kommer på tale.

    Endelig, så er lovgivning – selv hvis den var mulig – komplet latterlig: Dels bliver den tilsidesat, dels bliver den afskaffet, så snart den stiller sig i vejen for at lave dumheder.

    Du tror da vel ikke, at Straarup kommer til at sidde én eneste dag i fængsel. Hans forgænger Glückstadt døde i fængslet inden domsafsigelsen; men nu havde han også hugget fra de forkerte mennesker – kongefamilien bla.

  4. Iflg. Dagens Industri har den svenske bankforening nu anbefalet sine medlemmer, at “forbyde” sine medlemmer at tilbyde kunderne at kunne opbevare kontanter i bankboks. Angiveligt skulle begrundelsen vaere, at “dette skridt er noedvendigt for at overholde hvidvaskningsreglerne”, og de stoerste banker har taget mod opfordringen med kyshaand. Samtidig har de oplyst deres kunder, at en overtraedelse af reglerne umuliggoer erstatning for tab af kontantbeholdninger i bankboks.

    Ved samtale med en bekendt omtalte jeg i dag dette skridt, og min bekendte fortalte mig, at hans svenske bank saa sent som i gaar havde opfordret ham til at takke ja til et koebstilbud paa det hus han nu har forsoegt at saelge gennem 2 aar. Da han over for banken gav udtryk for sin undren over at de accepterede en handel, hvor halvdelen af salgssummen fra koebers side var betinget betalt under bordet, var svaret: “Jamen, vi laegger da gerne lokaler og eksperter til, for at gennemfoere denne handel, saa vi kan laegge beslag paa de penge du skylder os. Du behoever ikke bekymre dig om lovligheden af dette, det skal vi nok tage os af.”
    Gad vide om en complianceansvarlig i denne bank ville have en realistisk mulighed for at indberette dette forloeb for sin direktion og/eller bestyrelse?

    Mon forholdet ville have vaeret anderledes i en dansk bank? Naeppe! Da jeg for nylig talte med en medarbejder i en dansk bank tilkendegav han klart, at bankens betingelse for et samarbejde paa et konkret omraade var, at samarbejdspartneren ville vaere parat til at overtraede lovgivningen. Til dato havde det ikke givet anledning til problemer da samarbejdspartnerne stod i koe, ligesom bankens ledelse og interne revision og risikoansvarlige havde givet groent lys.

    Du vil sikkert hoere mange smukke beretninger om vaerdien af disse regler paa den konference du skal deltage i, men jeg haaber ikke du tror paa noget af det du bliver fortalt!

Comments are closed.