ESMA ziet structurele verbeterpunten in compliance- en auditfuncties

Governance vraagt meer dan de aanwezigheid van controlefuncties

Governance vraagt meer dan de aanwezigheid van controlefuncties

ESMA heeft de resultaten gepubliceerd van de Europese Common Supervisory Action (CSA) 2025 naar compliance- en internal auditfuncties bij fondsbeheerders. Hoewel de algemene naleving als voldoende wordt beoordeeld, laat het onderzoek duidelijke verschillen zien in kwaliteit, onafhankelijkheid en governance.

Wat vooral opvalt, is dat toezichthouders organisaties steeds minder beoordelen op de formele aanwezigheid van controlefuncties alleen. De aandacht verschuift steeds nadrukkelijker naar de vraag of deze functies daadwerkelijk effectief functioneren binnen de dagelijkse praktijk van de organisatie.

Bevindingen rondom compliance

Bij compliance functies constateert ESMA onder meer dat monitoringplannen regelmatig te algemeen blijven, rapportages onvoldoende diepgang bevatten en opvolging van bevindingen niet altijd duidelijk wordt vastgelegd. Ook blijken beleidsdocumenten niet altijd actueel of volledig in lijn met de praktijk.

Daarnaast signaleert ESMA dat kleinere organisaties vaker moeite hebben om voldoende capaciteit en onafhankelijkheid te borgen.

Volgens ESMA zijn sterke compliance functies onder meer gebaseerd op:

• voldoende onafhankelijkheid;

• een concreet risicogebaseerd monitoringplan;

• duidelijke escalatieprocedures;

• periodieke evaluatie;

• en actieve betrokkenheid van het bestuur.

  
  

Bevindingen rondom internal audit

Ook voor internal audit constateert ESMA duidelijke verschillen in kwaliteit. Auditmethodologie, documentatie en rapportages blijken in de praktijk sterk uiteen te lopen.

Daarnaast besteedt ESMA nadrukkelijk aandacht aan outsourcing. Zowel compliance- als auditactiviteiten worden regelmatig uitbesteed aan groepsfuncties of externe partijen. Daarbij ontbreekt het soms aan voldoende lokale aansturing, duidelijke afspraken of effectieve monitoring.

Voor internal audit benadrukt ESMA met name:

• consistente auditmethodologie;

• onafhankelijke rapportagelijnen;

• kwalitatief goede auditdocumentatie;

• en aantoonbare opvolging van auditbevindingen.

  
  

Wat betekent dit voor organisaties?

Hoewel het onderzoek zich richt op fondsbeheerders, zijn veel bevindingen breder toepasbaar.

Steeds meer organisaties richten compliance-, risk- en auditfuncties in of professionaliseren deze verder. Daarbij wordt vaak gewerkt volgens het principe van de three lines of defence.

Voor deze organisaties biedt het ESMA-rapport waardevolle handvatten. Niet omdat de conclusies één-op-één moeten worden overgenomen, maar omdat het rapport inzicht geeft in de elementen die bijdragen aan effectieve governance en interne beheersing.

Belangrijke vragen zijn daarbij:

• Hoe onafhankelijk zijn compliance- en riskfuncties daadwerkelijk gepositioneerd?

• Hoe risicogebaseerd zijn monitoringactiviteiten ingericht?

• Zijn rollen en escalatieprocedures voldoende duidelijk?

• En hoe wordt opvolging van bevindingen geborgd?

  
  

Breder toezichtbeeld

De bevindingen sluiten aan bij een bredere ontwikkeling binnen toezicht.

Governance- en controleprocessen worden steeds minder beoordeeld op hun formele aanwezigheid en steeds meer op hun aantoonbare effectiviteit.

Voor bestuurders, compliance officers, risk managers en toezichthouders betekent dit dat niet alleen beleid relevant is, maar vooral de vraag hoe governance, monitoring en interne beheersing daadwerkelijk functioneren binnen de dagelijkse praktijk van de organisatie.

Wilt u hierover verder van gedachten wisselen of onderzoeken wat dit betekent voor uw organisatie? Neem contact op via info@dufinco.nl of bel +31 (0) 6 512 47 217.